RGPD & traitement des données : qui est impliqué ?

Le Règlement Général sur la Protection des Données a pour principal objectif de responsabiliser les entreprises qui manipulent les données personnelles de leurs clients ou prospects. Cette réglementation relative au traitement des données s’applique à tous les pays membres de l’Union Européenne et aux ressortissants européens de ces pays. Qui est concerné par le RGPD ? A qui incombe le respect de cette réglementation ? Tour d’horizon de la question.

Le responsable du traitement, première personne impliquée

Au sein d’une entreprise, la première personne concernée par le traitement des données personnelles est le responsable du traitement. Très souvent, il s’agit du chef d’entreprise, c’est-à-dire la personne qui dirige, décide et met en place les traitements de données. La responsabilité de cette personne est d’ordre pénal. C’est dire qu’en cas de non-respect des exigences liées au traitement des données RGPD, ce n’est pas seulement l’entreprise qui sera poursuivie, mais bien son dirigeant.

Cette précision voudra dire qu’au sein d’une entreprise, les employés qui opèrent des traitements de données RGPD agissent pour exécuter les missions de leur supérieur hiérarchique, en sa qualité de responsable du traitement. De même, ce responsable peut avoir à sa charge un ou plusieurs traitements au même moment. Il convient toutefois de préciser qu’une personne morale peut aussi être responsable du traitement des données.

D’ailleurs, le RGPD définit ce responsable comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Par conséquent, les traitements des données RGPD peuvent être sous la responsabilité d’une personne morale et pas forcément d’un individu. Ce responsable est en charge de la mise en place des mesures appropriées, afin d’apporter la preuve, le moment venu, du fait que le traitement de données personnelles est effectué dans le respect des normes et exigences légales.

Par ailleurs, il est à noter que plusieurs personnes peuvent avoir la responsabilité d’un seul et même traitement de données. Dans un tel cas de figure, leur responsabilité est conjointe. En ce sens, l’article 26 du RGPD leur recommande de définir clairement leurs obligations respectives par un accord conclu entre eux. Les lignes directrices de cet accord répartissant les responsabilités des unes et des autres parties doivent être communiquées aux personnes dont les données à caractère personnel sont traitées.

Le responsable du traitement et le sous-traitant

Un organisme opérant des traitements de données personnelles peut demander à un sous-traitant la mise en œuvre d’un traitement de données personnelles pour son compte. Dans ce cas de figure, même si le responsable du traitement est toujours rattaché à l’entreprise, c’est le sous-traitant qui a la charge de la réalisation du traitement.

En ce sens, le RGPD impose en son article 28 que les deux parties soient liées par un contrat régissant le traitement de données RGPD effectués par le sous-traitant. Le contrat en question doit encadrer la réalisation en termes de durée, de nature, de finalités, de types de données traitées, d’obligations et de droits du responsable de traitement. Malgré ces exigences, toujours est-il que c’est le responsable agissant au nom de l’entreprise qui met sa crédibilité en jeu, et le sous-traitant ne peut être apprécié en qualité de responsable de traitement que s’il avait lui-même décidé en amont des finalités et moyens du traitement mis en œuvre. Le sous-traitant doit par ailleurs présenter des garanties suffisantes quant à sa capacité à traiter les données comme il se doit, en déployant des moyens techniques et organisationnels conséquents. Au cas où le sous-traitant déciderait à son tour de recourir à un autre sous-traitant, il doit recevoir l’approbation expresse du responsable de traitement. Lorsqu’il manque à ses obligations, le sous-traitant engage sa propre responsabilité.

DPO et traitement des données

Le RGPD est assez clair et impose la nomination d’un Délégué à la Protection des Données (DPO) dans certains cas bien définis. Sont notamment concernés par cette exigence :

• les autorités ou organismes publics (administrations, ministères) ;
• les organismes et entreprises dont les organismes imposent la réalisation d’un suivi régulier et systématique à grande échelle des personnes ;
• les organismes dont les activités de base imposent le traitement à grande échelle des données dites « sensibles » (données génétiques, biométriques, relatives à la santé, à la religion, à une opinion politique) ou des données liées à des condamnations pénales et/ou à des infractions.

Au regard de ces spécifications, il convient de remarquer que les cas de désignation d’un DPO comme responsable de traitement des données personnelles peuvent paraître ambigus. Entre les notions de « suivi régulier » et de « suivi systématique », il n’est pas toujours aisé d’appréhender les traitements de données RGPD dans leur globalité. Il en sera de même lorsqu’il s’agira d’apprécier le moment où l’on pourra parler de traitement « à grande échelle » des données à caractère personnel.

Afin d’élucider toutes ces interrogations, le G29 regroupant les différentes autorités de contrôle européennes (équivalent de la CNIL en France), a proposé des approches d’interprétation de ces dispositions. Ainsi, en matière de traitement des données au regard du RGPD, un suivi régulier s’apparenterait à un suivi continu ou ponctuel, récurrent ou itératif (répété plusieurs fois), qui est en cours, ou qui se fait pendant des périodes données. Quant au suivi systématique, il s’entend comme tout suivi prévu, organisé ou méthodique. Le « traitement à grande échelle » quant à lui sera déterminé par le nombre de personnes et le volume des données RGPD.

Le DPO et le responsable du traitement des données RGPD

La question qui se pose ici est celle du cumul de ces deux fonctions par une même personne. D’abord, il faut préciser que le Délégué à lé protection des données (DPO ou DPD) peut être interne ou externe à l’entreprise ou à l’entité dont il assure la conformité au RGPD. Sous certaines conditions, il peut aussi être mutualisé au sein d’un groupe d’entreprises. Au cœur de l’application rigoureuse du RGPD, il est à la fois juriste, pédagogue, porte-parole. C’est une personne polyvalente. Et à la question de savoir si le DPO peut aussi être responsable du traitement de données, la réponse est non. Même si le RGPD ne l’interdit pas expressément, il faut constater que le travail du DPO consiste en la mise en conformité des traitements vis-à-vis des exigences du RGPD, du droit national et européen. Il est donc indépendant du responsable de traitement et du sous-traitant, dont il ne peut recevoir d’ordre. Le chargé du traitement et le DPO sont donc des personnes distinctes.

Les sanctions en cas de non-conformité

En cas d’omission ou de refus de mise en place des procédures et directives destinées au respect du traitement des données RGPD, les entreprises concernées s’exposent à une amende administrative de l’ordre de 4% de leur chiffre d’affaires de l’année précédente. A cette amende, viennent s’ajouter l’amende au tribunal pénal et les éventuels dommages et intérêts si la partie civile a porté plainte. Il faut préciser que les administrations sont aussi concernées par le RGPD. L’amende administrative qu’il leur sera imposé de payer peut aller jusqu’à 20 millions d’euros. Pour une entreprise comme pour les administrations, le niveau de l’amende s’appréciera selon la gravité de l’infraction. En l’absence d’une jurisprudence en matière de manquement aux traitements des données RGPD, il est difficile de dire quand et dans quelles conditions la peine maximale pourra être envisagée.