Réservez une démonstration
S’inscrire

Le devoir de conformité au RGPD hors-ligne

On pense souvent que le RGPD ne s’applique qu’à l’environnement en ligne. Ce n’est pas le cas ! Le RGPD est technologiquement neutre, c’est-Ă -dire qu’il s’applique au traitement des donnĂ©es Ă  caractère personnel quel que soit l’environnement dans lequel il est effectuĂ© (en ligne, hors-ligne, via un site web, une application, dans un cadre professionnel, etc.).

Le RGPD s’applique au traitement des données à caractère personnel quel que soit l’environnement dans lequel il est effectué (en ligne ou hors-ligne)

Dans cet article, nous allons examiner ce qu’on appelle la conformitĂ© hors-ligne. Voici les principales obligations de conformitĂ© hors-ligne Ă  prendre en compte :

  1. La désignation d’un représentant pour l’UE
  2. Les Sous-traitants et le Contrat de traitement des données (DPA)
  3. Le délégué à la protection des données (DPD)
  4. Les obligations de confidentialité des employés
  5. L’analyse d’impact relative à la protection des données

1. La désignation d’un représentant pour l’UE

Si vous êtes un responsable du traitement situé hors de l’UE, mais que vous proposez des biens ou des services (même gratuits) à des utilisateurs situés dans l’UE, ou que vous surveillez leur comportement, dans la mesure où celui-ci a lieu dans l’UE, vous devez désigner un représentant pour l’UE basé dans l’un des pays de l’UE où se situent vos utilisateurs.

Le représentant pour l’UE peut être une personne physique ou une personne morale.

Que fait le reprĂ©sentant pour l’UE ?

Le représentant pour l’UE fonctionne comme un guichet unique, auprès duquel les personnes concernées peuvent soumettre une question, une demande ou une réclamation au responsable du traitement ou aux autorités de contrôle. En d’autres termes, le représentant doit transmettre au responsable du traitement toute demande de ce type, ainsi que toutes les informations liées dont il dispose. Globalement, il doit aider le responsable du traitement à se conformer au RGPD dans toutes ses dimensions, notamment en informant de toute violation de données à caractère personnel et en coopérant avec les autorités de contrôle. D’une manière générale, toutefois, c’est le responsable du traitement et non le représentant qui porte l’entière responsabilité des activités de traitement des données.

Le représentant pour l’UE est soumis à des obligations propres (et aux responsabilités qui en découlent). Par exemple, il doit conserver la trace des activités de traitement.

Comment désigner le représentant pour l’UE (modèle).

Selon le RGPD, vous devez dĂ©signer votre reprĂ©sentant pour l’UE « par Ă©crit Â». Vous pouvez par exemple utiliser notre modèle de contrat de dĂ©signation (en anglais), disponible par tĂ©lĂ©chargement direct en .docx :

Télécharger directement en .docx

2. Les sous-traitants et le Contrat de traitement des données (DPA)

Lorsque vous traitez des donnĂ©es personnelles en tant que responsable du traitement, vous devez souvent faire appel Ă  un prestataire pour une partie des activitĂ©s de traitement. Ce prestataire traitera gĂ©nĂ©ralement les donnĂ©es personnelles relatives Ă  vos clients en votre nom : il ne les traitera pas pour lui-mĂŞme. Le RGPD nomme ces prestataires des « sous-traitants Â». La relation entre ces sous-traitants et vous-mĂŞme, le responsable du traitement, s’appelle un contrat de traitement des donnĂ©es.

Prenons un exemple concret :

Vous vendez des chaussures en ligne. Lorsque des clients passent une commande, les chaussures sont emballées et l’expédition préparée par un prestataire extérieur, qui doit bien entendu avoir accès à toutes les données personnelles clients dont il a besoin pour honorer cette commande. Le prestataire extérieur traite donc des données clients en votre nom en tant que sous-traitant.

Que dois-je faire ?

ConformĂ©ment Ă  l’article 28 du RGPD, les responsables du traitement et les sous-traitants doivent conclure par Ă©crit — y compris en format Ă©lectronique — un « Contrat de traitement des donnĂ©es Â». Un tel contrat doit prĂ©ciser les droits et les obligations des parties dans le cadre des opĂ©rations de traitement par un sous-traitant. Quelques exemples : les sous-traitants ne doivent agir que sur instruction des responsables du traitement, doivent mettre en place les mesures de sĂ©curitĂ© adĂ©quates, aux niveaux technique et organisationnel, pour garantir la protection des donnĂ©es Ă  caractère personnel, doivent coopĂ©rer avec le responsable du traitement en cas de demandes des personnes concernĂ©es ou d’actions des autoritĂ©s de contrĂ´le, etc.

