Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Le devoir de conformité au RGPD hors-ligne

On pense souvent que le RGPD ne s’applique qu’à l’environnement en ligne. Ce n’est pas le cas ! Le RGPD est technologiquement neutre, c’est-à-dire qu’il s’applique au traitement des données à caractère personnel quel que soit l’environnement dans lequel il est effectué (en ligne, hors-ligne, via un site web, une application, dans un cadre professionnel, etc.).

Le RGPD s’applique au traitement des données à caractère personnel quel que soit l’environnement dans lequel il est effectué (en ligne ou hors-ligne)

Dans cet article, nous allons examiner ce qu’on appelle la conformité hors-ligne. Voici les principales obligations de conformité hors-ligne à prendre en compte :

  1. La désignation d’un représentant pour l’UE
  2. Les Sous-traitants et le Contrat de traitement des données (DPA)
  3. Le délégué à la protection des données (DPD)
  4. Les obligations de confidentialité des employés
  5. L’analyse d’impact relative à la protection des données

1. La désignation d’un représentant pour l’UE

Si vous êtes un responsable du traitement situé hors de l’UE, mais que vous proposez des biens ou des services (même gratuits) à des utilisateurs situés dans l’UE, ou que vous surveillez leur comportement, dans la mesure où celui-ci a lieu dans l’UE, vous devez désigner un représentant pour l’UE basé dans l’un des pays de l’UE où se situent vos utilisateurs.

Le représentant pour l’UE peut être une personne physique ou une personne morale.

Que fait le représentant pour l’UE ?

Le représentant pour l’UE fonctionne comme un guichet unique, auprès duquel les personnes concernées peuvent soumettre une question, une demande ou une réclamation au responsable du traitement ou aux autorités de contrôle. En d’autres termes, le représentant doit transmettre au responsable du traitement toute demande de ce type, ainsi que toutes les informations liées dont il dispose. Globalement, il doit aider le responsable du traitement à se conformer au RGPD dans toutes ses dimensions, notamment en informant de toute violation de données à caractère personnel et en coopérant avec les autorités de contrôle. D’une manière générale, toutefois, c’est le responsable du traitement et non le représentant qui porte l’entière responsabilité des activités de traitement des données.

Le représentant pour l’UE est soumis à des obligations propres (et aux responsabilités qui en découlent). Par exemple, il doit conserver la trace des activités de traitement.

Comment désigner le représentant pour l’UE (modèle).

Selon le RGPD, vous devez désigner votre représentant pour l’UE « par écrit ». Vous pouvez par exemple utiliser notre modèle de contrat de désignation (en anglais), disponible par téléchargement direct en .docx :


2. Les sous-traitants et le Contrat de traitement des données (DPA)

Lorsque vous traitez des données personnelles en tant que responsable du traitement, vous devez souvent faire appel à un prestataire pour une partie des activités de traitement. Ce prestataire traitera généralement les données personnelles relatives à vos clients en votre nom : il ne les traitera pas pour lui-même. Le RGPD nomme ces prestataires des « sous-traitants ». La relation entre ces sous-traitants et vous-même, le responsable du traitement, s’appelle un contrat de traitement des données.

Prenons un exemple concret :

Vous vendez des chaussures en ligne. Lorsque des clients passent une commande, les chaussures sont emballées et l’expédition préparée par un prestataire extérieur, qui doit bien entendu avoir accès à toutes les données personnelles clients dont il a besoin pour honorer cette commande. Le prestataire extérieur traite donc des données clients en votre nom en tant que sous-traitant.

Que dois-je faire ?

Conformément à l’article 28 du RGPD, les responsables du traitement et les sous-traitants doivent conclure par écrit — y compris en format électronique — un « Contrat de traitement des données ». Un tel contrat doit préciser les droits et les obligations des parties dans le cadre des opérations de traitement par un sous-traitant. Quelques exemples : les sous-traitants ne doivent agir que sur instruction des responsables du traitement, doivent mettre en place les mesures de sécurité adéquates, aux niveaux technique et organisationnel, pour garantir la protection des données à caractère personnel, doivent coopérer avec le responsable du traitement en cas de demandes des personnes concernées ou d’actions des autorités de contrôle, etc.

