RGPD, est-ce aussi pour moi ? Et suis-je responsable du traitement, ou sous-traitant?

20 janvier 2021 | dJ Talks

Quand les règles du RGPD entrent-elles en jeu ? C’est simple : à partir du moment où les données personnelles sont traitées. Dans ce blog, nous expliquons ce que nous entendons par « données à caractère personnel » et « traitement ». Nous aborderons ensuite les deux principaux acteurs impliqués dans ce traitement de données, à savoir le « responsable du traitement » et le « sous-traitant ».

Données à caractère personnel

Les données personnelles sont l’essence même de ce que le RGPD protège. Une donnée à caractère personnel est toute information concernant une personne vivante et individuelle qui est identifiée ou identifiable. Les informations provenant de personnes morales, telles que le nom, les coordonnées ou la forme juridique d’une société, ne sont pas des données personnelles et ne sont donc pas protégées par le RGPD, sauf lorsqu’elles concernent une personne physique.

Un exemple : jan.jansens@janszonen.be est une donnée personnelle, info@janszonen.be ne l’est pas.

Vous pouvez interpréter les données personnelles de manière très large. Le principe de base est que les données peuvent être utilisées pour établir un lien avec une certaine personne. Il peut s’agir d’un lien direct qui vous permet de savoir immédiatement à qui il se rapporte à partir d’une seule information. Ensuite, la personne est « identifiée« . Mais un lien indirect suffit également, lorsqu’une donnée combinée à d’autres données peut mener à une certaine personne. Dans ce cas, la personne est « identifiable« .

Les données purement anonymes ne sont donc pas des données personnelles. Soyez prudents, car il faut suivre une procédure difficile et très technique pour obtenir des données purement anonymes. Des données qui semblent à première vue abstraites sont à nouveau des données personnelles dès qu’il y a une chance de réidentifier une personne (« singling out« ).

Exemples de données à caractère personnel : noms des clients ou des employés, un numéro de téléphone personnel ou une adresse électronique, des données bancaires et de paiement, des données sur la santé, des données de localisation, une adresse IP…

Le RGPD fait la distinction entre les données personnelles ordinaires et les données personnelles spéciales (sensibles). Les données sensibles sont des données dont on peut déduire, entre autres, la race, les opinions politiques, l’orientation sexuelle ou l’état de santé d’une personne. Le RGPD introduit également une nouvelle catégorie de données personnelles spéciales, à savoir le traitement des données génétiques, des données biométriques dans le but d’identifier une personne de manière unique. Le traitement de ces données particulières est soumis à des règles plus strictes et entraîne des obligations supplémentaires pour le responsable du traitement. De plus amples informations sur les données sensibles suivront dans les prochains blogs !

Traitement

Tout traitement de données à caractère personnel est appelé traitement. Cela peut également être interprété de manière très large. Elle comprend la collecte, la mise à jour, le stockage, la consultation, l’utilisation, la transmission, la distribution, la structuration, la combinaison et la suppression ou la destruction des données à caractère personnel. Cette liste n’est certainement pas exhaustive, il existe d’autres possibilités de traitement des données.

Pour entrer dans le champ d’application du RGPD, le traitement doit être automatisé ou enregistré dans un fichier ou destiné à être enregistré dans un fichier. En d’autres termes, le traitement oral n’est pas couvert. Ce qui compte, c’est ce qui est effectivement enregistré quelque part. Cet enregistrement peut toutefois être électronique ou tangible sur papier. Soyez donc prudent lors de l’impression et du stockage : cela forme un trésor de données personnelles difficile à contrôler !

Exemples de traitement : consultation des données des clients, envoi de courriers électroniques publicitaires (« direct marketing »), destruction des données relatives au personnel, stockage des données relatives aux demandes d’emploi, etc.

Responsable du traitement

Le responsable du traitement est une personne ou un service qui détermine pourquoi et comment les données personnelles sont traitées. Cette personne ou ce service peut le faire seul ou avec d’autres. Dans ce dernier cas, les responsables du traitement communs doivent préciser leurs responsabilités mutuelles.

Le responsable du traitement a de nombreuses obligations, comme celle d’informer la personne dont les données sont traitées. Le responsable du traitement doit également veiller à ce que des mesures techniques et organisationnelles appropriées soient prises pour protéger les données comme prévu par le RGPD.

Par exemple, si je décide de conserver un dossier sur tous mes clients et leurs projets en cours, je suis alors responsable du traitement des données en ce qui concerne ce traitement.

Sous-traitant

Le sous-traitant traite les données à caractère personnel pour le compte du responsable du traitement. En conséquence, le responsable du traitement et le sous-traitant doivent régler les modalités du traitement dans un accord (l’accord du sous-traitant), y compris :

  • la nature et la finalité du traitement ;
  • les différents types de données à caractère personnel qui seront traitées ;
  • les catégories de personnes concernées dont les données seront traitées ; et
  • les droits et obligations des deux parties.

Le responsable du traitement ne peut donc jamais faire plus avec les données à caractère personnel que ce qui lui est demandé par le responsable du traitement.

Une variante de l’exemple précédent : si je décide de faire appel à un fournisseur de système CRM pour mettre en œuvre ma décision de conserver un fichier avec tous mes clients et leurs projets en cours, alors ce fournisseur sera un sous-traitant pour moi.

Situations hybrides

Une organisation doit donc examiner pour chaque activité de traitement si elle est un sous-traitant ou un responsable du traitement. En d’autres termes : décident-ils eux-mêmes de l’objectif et des moyens, ou cela leur est-il imposé ?

Il est donc possible qu’une seule et même organisation puisse remplir à la fois le rôle de responsable du traitement et de sous-traitant, pour différentes activités de traitement.

Par exemple : en tant que développeur et hébergeur web, je tiens un fichier des clients pour lesquels j’héberge des sites web (et à qui je facture également). Pour ce traitement, je suis le responsable du traitement des données. Si j’effectue également la maintenance des sites web hébergés pour ces clients, je suis alors un sous-traitant pour un traitement dont mon client est le responsable.

Conclusion

La distinction entre le responsable du traitement et le sous-traitant est, d’une part, si cruciale en raison des différentes responsabilités et, d’autre part, dans certaines circonstances si obscures et délicates, qu’une analyse approfondie et objective est certainement souhaitable. Après tout, le RGPD est essentiellement une question de responsabilité et de documentation.

Avez-vous également des doutes quant à votre rôle en tant que sous-traitant ou responsable du traitement des données ? Contactez nos spécialistes à l’adresse hallo@dejuristen.be.

Rédigé par Larissa De Keyser, Trainee lesJuristes, Duygu Öztürk – CIPP/E, Privacy Chair lesJuristes en Kris Seyen, Partner lesJuristes.

Nos services

Technologie de l’information

Propriété intellectuelle

Vie privée

e-Compliance