L’article 82 du RGPD prĂ©voit, point très intĂ©ressant, que les responsables du traitement et les sous-traitants sont conjointement responsables vis-Ă -vis des tiers. En d’autres termes, dès lors qu’une personne concernĂ©e estime que ses donnĂ©es ont fait l’objet d’un traitement illĂ©gal, elle peut se tourner vers le responsable du traitement ou vers le sous-traitant pour obtenir rĂ©paration du prĂ©judice subi. Ce n’est qu’ensuite que la partie qui a versĂ© la rĂ©paration peut se retourner, Ă  son tour, contre l’autre partie.

Suite de l’exemple

Une personne concernée reçoit une paire de chaussures, livrée à son adresse personnelle, bien qu’il n’en ait jamais fait la commande. Elle choisit de demander réparation au fournisseur qui a exécuté la commande. Ce dernier paie, puis use de voies de recours contre le responsable du traitement, puisque c’est celui-ci qui a donné l’instruction de livrer la paire de chaussures à la personne concernée plaignante.

Que se passe-t-il si tous mes fournisseurs ne sont pas dĂ©signĂ©s sous-traitants ?

Toute entitĂ© qui n’est pas dĂ©signĂ©e expressĂ©ment sous-traitant est un « tiers Â». Dès lors, si vous transmettez des donnĂ©es personnelles de vos clients Ă  une partie qui n’a pas le titre de sous-traitant, vous transfĂ©rez, d’un point de vue juridique, des donnĂ©es Ă  un tiers — ce que vous ne pouvez faire qu’avec une base juridique telle que, gĂ©nĂ©ralement, le consentement de la personne concernĂ©e. Il n’est toutefois pas toujours facile de satisfaire aux conditions du consentement valable lorsque l’on transfère des donnĂ©es Ă  un tiers.

DPA et transfert de données à des pays tiers

Il arrive que les sous-traitants que vous désignez pour certaines tâches de traitement de données soient basés hors de l’UE. Vous devez alors déterminer la base juridique à donner au transfert de données personnelles vers ce pays tiers. Nous avons détaillé les différentes bases juridiques possibles ici. N’oublions pas que le fondement juridique du transfert et le DPA sont deux choses différentes, qui peuvent ou non être le même document.

Suite de l’exemple
  • Vous transfĂ©rez des donnĂ©es Ă  Google (par exemple Google Analytics) : vous devrez conclure un DPA avec Google.
  • Vous transfĂ©rez des donnĂ©es Ă  une entreprise australienne ; il n’existe pas Ă  l’heure actuelle de dĂ©cision d’adĂ©quation ou d’autre cadre applicable aux transferts vers l’Australie (depuis l’UE ou la Suisse). Vous pourriez alors fonder le transfert sur des « clauses contractuelles types Â». Dans ce cas, votre DPA avec le destinataire des donnĂ©es en Australie contiendra aussi les clauses contractuelles types prĂ©sentĂ©es dans la dĂ©cision 2010/78/CE de la Commission europĂ©enne. Ici, la base juridique du transfert et le DPA coĂŻncident bien.

Modèle

Vous pouvez trouver un modèle de Contrat de traitement de donnĂ©es (an anglais) par tĂ©lĂ©chargement direct en .docx :

Télécharger directement en .docx

3. DPDLe Délégué à la protection des données (DPD)

ConformĂ©ment Ă  l’article 37 du RGPD, les responsables du traitement doivent, dans certaines circonstances, dĂ©signer un DĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPD). Mais qu’est-ce qu’un DĂ©lĂ©guĂ© Ă  la protection des donnĂ©es ?

Qu’est-ce qu’un DPD ?

