GDPR (3) Traitement des données et différents rôles

1 août 2017

Pour évaluer l’impact du GDPR sur votre entreprise ou votre fonction, vous ne devez pas seulement savoir quelles données sont à caractère personnel, mais aussi ce que la loi entend exactement par traitement des données. Vous devez également bien comprendre les différents rôles impliqués dans le traitement des données à caractère personnel. Le rôle que vous jouez détermine en effet dans une large mesure vos responsabilités et obligations.

Traitement des données

Vous devez considérer le traitement des données au sens large. La collecte de données de contact ou portant sur les centres d’intérêt, le comportement d’achat, les visites de sites web, etc. nous vient certes spontanément à l’esprit. Ces informations servent à des campagnes de vente ou de marketing.

Or, cela va bien au-delà. Toute activité ayant trait aux données de personnes constitue en fait une forme de traitement des données à laquelle s’applique le GDPR. Regarder ou consulter des données, conserver ou effacer des données, transporter des données,… sont autant d’exemples de ce que la loi entend par traitement des données. Et puisque chacun devra bientôt dresser un inventaire des traitements de données qu’il effectue lui-même ou confie à des tiers, il convient d’interpréter la matière aussi largement que possible. Qu’une entreprise chargée de la gestion du personnel pour des tiers traite des données à caractère personnel, cela va de soi. Mais le prestataire qui vient collecter du vieux papier à la demande de votre entreprise procède également à un traitement des données, dès lors qu’il s’agit de documents imprimés contenant des données à caractère personnel. L’utilisation de données personnelles par des personnes privées dans le cadre familial ne tombe toutefois pas sous le coup du GDPR ; le travail des tribunaux et des services d’ordre non plus, car il est soumis à une autre législation.

Les rôles

En ce qui concerne le traitement des données, la législation relative à la protection de la vie privée distingue différents rôles, dont les principaux sont le « Responsable du traitement » et le « Sous-traitant ». On utilise également souvent les termes anglais « data controller » et « data processor ».

Le Responsable du traitement est celui qui prend l’initiative de (faire) collecter et tenir des données à caractère personnel, dans le but de les traiter d’une manière ou d’une autre. Le Responsable doit déterminer les finalités spécifiques du traitement des données et prouver que celui-ci repose sur une base légitime. Il doit examiner au préalable quelles données à caractère personnel sont nécessaires à cet effet. Pour la législation, il est essentiel de ne pas collecter et traiter de données au-delà de celles qui sont strictement nécessaires pour atteindre l’objectif visé. Le non-traitement de données constitue en effet le meilleur moyen de protéger la vie privée. Le Responsable garantit également la sécurité des données collectées. Il assure leur disponibilité et veille à ce que leur confidentialité et leur intégrité soient en tout temps préservées (autrement dit, qu’elles ne soient ni modifiées ni effacées à tort). Les données doivent par ailleurs être exclusivement utilisées aux fins pour lesquelles elles ont été collectées.

Le rôle du Sous-traitant consiste, pour sa part, à traiter les données à caractère personnel mises à sa disposition par le Responsable, conformément aux instructions et à l’objectif de ce dernier. Le Responsable peut bien entendu remplir lui-même ce rôle. S’il fait toutefois appel à une tierce partie, celle-ci n’endosse que le rôle de sous-traitant. Il s’agit d’une distinction fondamentale qui sert de base aux obligations légales. À noter que, contrairement à l’ancienne loi sur la vie privée, le GDPR impose également explicitement des obligations au Sous-traitant.

Mais, dans les faits, on se rend bien compte que la répartition des tâches n’est pas toujours si simple. Il est ainsi parfaitement possible que les données à caractère personnel soient en fait collectées par un Sous-traitant. Un Responsable peut en effet confier à un Sous-traitant la tâche de collecter, enrichir et analyser des données à caractère personnel dans le cadre de sa mission. L’ensemble de ces tâches illustre ce que la loi entend par « traitement des données à caractère personnel ». Ce n’est pas parce que vous collectez des données que vous êtes automatiquement le Responsable ; mais, inversement, vous demeurez responsable en tant que donneur d’ordre, même si vous confiez la collecte des données à un sous-traitant.

À l’avenir, un contrat devra clairement indiquer quels sont les rôles du donneur d’ordre et du preneur d’ordre dans le traitement des données. Il convient donc d’y prêter l’attention nécessaire. La nouvelle loi part d’ailleurs du principe que le traitement des données est toujours encadré par une convention de sous-traitance fixant clairement les obligations respectives en termes de confidentialité des données. Dans le même temps, vous devez comprendre que vos responsabilités sont liées au rôle que vous jouez en réalité, quelles que soient les dispositions du contrat. Cela veut dire qu’en tant que sous-traitant, vous devez veiller à ne pas prendre de responsabilités ne relevant pas de votre rôle. La limite la plus importante et évidente à respecter consiste à ne jamais utiliser les données que le responsable vous confie à d’autres fins que celles fixées dans le cadre de votre mission.

Enfin, la loi détermine également un troisième rôle clair, celui de la Personne concernée (ou « data subject » en anglais).  La Personne concernée est la personne individuelle à laquelle se rapportent des données à caractère personnel spécifiques. C’est la Personne concernée qui est au premier chef protégée par la loi. Le GDPR octroie explicitement à la Personne concernée un certain nombre de droits sur ses données personnelles. Il s’agit d’un fondement du nouveau règlement. Tout d’abord, le GDPR exige la transparence à l’égard de la Personne concernée quant au traitement de ses données. Celle-ci a en outre droit à ce que l’on appelle généralement un usage loyal (« fair use ») de ses données. Sont concernés tant l’acquisition et le traitement légitimes des données que le soin apporté pour les tenir à jour, les protéger suffisamment et ne les utiliser que dans le but fixé. La Personne concernée a le droit d’être informée de tous ces aspects. Dernier point mais non des moindres, la Personne concernée peut disposer dans une large mesure de ses données individuelles (elle peut les demander, les faire corriger ou supprimer ou faire cesser leur traitement).

Les droits et obligations incombant à chaque rôle sont expliqués en détail plus loin dans le blog.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com.

LOADING