Obligations du processeur et du contrôleur en vertu du RGPD : un aide-mémoire

Publié: 2021-08-18

En poursuivant notre série de blogs sur le prochain Règlement général sur la protection des données (RGPD), nous allons passer quelques minutes à décrire les différentes obligations que le RGPD impose aux contrôleurs de données et aux sous-traitants , puis vous laisserons avec un aide-mémoire avec quelques des points d'action pour vous aider à identifier les tâches dont vous pourriez avoir besoin, en particulier, pour vous assurer que vous avez mis en place la conformité.

Mais d'abord, quelques définitions.

Le RGPD définit un responsable du traitement à l'article 4(6) comme :

« la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel »

Considérant qu'un sous- traitant (article 4, paragraphe 7) est :

« la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

Pour donner un exemple plus concret : si vous êtes un détaillant en ligne de widgets et que Jane Doe s'inscrit sur votre liste de diffusion dans l'espoir d'en savoir plus sur vos widgets (ou peut-être pour rôder jusqu'à ce que vous ayez une vente), vous aurez probablement recueillir son adresse e-mail, et peut-être d'autres informations de contact, lorsqu'elle s'inscrit. Toutes nos félicitations! Vous venez de devenir responsable du traitement des données personnelles de Jane Doe. Elle a accepté de recevoir des messages marketing de votre part et vous, en tant que responsable du traitement, pouvez déterminer quand et comment envoyer ces e-mails.

Maintenant, disons que vous n'envoyez pas réellement vos propres e-mails marketing, vous engagez peut-être un fournisseur de services de messagerie (ESP) pour vous aider à créer votre contenu, planifier les e-mails, suivre et rendre compte de la livraison. L'ESP n'aurait pas le droit de faire ce qu'il veut avec les données de Jane, il n'aurait le droit de vous aider à rédiger vos campagnes, à envoyer vos e-mails, etc., qu'à votre demande. L'ESP, dans ce cas, est le processeur de données.

Plus tard, vous décidez de faire un effort de marketing co-marqué avec votre partenaire A proche (ce qui dans ce cas est correct, car lorsque Jane s'est inscrite, vous avez obtenu son consentement pour partager ses données avec le partenaire A à cette fin). Au cours du processus de négociation, vous avez décidé d'utiliser l'ESP du partenaire A plutôt que le vôtre pour envoyer la campagne. Vous envoyez donc votre liste d'abonnés (y compris les données de Jane) à votre partenaire, qui la télécharge dans son ESP. Les e-mails sont envoyés.

En partageant les données de Jane avec le partenaire A pour des activités de marketing conjointes, vous avez fait du partenaire A un contrôleur conjoint des données de Jane. Le partenaire A continuera à utiliser les données de Jane en dehors du cadre de votre relation avec Jane. L'ESP du partenaire A est toujours un processeur de données et devra respecter à la fois vos exigences et celles du partenaire A, mais vous venez également d'introduire certaines complexités dans votre relation avec Jane que le RGPD vous obligera à suivre.

En vertu du RGPD, en tant que propriétaires de leurs données, les personnes concernées se voient accorder des droits, tels que : (Notez qu'il ne s'agit pas d'une liste complète.)

