On pense souvent que le RGPD ne s’applique qu’à l’environnement en ligne. Ce n’est pas le cas ! Le RGPD est technologiquement neutre, c’est-à-dire qu’il s’applique au traitement des données à caractère personnel quel que soit l’environnement dans lequel il est effectué (en ligne, hors-ligne, via un site web, une application, dans un cadre professionnel, etc.).
Le RGPD s’applique au traitement des données à caractère personnel quel que soit l’environnement dans lequel il est effectué (en ligne ou hors-ligne)
Dans cet article, nous allons examiner ce qu’on appelle la conformité hors-ligne. Voici les principales obligations de conformité hors-ligne à prendre en compte :
Si vous êtes un responsable du traitement situé hors de l’UE, mais que vous proposez des biens ou des services (même gratuits) à des utilisateurs situés dans l’UE, ou que vous surveillez leur comportement, dans la mesure où celui-ci a lieu dans l’UE, vous devez désigner un représentant pour l’UE basé dans l’un des pays de l’UE où se situent vos utilisateurs.
Le représentant pour l’UE peut être une personne physique ou une personne morale.
Le représentant pour l’UE fonctionne comme un guichet unique, auprès duquel les personnes concernées peuvent soumettre une question, une demande ou une réclamation au responsable du traitement ou aux autorités de contrôle. En d’autres termes, le représentant doit transmettre au responsable du traitement toute demande de ce type, ainsi que toutes les informations liées dont il dispose. Globalement, il doit aider le responsable du traitement à se conformer au RGPD dans toutes ses dimensions, notamment en informant de toute violation de données à caractère personnel et en coopérant avec les autorités de contrôle. D’une manière générale, toutefois, c’est le responsable du traitement et non le représentant qui porte l’entière responsabilité des activités de traitement des données.
Le représentant pour l’UE est soumis à des obligations propres (et aux responsabilités qui en découlent). Par exemple, il doit conserver la trace des activités de traitement.
Selon le RGPD, vous devez désigner votre représentant pour l’UE « par écrit ». Vous pouvez par exemple utiliser notre modèle de contrat de désignation (en anglais), disponible par téléchargement direct en .docx :
Lorsque vous traitez des données personnelles en tant que responsable du traitement, vous devez souvent faire appel à un prestataire pour une partie des activités de traitement. Ce prestataire traitera généralement les données personnelles relatives à vos clients en votre nom : il ne les traitera pas pour lui-même. Le RGPD nomme ces prestataires des « sous-traitants ». La relation entre ces sous-traitants et vous-même, le responsable du traitement, s’appelle un contrat de traitement des données.
Vous vendez des chaussures en ligne. Lorsque des clients passent une commande, les chaussures sont emballées et l’expédition préparée par un prestataire extérieur, qui doit bien entendu avoir accès à toutes les données personnelles clients dont il a besoin pour honorer cette commande. Le prestataire extérieur traite donc des données clients en votre nom en tant que sous-traitant.
Conformément à l’article 28 du RGPD, les responsables du traitement et les sous-traitants doivent conclure par écrit — y compris en format électronique — un « Contrat de traitement des données ». Un tel contrat doit préciser les droits et les obligations des parties dans le cadre des opérations de traitement par un sous-traitant. Quelques exemples : les sous-traitants ne doivent agir que sur instruction des responsables du traitement, doivent mettre en place les mesures de sécurité adéquates, aux niveaux technique et organisationnel, pour garantir la protection des données à caractère personnel, doivent coopérer avec le responsable du traitement en cas de demandes des personnes concernées ou d’actions des autorités de contrôle, etc.
L’article 82 du RGPD prévoit, point très intéressant, que les responsables du traitement et les sous-traitants sont conjointement responsables vis-à-vis des tiers. En d’autres termes, dès lors qu’une personne concernée estime que ses données ont fait l’objet d’un traitement illégal, elle peut se tourner vers le responsable du traitement ou vers le sous-traitant pour obtenir réparation du préjudice subi. Ce n’est qu’ensuite que la partie qui a versé la réparation peut se retourner, à son tour, contre l’autre partie.
Une personne concernée reçoit une paire de chaussures, livrée à son adresse personnelle, bien qu’il n’en ait jamais fait la commande. Elle choisit de demander réparation au fournisseur qui a exécuté la commande. Ce dernier paie, puis use de voies de recours contre le responsable du traitement, puisque c’est celui-ci qui a donné l’instruction de livrer la paire de chaussures à la personne concernée plaignante.
