Responsabilité et sanctions sous la RGPD

La RGPD amène le principe de responsabilité conjointe au secteur de la protection des données.
Écrit par : Martin
05/07/2019 - 4 min de lecture

Nous évoquions la notion de responsabilité RGPD dans notre dernier article sur le RGPD où nous présentions les différents outils et modèles mis en place par la RGPD pour responsabiliser les acteurs de la protection des données.
Aujourd’hui nous rentrons dans le détail de cette responsabilité et sur les sanctions que le Règlement prévoit en cas d’infractions (et attention, ça ne rigole pas du tout !)

 

Qui est responsable ?

 

La RGPD amène le principe de responsabilité conjointe au secteur de la protection des données.
Il implique ainsi une coresponsabilité : pour le même traitement, il peut y avoir plusieurs responsables.

On parle de coresponsabilité dès qu’il y a au moins de deux responsables des finalités et modalités de traitement de données personnelles.

Lorsque c’est le cas, il faut faire attention à 4 aspects :

  • Clarifier de manière formelle (contrat et autre) les rôles et responsabilités de chacun
    Préciser par exemple qui répond à une demande de droit d’accès aux données, Et informe ainsi les personnes concernées, qui met en oeuvre les mesures de sécurité etc…
  • La personne concernée pas le traitement de données ne s’adressera pas toujours au responsable désigné, mais s’adressera à l’organisation en général.  La personne contactée doit donc pouvoir facilement se tourner vers la personne responsable pour obtenir une réponse. En conséquent elle ne peut pas  décliner la demande sous prétexte qu’elle n’est pas directement responsable
  • Les parties sont libres de se répartir les rôles comme bon leur semble à conditions que l’ensemble des tâches soient couvertes
  • Les accords doivent être mis à disposition des personnes concernées. Elles doivent toujours pouvoir savoir qui est responsable de la protection de leur donnée 

 

La responsabilité des sous-traitants

 

Ici sont concernés tous ceux qui traitent des données personnelles pour le compte et selon les instructions d’un autre organisme.

Les sous-traitants ont de nombreuses obligations. Mais les organismes ont aussi la responsabilité de s’assurer que le sous-traitant dispose de moyens suffisants pour respecter le cadre de la RGPD.

Un contrat doit être contracté entre l’organisme et son sous-traitant; des exemples de clauses sont publiées par la CNIL dans le guide du sous-traitant.

Le sous-traitant est ainsi soumis à quatre types d’obligation :

 

Transparence & traçabilité

 

Le sous-traitant doit :

  • Consigner par écrit les instructions de son client sur le traitement des données afin de pouvoir prouver qu’il agit “sur instruction documentée du responsable de traitement”
  • Demander l’autorisation de son client en cas de sous-traitance ultérieure
  • De plus il faut mettre à la disposition du client toutes les informations nécessaires à la vérification du respect de la protection
  • Tenir un registre qui recense les traitements qu’il effectue pour ses clients

 

Sécurité des données traitées

 

Le sous-traitant a l’obligation de :

  • Soumettre tous ses employés à une obligation de confidentialité
  • Prendre des mesures de sécurité adaptées aux risques encourus par les personnes en cas de violation
  • Notifier aux clients toute violation de leurs données
  • Supprimer les données ou les renvoyer à son client après l’exécution de la prestation
  • Détruire les copies existantes des données sauf en cas d’obligation légaleToutes ces obligations doivent donc être détaillées précisément dans le contrat

 

Encadrement de la sous-traitance ultérieure

 

Pour faire appel à son tour à un sous-traitant, le sous-traitant doit avoir une autorisation écrite générale ou spécifique de la part du responsable du traitement.
S’il s’agit d’une autorisation générale, il sera alors nécessaire d’informer le responsable à chaque fois qu’on sollicite un sous traitant.

Tous les sous-traitants ultérieurs devront être soumis aux mêmes exigences que le sous-traitant d’origine.

 

Accompagnement du responsable de traitement

 

Le sous-traitant doit accompagner le responsable du traitement pour la :

  • Les demandes des personnes exerçant leur droit d’accès
  • La sécurisation des données
  • L’analyse d’impact du traitement sur la vie privée et les libertés
  • Les notifications des violations de données

Tout comme l’organisme, le sous-traitant doit tenir un registre des activités et désigner un responsable.

 

Les sanctions et voie de recours

 

La CNIL a mis en place des moyens pour sanctionner les organismes qui ne respectent pas la RGPD.
Ces moyens facilitent l’exercice de leurs droits par les personnes concernant leurs données personnelles.
Cela permet de rééquilibrer les rapports de force entre la personne et l’organisme.

Les différents types de sanctions prévus sont :

  • Un rappel à l’ordre
  • Une injonction de mettre le traitement en conformité, sous le coup d’une possible astreinte
  • Une limitation temporaire ou définitive du traitement
  • Une suspension des flux de données adressées à un destinataire dans un pays tiers
  • Un ordre de satisfaire aux demandes des personnes concernées, y compris sous astreinte
  • Un retrait d’une certification
  • Une amende administrative
  • En cas du non respect des dispositions sur le DPO : 10 millions d’euros ou 2% du chiffre d’affaires mondial
  • En cas du non respect des principes fondamentaux ou des droits des personnes : 20 millions d’euros ou 4% du chiffre d’affaires mondial

 

Voie de recours pour les personnes concernées

 

Toute personne estimant le non respect de la gestion des données personnelles, peut faire appel à une autorité de contrôle ou les juridictions de l’état membre.

Il peut s’agir de l’autorité de l’état membre :

  • De sa résidence  habituelle
  • De son lieu de travail
  • Du lieu où la violation a été commise

La personne victime d’une violation peut également se faire représenter par un organisme, une organisation ou une association à but non lucratif.

 

Réparation effective

 

L’un des objectifs de la RGPD est de prévoir une réparation.

La responsabilité du préjudice sera portée par l’acteur responsable : responsable de traitement, co-responsable et sous-traitant.

Si le préjudice est à l’origine de plusieurs responsables, chacun est tenu responsable de l’entière responsabilité. Les co-responsable s’entendront ultérieurement pour répartir la part de responsabilité.

Vous pouvez trouver plus d’informations sur le sujet sur le site de la CNIL.

 

Merci d’avoir pris le temps de lire notre article !
Vous pouvez également nous suivre sur les réseaux sociaux : LinkedIn et Facebook

Abonnez-vous à notre Newsletter Nous vous partageons les tips des salariés chez Soan et l’actualité économique autour du paiement !