rgpd

Le RGPD 2018 est entré en vigueur. Ce nouveau cadre législatif appliqué à la data protection, commun à toute l’Union européenne, vise l’ensemble des acteurs du traitement de données à caractère personnel. Lors d’un traitement de données personnelles, plusieurs acteurs peuvent intervenir, à commencer par le responsable de traitement et le sous-traitant.

 

Le responsable de traitement des données à caractère personnel désigne la personne, physique ou morale, ou bien le service, l’autorité publique ou encore un tierce organisme, qui seul ou bien conjointement, détermine et met en place les moyens de traitement appliqués aux données. Quant au sous-traitant, qui peut être une personne physique ou morale, une autorité publique, un service ou bien un autre organisme, son rôle est de traiter les données personnelles pour le compte du responsable de traitement, dans le cadre d’une prestation ou d’un service.

 

Les engagements du sous-traitant auprès du responsable de traitement

 

Toute relation existante entre une entreprise qui confie des données personnelles à des prestataires doit faire l’objet d’un contrat écrit, lequel détermine notamment les obligations entre les acteurs du RGPD 2018 :

 

  • L’objet du traitement de données personnelles, sa finalité et quels seront les types d’informations collectées. Ce contrat doit également déterminer les personnes concernées et la durée de conservation de leurs données.
  • Les différentes obligations et droits des parties signataires.
  • L’obligation, pour le sous-traitant, de se conformer aux directives fixées par le responsable de traitement des données personnelles.
  • L’obligation, toujours pour le sous-traitant, d’apporter son aide au responsable de traitement dans sa mise en conformité avec le RGPD 2018.
  • Le sous-traitant doit s’engager à ne pas sous-traiter à son tour les données personnelles, sauf si le responsable de traitement l’y autorise expressément.
  • A la fin du contrat, le sous-traitant s’engage à supprimer ou bien renvoyer au responsable de traitement les données traitées.
  • Enfin, tous sont tenus à une obligation de confidentialité.



En cas de non-respect des exigences du RGPD, la CNIL, en charge de veiller au bon respect du règlement, peut appliquer des sanctions sévères aux organismes fautifs. En ce qui concerne l’application du RGPD, la CNIL est particulièrement exigeante. Les entreprises qui ne respectent pas strictement le cadre législatif fixé par le RGPD, s’exposent à des amendes de la CNIL pouvant atteindre jusqu’à 4% de leur chiffre d’affaires annuel total.