  • Article 15 (droit d'accès) : Jane peut vous écrire et demander une copie des données personnelles que vous avez recueillies auprès d'elle. Vous, en tant que responsable du traitement, seriez tenu de vous conformer à cette demande dans les 30 jours suivant la réception de sa demande ;
  • Article 16 (droit de rectification) : si Jane trouve que les données que vous avez sur elle sont inexactes ou incomplètes, elle peut vous demander de les mettre à jour (comme changer son adresse e-mail, ou changer l'orthographe de son nom dans votre base de données) ;
  • Article 17 (droit à l'effacement) : Jane pourrait vous demander de supprimer complètement ses données. Peut-être qu'elle retire son consentement à recevoir de futurs messages de votre part, ou peut-être qu'elle pense que les campagnes que vous lui adressez vont dans la mauvaise direction et qu'elle veut repartir de zéro ;
  • Article 18 (droit à la restriction du traitement) : vous avez peut-être commencé à suivre les ouvertures et les clics de Jane (suivi basé sur le comportement), mais Jane ne pense pas qu'elle a consenti à vous permettre de le faire (selon le RGPD, le suivi basé sur le comportement nécessitera un consentement. Vous ne pouvez pas simplement supposer que vous pouvez le faire). Jane peut vous demander d'arrêter de suivre ses ouvertures et ses clics jusqu'à ce que vous déterminiez ce à quoi elle a réellement consenti ;
  • Article 20 (droit à la portabilité des données) : Dans certains cas, Jane a le droit de vous demander de compresser ses données et de les transférer à l'un de vos concurrents. (Oui ! Vraiment. Ceci est destiné à aider Jane à déplacer ses données, par exemple, d'un opérateur de téléphonie mobile à un autre, ou à déplacer facilement sa présence sur les réseaux sociaux d'une application à une autre. Si vous traitez ses données via « les performances d'un contrat » ou « sur la base d'un consentement », cette disposition pourrait s'appliquer à vous.

Si Jane décide d'exercer ses droits et vous demande de supprimer ses données, dans le paradigme contrôleur-processeur unique, c'est assez simple. Vous supprimez ses données de votre système et demandez à votre processeur (votre ESP) de les supprimer également du leur.

Cependant, dans le modèle de contrôleur conjoint, conformément à l'article 17, paragraphe 2, vous devrez non seulement le supprimer de votre infrastructure et de celle de votre sous-traitant, mais vous devrez également :

« prendre des mesures raisonnables, y compris des mesures techniques, pour informer les responsables du traitement qui traitent les données à caractère personnel que la personne concernée a demandé l'effacement »

En d'autres termes, vous devrez conserver des enregistrements très précis de l'endroit où vous avez envoyé les données de Jane et initier des demandes de suppression de données au nom de Jane à tout autre co-contrôleur qui pourrait avoir ses données. Ces co-contrôleurs devront alors également contacter tous les processeurs qu'ils utilisent et supprimer également les données de Jane de ces systèmes.

Et ce n'est que le début de vos obligations en tant que sous-traitants et contrôleurs des informations de Jane. Voir ci-dessous pour une liste rapide de ce qui sera requis en vertu du RGPD, ainsi que des endroits où vous pouvez trouver plus de détails dans le RGPD.

Sécurité des données
 Obligations du responsable du traitement :Mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger la sécurité des données.

  • Cryptage, pseudonymisation des données le cas échéant
  • Capacité à assurer la confidentialité, l'intégrité et la résilience des données
  • Processus pour tester, évaluer et évaluer régulièrement la sécurité
  • Documentez vos efforts.

Obligations du processeur :Mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger la sécurité des données.

  • Cryptage, pseudonymisation des données le cas échéant
  • Capacité à assurer la confidentialité, l'intégrité et la résilience des données
  • Processus pour tester, évaluer et évaluer régulièrement la sécurité
  • Documentez vos efforts.

Article RGPD :Art. 32 Sécurité du traitement

Notification de violation
 Obligations du responsable du traitement :

  • Informer l'autorité de contrôle dans les 72 heures de la violation si un risque élevé est susceptible d'encourir les personnes concernées
  • Avis de la personne concernée, le cas échéant

Obligations du processeur :

  • Informer le contrôleur sans retard injustifié dès qu'il a connaissance d'une violation

Articles RGPD :Art. 33 Notification d'une violation de données
Art. 34 Communication d'une violation de données à la personne concernée

Principes du traitement des données
 Obligations du responsable du traitement :

  • Veiller à ce que les données soient traitées de manière licite et transparente pour la personne concernée
  • Veiller à ce que les données collectées et traitées pour des finalités spécifiques, et non d'une manière incompatible avec les finalités initiales.
  • S'assurer que les données collectées sont exactes et à jour
  • Assurez-vous que vous êtes en mesure de démontrer la conformité

Articles RGPD :Art. 5 Principes relatifs au traitement des données personnelles
Art. 6 Licéité du traitement

Avis de confidentialité
 Obligations du responsable du traitement :

  • Doit être à la disposition de la personne concernée.
  • Décrivez quelles données seront collectées et à quelles fins.
  • Détaillez tous les destinataires qui recevront les données, y compris si elles seront transférées en dehors de l'EEE, et comment les données seront protégées lors du transfert ultérieur.
  • Si des intérêts légitimes existent dans la collecte et/ou le traitement des données.
  • Décrivez les périodes de conservation et/ou de stockage des données, ou les critères utilisés pour déterminer les périodes de conservation.
  • Décrire les droits de la personne concernée et comment une personne concernée peut exercer ses droits.
  • Détails sur les utilisations de la prise de décision automatisée.

