Sélectionner une page

Dans le cadre de la mise en œuvre de la conformité RGPD, le règlement général impose une information précise, transparente, compréhensible et facilement accessible aux personnes concernées au traitement. La précision dans la clause RGPD du contrat permettra de définir le rôle et le droit de chacun. Explications.

 

Les clauses, une formalité pour assurer la transparence.

La traçabilité des flux de données et la manière dont celles-ci transitent d’une structure à une autre est l’un des principaux objectifs des règles de protection des données. La principale difficulté réside sur les cas particulièrement fréquents de sous-traitance.

Pour les responsables de traitement, ils doivent s’assurer que les sous-traitants chargés de traiter en partie ou en intégralité les données personnelles soient en conformité avec le RGPD.

En qualité de sous-traitant, il est donc fortement conseillé d’informer auparavant le client de sa mise en conformité. Celui-ci doit être averti et en accord avec la nouvelle politique des données personnelles. La modification apportée au contrat devra alors lui être soumis pour validation avant son exécution.

Au point de vue de la CNIL et dans la mise en application du RGPD, on est considéré comme un sous-traitant si on traite des données personnelles sous les directives d’un responsable de traitement.

Dès que la responsabilité permet un droit d’accès à certaines données sensibles qu’il soit pour gestion, traitement ou conservation, on est un sous-traitant.

Tels que les prestataires de services informatiques, les sociétés de services marketing ou de ressources humaines, les sous-traitants peuvent être des organisations ou une autorité publique qui sont amenées à collecter et à traiter des données à caractère personnelle (exemple : une prospection commerciale).

Les obligations organisationnelles sur le traitement.

Lors du traitement d’un flux de données, le sous-traitant et le responsable de traitement sont des entités juridiques différentes.

D’une part, le responsable du traitement est la personne physique ou morale qui détermine seul ou collectivement les finalités et les moyens du traitement des données à caractère personnel.

D’autre part, le sous-traitant est celui qui va traiter ces données à la demande et pour le compte du responsable du traitement.

Le RGPD a élargi les obligations du sous-traitant vis à vis des données personnelles qu’il traite pour le compte du responsable de traitement.  Entre autres, l’obligation de transparence et de traçabilité, imposant la tenue d’un registre des traitements. Ce registre répertorie les actions menées sur les données transmises.

Le sous-traitant ne doit pas, par la suite, recruter un autre sous-traitant de son côté sans le consentement écrit du responsable du traitement.

 

Les obligations en matière de protection des données.

Pour les outils et services mis en œuvre, ils doivent, dès leur conception, être en conformité avec le règlement sur la protection des données à caractère personnelle en général, et la clause RGPD en particulier.

On doit, par ailleurs, assurer que seules les données qui font l’objet d’un traitement demandé sont conservées et traitées, et ce uniquement par les personnes habilitées à les traiter

Le personnel de traitement doit pouvoir garantir aux clients que leurs données sont sécurisées et traitées dans la plus grande confidentialité. En savoir plus sur l’essentiel à retenir sur la clause RGPD.

Enfin, et non des moindres, la clause RGPD stipule une obligation d’offrir une prestation répondant aux attentes des clients. D’être accessible pour assurer une assistance, donner des conseils et fournir aux clients les données dont ils ont besoin. L’entreprise  a le devoir de conserver les données. Cette obligation permet au responsable du traitement de répondre aux requêtes des personnes qui souhaitent exercer leurs droits en matière de protection des données personnelles : droit à l’accès, la portabilité, et droit à l’oubli. Le responsable du traitement des données a l’obligation d’alerter les personnes concernées en cas de faille de sécurité des données.