Un DPD est une personne physique (ou morale) chargée de veiller à ce que le responsable du traitement (ou le sous-traitant) se conforme aux dispositions relatives à la confidentialité. Dès lors que les conditions de l’obligation de désignation sont réunies, le DPD doit au moins

  • informer le responsable du traitement (ou le sous-traitant) et ses employĂ©s des dispositions applicables en matière de protection des donnĂ©es et le conseiller ;
  • veiller Ă  la conformitĂ© avec ces dispositions applicables, et en premier lieu avec le RGPD ;
  • sur demande, aider le responsable du traitement (ou le sous-traitant) dans le cadre de l’analyse d’impact relative Ă  la protection des donnĂ©es (AIPD) et suivre sa rĂ©alisation ;
  • coopĂ©rer avec les autoritĂ©s de contrĂ´le, et ĂŞtre pour elles le point de contact pour toute question relative au traitement des donnĂ©es Ă  caractère personnel :
  • ĂŞtre point de contact pour les personnes concernĂ©es pour toutes les questions relatives au traitement de leurs donnĂ©es Ă  caractère personnel et Ă  l’exercice des droits que leur confère le RGPD.

Le RGPD n’exige pas expressĂ©ment que le DPD soit une personne physique : en clair, une personne morale (comme une entreprise de conseil) peut Ă©galement, en thĂ©orie, ĂŞtre dĂ©signĂ©e DPD. Cela dit, plusieurs commentateurs font dĂ©jĂ  remarquer que certaines des exigences posĂ©es par le RGPD ne peuvent s’appliquer qu’à une personne physique : par exemple, les « qualitĂ©s professionnelles et, en particulier, de ses connaissances spĂ©cialisĂ©es du droit et des pratiques en matière de protection des donnĂ©es, et de sa capacitĂ© Ă  accomplir les missions visĂ©es Ă  l’article 39 du RGPD Â» font clairement rĂ©fĂ©rence Ă  une personne physique, plutĂ´t qu’à une personne morale.

Ă€ l’heure actuelle, il n’est pas possible de donner une rĂ©ponse dĂ©finitive Ă  cette question : il faudra attendre de voir quelle approche est adoptĂ©e par les autoritĂ©s de protection des donnĂ©es et par les tribunaux.

Comment le DPD exĂ©cute-t-il sa mission ?

Tout d’abord, le DPD peut ĂŞtre dĂ©signĂ© en interne dans l’organisation du responsable du traitement (en gĂ©nĂ©ral un employĂ©) ou en externe (prestataire indĂ©pendant). Dans les deux cas, il peut Ă©galement accomplir d’autres missions tout en menant ses activitĂ©s de DPD. Il faut toutefois toujours s’assurer que cela n’engendre pas de risque de conflit d’intĂ©rĂŞts : le directeur gĂ©nĂ©ral ne pourra pas, par exemple, ĂŞtre en mĂŞme temps dĂ©signĂ© DPD. Il en est de mĂŞme pour le Directeur Technique (ou « CTO Â») : il serait quelque peu Ă©trange qu’une mĂŞme personne dĂ©veloppe le système informatique et contrĂ´le la protection des donnĂ©es personnelles !

Globalement, le DPD est soumis Ă  une obligation lĂ©gale de secret concernant toute information dont il a connaissance dans le cadre de cette fonction, et doit maintenir sa pleine indĂ©pendance en tout temps (mĂŞme s’il est, de fait, un employĂ© !). Concrètement, cela signifie qu’il faut donner au DPD tous les moyens nĂ©cessaires, tant matĂ©riels que budgĂ©taires et organisationnels, Ă  la bonne exĂ©cution de sa mission et qu’il ne peut pas ĂŞtre soumis Ă  un pouvoir de direction.

Prenons un exemple concret :

L’autoritĂ© en charge de la protection des donnĂ©es rĂ©alise un audit sur la protection des donnĂ©es et demande Ă  accĂ©der au registre des activitĂ©s de traitement, conformĂ©ment Ă  l’article 30 du RGPD. Le DPD sait qu’un tel registre n’existe pas, car le responsable du traitement n’a jamais vraiment pris cette obligation au sĂ©rieux. Toutefois, le DPD doit ĂŞtre neutre et ne peut pas « dĂ©fendre Â» le responsable du traitement avec une excuse quelconque : il doit confirmer que le registre n’a jamais Ă©tĂ© crĂ©Ă©.

En termes de responsabilité, il faut noter que le DPD n’est pas responsable de la conformité observée par le responsable du traitement. Comme nous l’avons déjà vu, le devoir du DPD est d’informer, de conseiller et de coopérer. Si le responsable du traitement ne suit pas les conseils du DPD, il en est seul responsable. Le DPD ne peut être tenu responsable, vis-à-vis du responsable du traitement, que s’il a donné des conseils erronés. Et même dans ce cas, à l’égard des personnes concernées, c’est toujours le responsable du traitement qui porte la responsabilité.

