Les traitements, le responsable du traitement, les sous-traitant
Définition : Traitement
toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Comme on peut le constater, la simple collecte de l'information, c'est à dire son recueil, est considérée comme un traitement ; de même l'enregistrement des informations, c'est à dire leur stockage, est également un traitement. Ainsi, la conformité au RGPD[1] doit être acquise dés la collecte des données à caractère personnel.
Définition : Le responsable de traitement
la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre
En règle générale il s'agit de la personne morale (société, collectivité...) incarnée par son représentant légale. Par exemple :
l'entreprise TareTampion représentée par son président
la commune de Trifouilli représentée par son maire
le conseil général des Basses Alpes représenté par son président
Définition : Sous traitant
Les articles 122 de la Loi Informatique et libertés[2] et 28 du RGPD[1] précisent les points à respecter dès lors qu'il est fait appel à un sous-traitant par le responsable du traitement. Il en résulte que :
toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant
seul le responsable de traitement peut autoriser un sous-traitant à opérer sur les données à caractère personnel
« Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées au 6° de l'article 4 et à l'article 121. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. »
un contrat liant le sous-traitant et le responsable de traitement doit préciser les
« obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données »
et indiquer que« le sous-traitant ne peut agir que sur instruction du responsable du traitement »
Le RGPD fixe de nouvelles responsabilités aux sous-traitants. Ils doivent notamment prendre en compte la protection des données dès la conception de leur service ou de leur produit et mettre en place des mesures permettant de garantir une protection optimale des données. Ils ont également une obligation de conseil auprès des clients pour lesquels ils traitent des données et doivent les aider dans la mise en œuvre de certaines obligations du RGPD. Ils doivent eux-mêmes tenir un registre des activités traitements qu'ils effectuent pour le compte de leurs clients.
Complément :
Voir le guide du sous-traitant édité par la CNIL.