Responsabilité et sanctions sous la RGPD

Responsabilité et sanctions sous la RGPD

La RGPD amène le principe de responsabilité conjointe au secteur de la protection des données.
Écrit par : Bonjour
05/07/2019 - 4 min de lecture
Sujets : RGPD

Nous évoquions la notion de responsabilité RGPD dans notre dernier article sur le RGPD où nous présentions les différents outils et modèles mis en place par la RGPD pour responsabiliser les acteurs de la protection des données.

Faisons un rapide tour d’horizon du RGPD. Ce règlement général sur la protection des données à caractère personnel est une loi qui concerne chaque entreprise. Cela dépasse les frontières françaises, sa mise en action englobe le territoire européen.
Cela a pour but d’encadrer les pratiques de traitement et d’utilisation des données à caractère personnel.

Son effet concerne toutes les entreprises traitant de la donnée, qu’importe le secteur activité. De la restauration, à la santé, en passant par les entreprises vendant des produits sur internet.
Les traitements de la donnée sont un réel business qui prend de l’ampleur année après année. Il était essentiel de fixer un cadre et la mise en place d’un contrôle régulier est nécessaire. Et ce afin de conserver les libertés des utilisateurs sur internet.

 

Aujourd’hui, nous rentrons dans le détail de cette responsabilité et sur les sanctions que le Règlement prévoit en cas d’infractions (et attention, ça ne rigole pas du tout !)

 

Qui est responsable ?

 

Tout le monde est concerné. Que vous soyez une petite entreprise ou une multinationale avec des dizaines de services, vous devez prendre ce sujet au sérieux. L’état renforce de plus en plus l’utilisation d’une donnée à caractère personnel. Vous devez être au courant de tous les aspects de cette loi.

La RGPD amène le principe de responsabilité conjointe au secteur de la protection des données.

Chaque entreprise est concernée par la mise en œuvre de ce règlement. Il faut être familier avec chaque paragraphe de la loi afin d’être en conformité.

Il implique ainsi une coresponsabilité : pour le même traitement, il peut y avoir plusieurs responsables.

On parle de coresponsabilité dès qu’il y a au moins de deux responsables des finalités et des modalités de traitement de données personnelles.

 

Lorsque c’est le cas, il faut faire attention à 4 aspects :

  • Clarifier de manière formelle (contrat et autre) les rôles et responsabilités de chacun ;
  • Préciser par exemple qui répond à une demande de droit d’accès aux données, Et informe ainsi les personnes concernées, qui met en œuvre les mesures de sécurité, etc.
  • La personne concernée pas le traitement de données ne s’adressera pas toujours au responsable désigné, mais s’adressera à l’organisation en général.  La personne contactée doit donc pouvoir facilement se tourner vers la personne responsable pour obtenir une réponse. En conséquent, elle ne peut pas décliner la demande sous prétexte qu’elle n’est pas directement responsable ;
  • Les parties sont libres de se répartir les rôles comme bon leur semble à conditions que l’ensemble des tâches soient couvertes ;
  • Les accords doivent être mis à disposition des personnes concernées. Elles doivent toujours pouvoir savoir qui est responsable de la protection de leur donnée.

 

La responsabilité des sous-traitants

 

Ici sont concernés tous ceux qui traitent des données personnelles pour le compte et selon les instructions d’un autre organisme.

Les sous-traitants ont de nombreuses obligations. Mais les organismes ont aussi la responsabilité de s’assurer que le sous-traitant dispose de moyens suffisants pour respecter le cadre de la RGPD.

Un contrat doit être contracté entre l’organisme et son sous-traitant ; des exemples de clauses sont publiées par la CNIL dans le guide du sous-traitant.

Le sous-traitant est ainsi soumis à quatre types d’obligations :

 

Transparence et traçabilité

 

Le sous-traitant doit :

  • Consigner par écrit les instructions de son client sur le traitement des données afin de pouvoir prouver qu’il agit “sur instruction documentée du responsable de traitement” ;
  • Demander l’autorisation de son client en cas de sous-traitance ultérieure ;
  • De plus, il faut mettre à la disposition du client toutes les informations nécessaires à la vérification du respect de la protection ;
  • Tenir un registre qui recense les traitements qu’il effectue pour ses clients.