Quand dois-je dĂ©signer un DPD ?

Au titre du RGPD, il est obligatoire de dĂ©signer un DPD dans trois cas :

  1. si le responsable du traitement (ou le sous-traitant) est un organisme public ou une autoritĂ© publique (par exemple, une administration ou une agence gouvernementale) ;
  2. si les activitĂ©s de base du responsable du traitement (ou du sous-traitant) consistent en un traitement Ă  grande Ă©chelle de donnĂ©es sensibles ou de donnĂ©es relatives Ă  des condamnations pĂ©nales et Ă  des infractions ;
  3. si les activitĂ©s de base du responsable du traitement (ou du sous-traitant) consistent en des opĂ©rations qui exigent un suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle des utilisateurs ;

Les deux premiers cas sont relativement explicites : les donnĂ©es « sensibles Â» sont des donnĂ©es qui rĂ©vèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les donnĂ©es gĂ©nĂ©tiques, les donnĂ©es biomĂ©triques aux fins d’identifier une personne physique de manière unique, les donnĂ©es concernant la santĂ© ou les donnĂ©es concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Mais qu’en est-il du « suivi rĂ©gulier et systĂ©matique Ă  grande Ă©chelle des utilisateurs Â» ? Est-ce que ce cas ne s’applique qu’à des entitĂ©s comme Facebook ou Google, dont le business model se fonde quasiment exclusivement sur le traitement massif de donnĂ©es personnelles, ou est-ce applicable dès que, par exemple, vous utilisez Google Analytics pour votre boutique en ligne — puisque cette fonctionnalitĂ© permet de suivre vos clients ?

Pour tout dire, on ne le sait pas encore. Plusieurs autorités, commentateurs et experts comme le WP29, ont donné leur avis sur la question, mais aucun n’est juridiquement contraignant. À cet égard, tout ce que l’on peut faire pour l’instant, c’est attendre de voir quelle approche sera adoptée par les autorités chargées de la protection des données et par les tribunaux.

Modèle

Voici un modèle de dĂ©signation de DPD (en anglais) disponible actuellement par tĂ©lĂ©chargement direct en .docx :

Télécharger directement en .docx

4. Les obligations de confidentialité des employés

Contrairement aux lĂ©gislations de ce type qui l’ont prĂ©cĂ©dĂ© (comme en Italie et en Allemagne), le RGPD n’exige pas expressĂ©ment et globalement que les employĂ©s, et, plus gĂ©nĂ©ralement, le personnel impliquĂ© dans le traitement des donnĂ©es Ă  caractère personnel, soient soumis Ă  une obligation de confidentialitĂ©. Toutefois, il reste prĂ©fĂ©rable d’informer les membres du personnel du devoir de secret, et de leur faire signer un document marquant cette obligation contraignante pour se conformer Ă  certaines dispositions du RGPD, telles que :

  • Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autoritĂ© du responsable du traitement ou sous celle du sous-traitant, qui a accès Ă  des donnĂ©es Ă  caractère personnel, ne les traite pas, exceptĂ© sur instruction du responsable du traitement, Ă  moins d’y ĂŞtre obligĂ©e par le droit de l’Union ou le droit d’un État membre (article 32, paragraphe 4).
  • Le responsable du traitement veille Ă  ce que les personnes autorisĂ©es Ă  traiter les donnĂ©es Ă  caractère personnel s’engagent Ă  respecter la confidentialitĂ© ou soient soumises Ă  une obligation lĂ©gale appropriĂ©e de confidentialitĂ© [article 28, paragraphe 3, point b)].
  • Le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es doit informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employĂ©s qui procèdent au traitement sur les obligations qui leur incombent en vertu de ce règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des donnĂ©es [article 39, paragraphe 1, point a)].

En outre, l’article 24 exige du responsable du traitement qu’il soit « en mesure de dĂ©montrer que le traitement est effectuĂ© conformĂ©ment Ă  ce règlement Â», ce qui implique, au moins indirectement, qu’il soit en mesure de dĂ©montrer que les salariĂ©s et autres membres du personnel ont traitĂ© les donnĂ©es personnelles conformĂ©ment au RGPD.

Nous vous suggérons donc de conclure un accord spécifique de confidentialité et de non-divulgation avec tous les membres du personnel, dans lequel vous leur préciserez comment gérer de manière adéquate les données personnelles que vous venez de leur remettre. Assurez-vous que ces instructions sont transmises aux employés et dûment signées à réception, de manière à pouvoir en apporter la preuve le cas échéant.

