Captivea Ce règlement introduit différents acteurs et notamment les responsables de traitements et les sous-traitants de données à caractère personnel. https://www.captivea.com/web/image/10086-action-3382792_1920.jpg

RGPD : Responsable du traitement ou Sous traitant, comment se positionner ?

Arnaud Gaillard
Arnaud Gaillard
    17 octobre 2018
 

Main Cover

Le RGPD est en application depuis le 25 mai 2018 et beaucoup d’entreprises se sont mises, ou se mettent encore, en conformité à ce règlement. Ce règlement introduit différents acteurs et notamment les responsables de traitements et les sous-traitants de données à caractère personnel. Dès lors, il est parfois bien difficile de se positionner en tant que responsable de traitement, sous-traitant ou peut-être même bien les deux selon les cas.

Avant de continuer, il convient de bien se rappeler la définition que nous apporte le RGPD pour chacun de ces deux acteurs.

rgpd : Qui fait quoi ?

Qui fait quoi ?

Premièrement, le responsable d’un traitement est une personne physique ou morale, un service ou une organisation qui détermine les finalités et les moyens de ce traitement. Ce responsable va en outre porter la responsabilité légale de ce traitement.

Le sous-traitant de données à caractère personnel, quant à lui, est une organisation qui traite ces données à caractère personnel pour le compte d’un responsable de traitement.


Télécharger la matrice de positionnement

Le guide du sous-traitant proposé par la CNIL dans son édition Septembre 2017, donne quelques exemples type de sous-traitant de données à caractère personnel :

  • Les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique (ESN ou ex-SSII)

  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de client

  • Plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.

rgpd : Le traitement des données

Le traitement des données

Une dernière notion importante : le traitement des données personnelles.

L’article 4 du RGPD défini un traitement comme une opération ou un ensemble d’opérations automatisées en tout, en partie ou pas du tout et appliquées à des données à caractère personnel.

Cet article donne aussi des exemples d’opération tel que la collecte, la structuration, la sauvegarde … jusqu’à la destruction des données.


Lire le guide complet RGPD >

Mise en oeuvre

Les bases théoriques étant posées, par où dois-je commencer ?

Concernant le domaine du RGPD, tout démarre du traitement et du registre des traitements constitué lors de la phase de cartographie.

Par la constitution de ce registre, vous avez identifié les traitements de données à caractère personnel réalisés dans la structure auditée et toutes les organisations tiers qui vont être impliquées dans le traitement de ces données.

Vous savez donc, pour chacun de vos traitements, quels acteurs vont manipuler les données à caractère personnel que vous avez collectées et traitées en partie. Ces organisations tiers devront être considérées comme des sous-traitant dans le sens du RGPD et concernant les données à caractère personnel que vous manipulez dans vos traitements.

rgpd : Mise en oeuvre

 

Il est alors aisé, après avoir fait la cartographie, de connaître les sous-traitants, dans le sens RGPD du terme, qui interviennent dans ces traitements.

Le fait qu’une société soit sous-traitant n’est alors pas une chose qui se discute ou se négocie, vous l’avez constaté par la réalisation de votre cartographie.

rgpd : Le positionnement de chacun

Le positionnement de chacun

L’erreur couramment faite est d’utiliser l’argument, parfois fallacieux, consistant à dire que, dans tous les cas, l’organisation détermine les finalités et les moyens de tous les traitements de données à caractère personnel qu’elle met en oeuvre. Lui évitant ainsi toutes les obligations liées au sous-traitant. La réalité est bien différente et surtout pleine de nuances.

Le positionnement est tout sauf évident et doit être envisagé traitement par traitement. Pour vous aider dans votre positionnement, nous avons imaginé pour vous une matrice simple permettant de vous orienter.


Télécharger la matrice de positionnement

Formations RGPD / GDPR

Formations RGPD / GDPR

Le RGPD est entré en vigueur en Europe depuis quelques mois, et nous avons déjà pu voir de nombreux changements quand à l’utilisation des données personnelles.

Lire l'article

Le DPO, un rôle crucial dans le RGPD

Le DPO, un rôle crucial dans le RGPD

Depuis quelques mois ma façon de travailler, de collecter et d’utiliser les données à changée. Et oui, un DPO a été nommé, pour mettre en place la conformité RGPD dans notre entreprise !

Lire l'article

Et oui, tout le monde est concerné par le RGPD...

Et oui, tout le monde est concerné par le RGPD...

Depuis le 25 mai 2018, la nouvelle réglementation de protection des données est entrée en vigueur pour toutes les entreprises, structures, organismes qui traitent des données personnelles des ressortissants européens.

Lire l'article

Rôles RGPD : à qui les attribuer?

Rôles RGPD : à qui les attribuer?

Le RGPD est l’affaire de tous. D’une part, car cela concerne nos données personnelles, en tant que citoyen et d’autre part, car en tant que professionnel, cela va modifier profondément nos manières de faire.

Lire l'article

Arnaud Gaillard

Par Arnaud Gaillard , le 17 octobre 2018

En tant que DPO de Captivea et consultant RGPD / DPO externalisé pour nos clients, je partage sur le blog des articles autour de la mise en conformité RGPD et de son application dans les entreprises.

Odoo : Site web, E-commerce et Blog

Sébastien Duchène

Lire le suivant