Toute entité qui n’est pas désignée expressément sous-traitant est un « tiers ». Dès lors, si vous transmettez des données personnelles de vos clients à une partie qui n’a pas le titre de sous-traitant, vous transférez, d’un point de vue juridique, des données à un tiers — ce que vous ne pouvez faire qu’avec une base juridique telle que, généralement, le consentement de la personne concernée. Il n’est toutefois pas toujours facile de satisfaire aux conditions du consentement valable lorsque l’on transfère des données à un tiers.
Il arrive que les sous-traitants que vous désignez pour certaines tâches de traitement de données soient basés hors de l’UE. Vous devez alors déterminer la base juridique à donner au transfert de données personnelles vers ce pays tiers. Nous avons détaillé les différentes bases juridiques possibles ici. N’oublions pas que le fondement juridique du transfert et le DPA sont deux choses différentes, qui peuvent ou non être le même document.
Vous pouvez trouver un modèle de Contrat de traitement de données (an anglais) par téléchargement direct en .docx :
Conformément à l’article 37 du RGPD, les responsables du traitement doivent, dans certaines circonstances, désigner un Délégué à la protection des données (DPD). Mais qu’est-ce qu’un Délégué à la protection des données ?
Un DPD est une personne physique (ou morale) chargée de veiller à ce que le responsable du traitement (ou le sous-traitant) se conforme aux dispositions relatives à la confidentialité. Dès lors que les conditions de l’obligation de désignation sont réunies, le DPD doit au moins
Le RGPD n’exige pas expressément que le DPD soit une personne physique : en clair, une personne morale (comme une entreprise de conseil) peut également, en théorie, être désignée DPD. Cela dit, plusieurs commentateurs font déjà remarquer que certaines des exigences posées par le RGPD ne peuvent s’appliquer qu’à une personne physique : par exemple, les « qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du RGPD » font clairement référence à une personne physique, plutôt qu’à une personne morale.
À l’heure actuelle, il n’est pas possible de donner une réponse définitive à cette question : il faudra attendre de voir quelle approche est adoptée par les autorités de protection des données et par les tribunaux.
Tout d’abord, le DPD peut être désigné en interne dans l’organisation du responsable du traitement (en général un employé) ou en externe (prestataire indépendant). Dans les deux cas, il peut également accomplir d’autres missions tout en menant ses activités de DPD. Il faut toutefois toujours s’assurer que cela n’engendre pas de risque de conflit d’intérêts : le directeur général ne pourra pas, par exemple, être en même temps désigné DPD. Il en est de même pour le Directeur Technique (ou « CTO ») : il serait quelque peu étrange qu’une même personne développe le système informatique et contrôle la protection des données personnelles !
Globalement, le DPD est soumis à une obligation légale de secret concernant toute information dont il a connaissance dans le cadre de cette fonction, et doit maintenir sa pleine indépendance en tout temps (même s’il est, de fait, un employé !). Concrètement, cela signifie qu’il faut donner au DPD tous les moyens nécessaires, tant matériels que budgétaires et organisationnels, à la bonne exécution de sa mission et qu’il ne peut pas être soumis à un pouvoir de direction.
L’autorité en charge de la protection des données réalise un audit sur la protection des données et demande à accéder au registre des activités de traitement, conformément à l’article 30 du RGPD. Le DPD sait qu’un tel registre n’existe pas, car le responsable du traitement n’a jamais vraiment pris cette obligation au sérieux. Toutefois, le DPD doit être neutre et ne peut pas « défendre » le responsable du traitement avec une excuse quelconque : il doit confirmer que le registre n’a jamais été créé.
En termes de responsabilité, il faut noter que le DPD n’est pas responsable de la conformité observée par le responsable du traitement. Comme nous l’avons déjà vu, le devoir du DPD est d’informer, de conseiller et de coopérer. Si le responsable du traitement ne suit pas les conseils du DPD, il en est seul responsable. Le DPD ne peut être tenu responsable, vis-à-vis du responsable du traitement, que s’il a donné des conseils erronés. Et même dans ce cas, à l’égard des personnes concernées, c’est toujours le responsable du traitement qui porte la responsabilité.