L’article 82 du RGPD prévoit, point très intéressant, que les responsables du traitement et les sous-traitants sont conjointement responsables vis-à-vis des tiers. En d’autres termes, dès lors qu’une personne concernée estime que ses données ont fait l’objet d’un traitement illégal, elle peut se tourner vers le responsable du traitement ou vers le sous-traitant pour obtenir réparation du préjudice subi. Ce n’est qu’ensuite que la partie qui a versé la réparation peut se retourner, à son tour, contre l’autre partie.

Suite de l’exemple

Une personne concernée reçoit une paire de chaussures, livrée à son adresse personnelle, bien qu’il n’en ait jamais fait la commande. Elle choisit de demander réparation au fournisseur qui a exécuté la commande. Ce dernier paie, puis use de voies de recours contre le responsable du traitement, puisque c’est celui-ci qui a donné l’instruction de livrer la paire de chaussures à la personne concernée plaignante.

Que se passe-t-il si tous mes fournisseurs ne sont pas désignés sous-traitants ?

Toute entité qui n’est pas désignée expressément sous-traitant est un « tiers ». Dès lors, si vous transmettez des données personnelles de vos clients à une partie qui n’a pas le titre de sous-traitant, vous transférez, d’un point de vue juridique, des données à un tiers — ce que vous ne pouvez faire qu’avec une base juridique telle que, généralement, le consentement de la personne concernée. Il n’est toutefois pas toujours facile de satisfaire aux conditions du consentement valable lorsque l’on transfère des données à un tiers.

DPA et transfert de données à des pays tiers

Il arrive que les sous-traitants que vous désignez pour certaines tâches de traitement de données soient basés hors de l’UE. Vous devez alors déterminer la base juridique à donner au transfert de données personnelles vers ce pays tiers. Nous avons détaillé les différentes bases juridiques possibles ici. N’oublions pas que le fondement juridique du transfert et le DPA sont deux choses différentes, qui peuvent ou non être le même document.

Suite de l’exemple
  • Vous transférez des données à Google (par exemple Google Analytics) : vous devrez conclure un DPA avec Google.
  • Vous transférez des données à une entreprise australienne ; il n’existe pas à l’heure actuelle de décision d’adéquation ou d’autre cadre applicable aux transferts vers l’Australie (depuis l’UE ou la Suisse). Vous pourriez alors fonder le transfert sur des « clauses contractuelles types ». Dans ce cas, votre DPA avec le destinataire des données en Australie contiendra aussi les clauses contractuelles types présentées dans la décision 2010/78/CE de la Commission européenne. Ici, la base juridique du transfert et le DPA coïncident bien.

Modèle

Vous pouvez trouver un modèle de Contrat de traitement de données (an anglais) par téléchargement direct en .docx :


3. DPDLe Délégué à la protection des données (DPD)

Conformément à l’article 37 du RGPD, les responsables du traitement doivent, dans certaines circonstances, désigner un Délégué à la protection des données (DPD). Mais qu’est-ce qu’un Délégué à la protection des données ?

Qu’est-ce qu’un DPD ?

Un DPD est une personne physique (ou morale) chargée de veiller à ce que le responsable du traitement (ou le sous-traitant) se conforme aux dispositions relatives à la confidentialité. Dès lors que les conditions de l’obligation de désignation sont réunies, le DPD doit au moins

  • informer le responsable du traitement (ou le sous-traitant) et ses employés des dispositions applicables en matière de protection des données et le conseiller ;
  • veiller à la conformité avec ces dispositions applicables, et en premier lieu avec le RGPD ;
  • sur demande, aider le responsable du traitement (ou le sous-traitant) dans le cadre de l’analyse d’impact relative à la protection des données (AIPD) et suivre sa réalisation ;
  • coopérer avec les autorités de contrôle, et être pour elles le point de contact pour toute question relative au traitement des données à caractère personnel :
  • être point de contact pour les personnes concernées pour toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le RGPD.

Le RGPD n’exige pas expressément que le DPD soit une personne physique : en clair, une personne morale (comme une entreprise de conseil) peut également, en théorie, être désignée DPD. Cela dit, plusieurs commentateurs font déjà remarquer que certaines des exigences posées par le RGPD ne peuvent s’appliquer qu’à une personne physique : par exemple, les « qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du RGPD » font clairement référence à une personne physique, plutôt qu’à une personne morale.

À l’heure actuelle, il n’est pas possible de donner une réponse définitive à cette question : il faudra attendre de voir quelle approche est adoptée par les autorités de protection des données et par les tribunaux.

Comment le DPD exécute-t-il sa mission ?