Modèle

Vous trouverez un modèle d’accord de non-divulgation/de confidentialitĂ© pour les employĂ©s (en anglais) par tĂ©lĂ©chargement direct en .docx :

<Télécharger directement en .docx

5. L’analyse d’impact relative à la protection des données (AIPD)

Aux termes de l’article 35 du RGPD, les responsables du traitement doivent, dans certaines circonstances, rĂ©aliser une analyse d’impact relative Ă  la protection des donnĂ©es (AIPD). Mais qu’est-ce au juste qu’une analyse d’impact relative Ă  la protection des donnĂ©es ?

Qu’est-ce qu’une AIPD ?

Une AIPD est un processus employé pour aider une organisation à se conformer au RGPD et pour garantir qu’elle mette en pratique le principe de responsabilité et le principe de protection de la vie privée dès la conception et par défaut.

L’AIPD doit inclure :

  • Une description complète des donnĂ©es traitĂ©es
  • La finalitĂ© de l’activitĂ© de traitement (et, si applicable, des informations sur les intĂ©rĂŞts lĂ©gitimes du responsable du traitement)
  • Une Ă©valuation de la portĂ©e et de la nĂ©cessitĂ© de l’activitĂ© de traitement au regard de la finalitĂ©
  • Une Ă©valuation des risques que l’activitĂ© prĂ©sente pour les utilisateurs
  • Les mesures mises en place pour faire face Ă  ces risques

Le processus d’AIPD doit être enregistré par écrit.

Quand est-elle obligatoire ?

D’une manière gĂ©nĂ©rale, l’AIPD n’est obligatoire que dans les cas oĂą l’activitĂ© de traitement des donnĂ©es est susceptible d’engendrer un risque Ă©levĂ© pour les utilisateurs (notamment lors de l’introduction d’une nouvelle technologie de traitement). Toutefois, si vous ne savez pas avec certitude si votre activitĂ© de traitement peut ĂŞtre qualifiĂ©e d’activitĂ© Ă  « risque Ă©levĂ© Â», il est recommandĂ© d’effectuer tout de mĂŞme une AIPD, car cet outil peut ĂŞtre utile pour vous assurer que la loi est respectĂ©e.

Les activitĂ©s de traitement des donnĂ©es Ă  « risque Ă©levĂ© Â» incluent :

  • Le traitement Ă  grande Ă©chelle de donnĂ©es sensibles
  • La surveillance systĂ©matique d’une zone accessible au public (p. ex. Ă  l’aide d’un système de vidĂ©osurveillance)
  • Les situations dans lesquelles des Ă©valuations automatisĂ©es approfondies des donnĂ©es personnelles sont effectuĂ©es en vue d’influencer la prise de dĂ©cisions qui peuvent affecter la vie de l’utilisateur de façon significative

Des AIPD peuvent également être nécessaires dans d’autres circonstances (sur la base d’une évaluation au cas par cas), et notamment lorsque le traitement porte sur des données qui concernent des personnes vulnérables (p. ex. des enfants ou des personnes âgées), lorsqu’il implique un transfert de données hors de l’UE ou lorsque les données sont utilisées à des fins de profilage (p. ex. des cotes de solvabilité). Plus de détails sur ces critères ici [PDF].

Bien que la publication de l’AIPD ne soit pas une exigence légale générale prévue par le RGPD, il est suggéré au responsable du traitement d’envisager de publier tout ou partie de son AIPD en signe de transparence et de responsabilité, notamment dans les cas où des membres du public sont affectés (par exemple, lorsqu’une autorité publique effectue une AIPD).

Une AIPD efficace est utile pour satisfaire l’exigence de « protection de la vie privĂ©e dès la conception Â», car elle permet aux organisations de repĂ©rer et de corriger les problèmes Ă  un stade prĂ©coce et, ainsi, de limiter Ă  la fois les risques pour la sĂ©curitĂ© des donnĂ©es des utilisateurs et les risques d’amende, de sanction et d’atteinte Ă  la rĂ©putation auxquels ces problèmes pourraient exposer l’organisation.

Modèle

Vous trouverez ci-dessous un modèle gĂ©nĂ©rique d’Analyse d’impact relative Ă  la protection des donnĂ©es (en anglais) :

Télécharger directement en .docx