Au titre du RGPD, il est obligatoire de désigner un DPD dans trois cas :
Les deux premiers cas sont relativement explicites : les données « sensibles » sont des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Mais qu’en est-il du « suivi régulier et systématique à grande échelle des utilisateurs » ? Est-ce que ce cas ne s’applique qu’à des entités comme Facebook ou Google, dont le business model se fonde quasiment exclusivement sur le traitement massif de données personnelles, ou est-ce applicable dès que, par exemple, vous utilisez Google Analytics pour votre boutique en ligne — puisque cette fonctionnalité permet de suivre vos clients ?
Pour tout dire, on ne le sait pas encore. Plusieurs autorités, commentateurs et experts comme le WP29, ont donné leur avis sur la question, mais aucun n’est juridiquement contraignant. À cet égard, tout ce que l’on peut faire pour l’instant, c’est attendre de voir quelle approche sera adoptée par les autorités chargées de la protection des données et par les tribunaux.
Voici un modèle de désignation de DPD (en anglais) disponible actuellement par téléchargement direct en .docx :
Contrairement aux législations de ce type qui l’ont précédé (comme en Italie et en Allemagne), le RGPD n’exige pas expressément et globalement que les employés, et, plus généralement, le personnel impliqué dans le traitement des données à caractère personnel, soient soumis à une obligation de confidentialité. Toutefois, il reste préférable d’informer les membres du personnel du devoir de secret, et de leur faire signer un document marquant cette obligation contraignante pour se conformer à certaines dispositions du RGPD, telles que :
En outre, l’article 24 exige du responsable du traitement qu’il soit « en mesure de démontrer que le traitement est effectué conformément à ce règlement », ce qui implique, au moins indirectement, qu’il soit en mesure de démontrer que les salariés et autres membres du personnel ont traité les données personnelles conformément au RGPD.
Nous vous suggérons donc de conclure un accord spécifique de confidentialité et de non-divulgation avec tous les membres du personnel, dans lequel vous leur préciserez comment gérer de manière adéquate les données personnelles que vous venez de leur remettre. Assurez-vous que ces instructions sont transmises aux employés et dûment signées à réception, de manière à pouvoir en apporter la preuve le cas échéant.
Vous trouverez un modèle d’accord de non-divulgation/de confidentialité pour les employés (en anglais) par téléchargement direct en .docx :
Aux termes de l’article 35 du RGPD, les responsables du traitement doivent, dans certaines circonstances, réaliser une analyse d’impact relative à la protection des données (AIPD). Mais qu’est-ce au juste qu’une analyse d’impact relative à la protection des données ?
Une AIPD est un processus employé pour aider une organisation à se conformer au RGPD et pour garantir qu’elle mette en pratique le principe de responsabilité et le principe de protection de la vie privée dès la conception et par défaut.
L’AIPD doit inclure :
Le processus d’AIPD doit être enregistré par écrit.
D’une manière générale, l’AIPD n’est obligatoire que dans les cas où l’activité de traitement des données est susceptible d’engendrer un risque élevé pour les utilisateurs (notamment lors de l’introduction d’une nouvelle technologie de traitement). Toutefois, si vous ne savez pas avec certitude si votre activité de traitement peut être qualifiée d’activité à « risque élevé », il est recommandé d’effectuer tout de même une AIPD, car cet outil peut être utile pour vous assurer que la loi est respectée.
Les activités de traitement des données à « risque élevé » incluent :
Des AIPD peuvent également être nécessaires dans d’autres circonstances (sur la base d’une évaluation au cas par cas), et notamment lorsque le traitement porte sur des données qui concernent des personnes vulnérables (p. ex. des enfants ou des personnes âgées), lorsqu’il implique un transfert de données hors de l’UE ou lorsque les données sont utilisées à des fins de profilage (p. ex. des cotes de solvabilité). Plus de détails sur ces critères ici [PDF].
Bien que la publication de l’AIPD ne soit pas une exigence légale générale prévue par le RGPD, il est suggéré au responsable du traitement d’envisager de publier tout ou partie de son AIPD en signe de transparence et de responsabilité, notamment dans les cas où des membres du public sont affectés (par exemple, lorsqu’une autorité publique effectue une AIPD).
Une AIPD efficace est utile pour satisfaire l’exigence de « protection de la vie privée dès la conception », car elle permet aux organisations de repérer et de corriger les problèmes à un stade précoce et, ainsi, de limiter à la fois les risques pour la sécurité des données des utilisateurs et les risques d’amende, de sanction et d’atteinte à la réputation auxquels ces problèmes pourraient exposer l’organisation.
Vous trouverez ci-dessous un modèle générique d’Analyse d’impact relative à la protection des données (en anglais) :