Tout d’abord, le DPD peut être désigné en interne dans l’organisation du responsable du traitement (en général un employé) ou en externe (prestataire indépendant). Dans les deux cas, il peut également accomplir d’autres missions tout en menant ses activités de DPD. Il faut toutefois toujours s’assurer que cela n’engendre pas de risque de conflit d’intérêts : le directeur général ne pourra pas, par exemple, être en même temps désigné DPD. Il en est de même pour le Directeur Technique (ou « CTO ») : il serait quelque peu étrange qu’une même personne développe le système informatique et contrôle la protection des données personnelles !

Globalement, le DPD est soumis à une obligation légale de secret concernant toute information dont il a connaissance dans le cadre de cette fonction, et doit maintenir sa pleine indépendance en tout temps (même s’il est, de fait, un employé !). Concrètement, cela signifie qu’il faut donner au DPD tous les moyens nécessaires, tant matériels que budgétaires et organisationnels, à la bonne exécution de sa mission et qu’il ne peut pas être soumis à un pouvoir de direction.

Prenons un exemple concret :

L’autorité en charge de la protection des données réalise un audit sur la protection des données et demande à accéder au registre des activités de traitement, conformément à l’article 30 du RGPD. Le DPD sait qu’un tel registre n’existe pas, car le responsable du traitement n’a jamais vraiment pris cette obligation au sérieux. Toutefois, le DPD doit être neutre et ne peut pas « défendre » le responsable du traitement avec une excuse quelconque : il doit confirmer que le registre n’a jamais été créé.

En termes de responsabilité, il faut noter que le DPD n’est pas responsable de la conformité observée par le responsable du traitement. Comme nous l’avons déjà vu, le devoir du DPD est d’informer, de conseiller et de coopérer. Si le responsable du traitement ne suit pas les conseils du DPD, il en est seul responsable. Le DPD ne peut être tenu responsable, vis-à-vis du responsable du traitement, que s’il a donné des conseils erronés. Et même dans ce cas, à l’égard des personnes concernées, c’est toujours le responsable du traitement qui porte la responsabilité.

Quand dois-je désigner un DPD ?

Au titre du RGPD, il est obligatoire de désigner un DPD dans trois cas :

  1. si le responsable du traitement (ou le sous-traitant) est un organisme public ou une autorité publique (par exemple, une administration ou une agence gouvernementale) ;
  2. si les activités de base du responsable du traitement (ou du sous-traitant) consistent en un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions ;
  3. si les activités de base du responsable du traitement (ou du sous-traitant) consistent en des opérations qui exigent un suivi régulier et systématique à grande échelle des utilisateurs ;

Les deux premiers cas sont relativement explicites : les données « sensibles » sont des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Mais qu’en est-il du « suivi régulier et systématique à grande échelle des utilisateurs » ? Est-ce que ce cas ne s’applique qu’à des entités comme Facebook ou Google, dont le business model se fonde quasiment exclusivement sur le traitement massif de données personnelles, ou est-ce applicable dès que, par exemple, vous utilisez Google Analytics pour votre boutique en ligne — puisque cette fonctionnalité permet de suivre vos clients ?

Pour tout dire, on ne le sait pas encore. Plusieurs autorités, commentateurs et experts comme le WP29, ont donné leur avis sur la question, mais aucun n’est juridiquement contraignant. À cet égard, tout ce que l’on peut faire pour l’instant, c’est attendre de voir quelle approche sera adoptée par les autorités chargées de la protection des données et par les tribunaux.

Modèle

Voici un modèle de désignation de DPD (en anglais) disponible actuellement par téléchargement direct en .docx :


4. Les obligations de confidentialité des employés

Contrairement aux législations de ce type qui l’ont précédé (comme en Italie et en Allemagne), le RGPD n’exige pas expressément et globalement que les employés, et, plus généralement, le personnel impliqué dans le traitement des données à caractère personnel, soient soumis à une obligation de confidentialité. Toutefois, il reste préférable d’informer les membres du personnel du devoir de secret, et de leur faire signer un document marquant cette obligation contraignante pour se conformer à certaines dispositions du RGPD, telles que :

  • Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre (article 32, paragraphe 4).
  • Le responsable du traitement veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité [article 28, paragraphe 3, point b)].
  • Le délégué à la protection des données doit informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de ce règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données [article 39, paragraphe 1, point a)].