Articles RGPD :Art. 12 Information transparente, communication et modalités d'exercice des droits de la personne concernée
Art. 13 Informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée
Art. 14 Informations à fournir lorsque les données personnelles n'ont pas été obtenues de la personne concernée

Exigences contractuelles avec le processeur
 Obligations du responsable du traitement :

  • N'employez que des sous-traitants qui peuvent respecter les réglementations GDPR.
  • N'employez que des sous-traitants capables de protéger de manière appropriée les données des personnes concernées.
  • Décrivez l'objet, la durée et la nature de l'activité de traitement.
  • Décrire la nature et la finalité du traitement.
  • Décrivez les types de données personnelles traitées.
  • Décrire les catégories de personnes concernées en cours de traitement.

Obligations du processeur :

  • Ne traiter les données que sur instructions documentées du responsable du traitement
  • S'assurer que toutes les personnes autorisées à traiter les données se sont engagées à respecter des accords de confidentialité
  • Assister le responsable du traitement dans le traitement des demandes de droits d'accès des personnes concernées
  • Assister le contrôleur avec les obligations en matière de sécurité et les demandes des autorités de surveillance.
  • Être disponible et capable d'assister le contrôleur dans ses obligations de conformité
  • Supprimer ou renvoyer toutes les données sur demande ou exigence du contrôleur
  • Décrivez tout transfert de données en dehors de l'EEE et décrivez les garanties qui protégeront les données
  • Contribuer aux audits menés par le contrôleur ou toute autre autorité requise
  • Veiller à ce que tout engagement de sous-traitants secondaires remplisse les mêmes obligations que celles requises par le responsable du traitement.
  • N'engager des sous-traitants qu'après approbation du responsable du traitement.

Articles RGPD :Art. 24 Responsabilités du contrôleur
Art. 28 Processeur
Art. 29 Traitement sous l'autorité du responsable du traitement ou du sous-traitant

Adopter des pratiques de protection des données
 Obligations du responsable du traitement :

  • Être capable de démontrer les principes de minimisation des données, et la protection des données dès la conception et/ou par défaut est utilisée, le cas échéant
  • Mener des évaluations d'impact sur la vie privée de toutes les activités de traitement susceptibles de présenter un risque pour la personne concernée

Articles RGPD :Art. 5 Principes relatifs au traitement des données personnelles
Art. 25 Protection des données par conception et par défaut
Art. 35 Évaluation de l'impact sur la protection des données

Conserver les enregistrements des activités de traitement
 Obligations du responsable du traitement :

  • Nom/coordonnées du responsable du traitement et du DPD ou du représentant de l'UE
  • Documenter les catégories de personnes concernées, les catégories de données personnelles et les destinataires des données
  • Documenter la base légale de tout transfert de données en dehors de l'EEE et décrire les garanties qui protégeront les données
  • Délais de conservation des données
  • Documenter la base légale des activités de traitement des données

Obligations du processeur :

  • Nom/coordonnées du responsable du traitement et du DPO
  • Catégories de traitements effectués pour le responsable du traitement

Article RGPD :Art. 30 dossiers d'activités de traitement

C'est beaucoup à assimiler et cela peut sembler beaucoup de travail. Mais à long terme, cela vous permettra, ainsi que vos partenaires, de respecter le droit européen et de protéger les droits de vos personnes concernées . Vous cherchez plus d'informations sur le RGPD ? Vous pouvez trouver plus d'informations dans la catégorie GDPR sur notre blog et dans notre webinaire à la demande : The Path to GDPR.