General Data Protection Regulation : le responsable et le sous-traitant
Une entreprise belge qui effectue un traitement de données personnelles doit se conformer au règlement. Ce traitement doit être licite. De plus, il faut pour être en conformité avec le GDPR mettre au point des mesures organisationnelles. Ainsi, la cartographie des traitements a déjà fait l’objet de notre attention. Il faudra également pour le responsable du traitement être en mesure de démontrer que le traitement est effectué conformément au règlement (principe d’accountability).
Savoir si vous êtes responsable du traitement ou sous-traitant est donc primordial car les obligations ne sont pas les mêmes. Est responsable du traitement « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». C’est celui qui décide. Le sous-traitant en revanche est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». C’est celui qui exécute. Si vous avez des sous-traitants, il peut être utile de tenir également un registre des sous-traitants pour pouvoir contrôler ce qu’il en est dans un tel cas.
Tenir un registre des traitements n’est pas une obligation pour une entreprise ayant moins de 250 salariés mais c’est tout de même la meilleure manière pour respecter le principe d’accountability et ainsi prouver en tout temps la conformité avec le règlement de ce que l’on fait.
Dans le même ordre d’idée, le responsable du traitement doit notifier les failles de sécurité en moins de 72 heures à l’autorité de contrôle (hacking, fuite de données,…). Il faudra également le faire savoir aux personnes à qui se rapportent les données dans les meilleurs délais si cela représente un risque élevé pour leurs droits et libertés. Pour cela, il vaut mieux être prêt avec un registre des notifications, même si vide au départ, qui permettra de réagir rapidement le jour où le problème survient pour ne pas être en retard.
Plus d’informations sont disponibles à l’achat à l’adresse suivante : https://www.infoucm.be/Decouvrez-notre-offre-de-services. Vous y trouverez le guide « Boostez la protection des données de votre entreprise » et également une boite à outils comprenant un questionnaire vous permettant d’établir un bilan poussé afin de cibler vos démarches de mise en conformité ; des fiches thématiques sur les grands principes du nouveau règlement, les questions essentielles à se poser et les outils à implémenter (exemple: une clause permettant de recueillir les consentements, une trame de registre de traitements…).
A nouveau, ces démarches ne se font pas en un jour et nécessitent une bonne connaissance du règlement. Nous vous invitons à vous renseigner au besoin pour trouver une personne capable de le faire pour vous et vous éviter les amendes de non-conformité.
—
Attention : cette note a été rédigée à des fins essentiellement pédagogiques et vise à informer et conscientiser sur l’entrée en vigueur prochaine du GDPR. Elle ne constitue en aucun cas un exposé exhaustif de la réglementation applicable ou du sujet traité. En utilisant les informations contenues dans ce billet, le lecteur renonce à mettre en cause la responsabilité de l’Union des Classes Moyennes et de l’auteur, même en cas de faiblesse ou d’inexactitude, flagrante ou non, de son contenu.