 

Découvrir l'histoire de Soan

 

Sécurité des données traitées

 

Le sous-traitant a l’obligation de :

  • Soumettre tous ses employés à une obligation de confidentialité ;
  • Prendre des mesures de sécurité adaptées aux risques encourus par les personnes en cas de violation ;
  • Notifier aux clients toute violation de leurs données ;
  • Supprimer les données ou les renvoyer à son client après l’exécution de la prestation ;
  • Détruire les copies existantes des données sauf en cas d’obligation légale. Toutes ces obligations doivent donc être détaillées précisément dans le contrat.

 

Encadrement de la sous-traitance ultérieure

 

Pour faire appel à son tour à un sous-traitant, le sous-traitant doit avoir une autorisation écrite générale ou spécifique de la part du responsable du traitement.

S’il s’agit d’une autorisation générale, il sera alors nécessaire d’informer le responsable à chaque fois qu’on sollicite un sous-traitant.

Tous les sous-traitants ultérieurs devront être soumis aux mêmes exigences que le sous-traitant d’origine.

 

Accompagnement du responsable de traitement

 

Le sous-traitant doit accompagner le responsable du traitement pour :

  • Les demandes des personnes exerçant leur droit d’accès ;
  • La sécurisation des données ;
  • L’analyse d’impact du traitement sur la vie privée et les libertés ;
  • Les notifications des violations de données.

Tout comme l’organisme, le sous-traitant doit tenir un registre des activités et désigner un responsable.

 

Les sanctions et voie de recours

 

La CNIL a mis en place des moyens pour sanctionner les organismes qui ne respectent pas la RGPD. Chaque paragraphe du règlement comprend les règles à respecter, mais aussi des sanctions en cas d’irrégularité.

Ces moyens facilitent l’exercice de leurs droits par les personnes concernant leurs données personnelles.

Cela permet de rééquilibrer les rapports de force entre la personne et l’organisme. La CNIL prend ses sujets très au sérieux. Elle est en droit de réaliser des contrôles réguliers pour constater de l’application du RGPD.

Les différents types de sanctions prévus sont :

  • Un rappel à l’ordre ;
  • Une injonction de mettre le traitement en conformité, sous le coup d’une possible astreinte ;
  • Une limitation temporaire ou définitive du traitement ;
  • Mais aussi une suspension des flux de données adressées à un destinataire dans un pays tiers ;
  • Un ordre de satisfaire aux demandes des personnes concernées, y compris sous astreinte ;
  • Un retrait d’une certification ;
  • Une amende administrative ;
  • En cas du non-respect des dispositions sur le DPO : 10 millions d’euros ou 2 % du chiffre d’affaires mondial ;
  • En cas du non-respect des principes fondamentaux ou des droits des personnes : 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

 

Créer votre compte rapidement

 

Voie de recours pour les personnes concernées

 

Toute personne estimant le non-respect de la gestion des données personnelles, peut faire appel à une autorité de contrôle ou les juridictions de l’état membre.

Il peut s’agir de l’autorité de l’état membre :

  • De sa résidence habituelle ;
  • De son lieu de travail ;
  • Du lieu où la violation a été commise.

La personne victime d’une violation peut également se faire représenter par un organisme, une organisation ou une association à but non lucratif.

 

Réparation effective

 

L’un des objectifs de la RGPD est de prévoir une réparation.

La responsabilité du préjudice sera portée par l’acteur responsable : responsable de traitement, co-responsable et sous-traitant.

Si le préjudice est à l’origine de plusieurs responsables, chacun est tenu responsable de l’entière responsabilité. Les co-responsable s’entendront ultérieurement pour répartir la part de responsabilité.

À savoir : Le CEPD (Comité Européen de la Protection des Données) encadre également le principe de RPGD. Son enjeu présent et majeur est de veiller à la bonne application du règlement. Si vous avez un DPO (Délégué à la Protection des Données) en interne, il peut rentrer en contact avec le CEPD pour avoir des informations complémentaires.

 

Il est essentiel de garantir les droits des internautes. Une entreprise se doit d’être en conformité avec les dispositions légales du règlement de protection des données à caractère personnel.
Tous les services de la société sont concernés, une formation interne peut être nécessaire afin d’assurer le respect de la loi. Son effet étant déjà en place sur le territoire européen (et donc français), il ne faut plus attendre et faire de ce sujet une priorité.

Nous vous invitons à parcourir le site de la CNIL afin d’en savoir. Dans chaque paragraphe concernant le traitement de la donnée est présent les finalités pour être conforme. Les acteurs se doivent de s’y référer.

 

Pour approfondir les questions liées à la gestion d’entreprise, n’hésitez pas à visiter notre blog 🙂

Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.