En outre, l’article 24 exige du responsable du traitement qu’il soit « en mesure de démontrer que le traitement est effectué conformément à ce règlement », ce qui implique, au moins indirectement, qu’il soit en mesure de démontrer que les salariés et autres membres du personnel ont traité les données personnelles conformément au RGPD.

Nous vous suggérons donc de conclure un accord spécifique de confidentialité et de non-divulgation avec tous les membres du personnel, dans lequel vous leur préciserez comment gérer de manière adéquate les données personnelles que vous venez de leur remettre. Assurez-vous que ces instructions sont transmises aux employés et dûment signées à réception, de manière à pouvoir en apporter la preuve le cas échéant.

Modèle

Vous trouverez un modèle d’accord de non-divulgation/de confidentialité pour les employés (en anglais) par téléchargement direct en .docx :


5. L’analyse d’impact relative à la protection des données (AIPD)

Aux termes de l’article 35 du RGPD, les responsables du traitement doivent, dans certaines circonstances, réaliser une analyse d’impact relative à la protection des données (AIPD). Mais qu’est-ce au juste qu’une analyse d’impact relative à la protection des données ?

Qu’est-ce qu’une AIPD ?

Une AIPD est un processus employé pour aider une organisation à se conformer au RGPD et pour garantir qu’elle mette en pratique le principe de responsabilité et le principe de protection de la vie privée dès la conception et par défaut.

L’AIPD doit inclure :

  • Une description complète des données traitées
  • La finalité de l’activité de traitement (et, si applicable, des informations sur les intérêts légitimes du responsable du traitement)
  • Une évaluation de la portée et de la nécessité de l’activité de traitement au regard de la finalité
  • Une évaluation des risques que l’activité présente pour les utilisateurs
  • Les mesures mises en place pour faire face à ces risques

Le processus d’AIPD doit être enregistré par écrit.

Quand est-elle obligatoire ?

D’une manière générale, l’AIPD n’est obligatoire que dans les cas où l’activité de traitement des données est susceptible d’engendrer un risque élevé pour les utilisateurs (notamment lors de l’introduction d’une nouvelle technologie de traitement). Toutefois, si vous ne savez pas avec certitude si votre activité de traitement peut être qualifiée d’activité à « risque élevé », il est recommandé d’effectuer tout de même une AIPD, car cet outil peut être utile pour vous assurer que la loi est respectée.

Les activités de traitement des données à « risque élevé » incluent :

  • Le traitement à grande échelle de données sensibles
  • La surveillance systématique d’une zone accessible au public (p. ex. à l’aide d’un système de vidéosurveillance)
  • Les situations dans lesquelles des évaluations automatisées approfondies des données personnelles sont effectuées en vue d’influencer la prise de décisions qui peuvent affecter la vie de l’utilisateur de façon significative

Des AIPD peuvent également être nécessaires dans d’autres circonstances (sur la base d’une évaluation au cas par cas), et notamment lorsque le traitement porte sur des données qui concernent des personnes vulnérables (p. ex. des enfants ou des personnes âgées), lorsqu’il implique un transfert de données hors de l’UE ou lorsque les données sont utilisées à des fins de profilage (p. ex. des cotes de solvabilité). Plus de détails sur ces critères ici [PDF].

Bien que la publication de l’AIPD ne soit pas une exigence légale générale prévue par le RGPD, il est suggéré au responsable du traitement d’envisager de publier tout ou partie de son AIPD en signe de transparence et de responsabilité, notamment dans les cas où des membres du public sont affectés (par exemple, lorsqu’une autorité publique effectue une AIPD).

Une AIPD efficace est utile pour satisfaire l’exigence de « protection de la vie privée dès la conception », car elle permet aux organisations de repérer et de corriger les problèmes à un stade précoce et, ainsi, de limiter à la fois les risques pour la sécurité des données des utilisateurs et les risques d’amende, de sanction et d’atteinte à la réputation auxquels ces problèmes pourraient exposer l’organisation.

Modèle

Vous trouverez ci-dessous un modèle générique d’Analyse d’impact relative à la protection des données (en anglais) :

Everything you need to know about
compliance in one course!

In our free Intro to Online Compliance email course you’ll learn:

  • Online Compliance basics
  • Which laws apply to you
  • How to comply

This easy-to-understand course is suitable
for all knowledge levels.

Sign up for the 7-part series below.

No strings attached. Unsubscribe anytime.
We won’t send you any emails other than the course, unless you later sign up for more.
For further details, review our Privacy Policy.