Data Protection & Processing 3.pdf
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document details the roles and responsibilities of data processors and controllers under data protection regulations. It explains the concept of essential and non-essential data processing methods. The document also discusses the obligations of data processors. It details data treatment requirements.
Full Transcript
➔ Rappel : Le responsable va déterminer les moyens comme la finalité ! Nouvel exemple de l’association : sauf que cette fois-ci il faut remplir un Google Form (Google est un sous traitant dans l’opération). Le CEPD, dans ses lignes directrices, indique en toute cohérence avec le RGPD, que : « le res...
➔ Rappel : Le responsable va déterminer les moyens comme la finalité ! Nouvel exemple de l’association : sauf que cette fois-ci il faut remplir un Google Form (Google est un sous traitant dans l’opération). Le CEPD, dans ses lignes directrices, indique en toute cohérence avec le RGPD, que : « le responsable de traitement doit déterminer à la fois les finalités et les moyens du traitement » ➔ Problème : en réalité, le responsable pourra certes définir la finalité, mais il demandera souvent à un tiers de se charger des moyens ⇨ Donc le CEPD reconnaît que le sous-traitant pourra avoir un certain pouvoir de détermination des moyens Donc le CEPD invente l’idée de moyens essentiels de traitement : tant que le responsable pourra déterminer les finalités et les moyens essentiels, ça suffit pour la qualification Moyens essentiels : « Moyens étroitement liés à la finalité et à l’étendue du traitement » Liste ø exhaustive : - Le type de données traitées - La durée du traitement - Catégorie de destinataires des données - Catégories de personnes concernées 20 Moyens ø essentiels : « aspects plus pratiques de la mise en œuvre » (exemple : le choix du logiciel, mesures détaillées de sécurité…). Mais dans tous les cas, le responsable de traitement reste responsable de tout ce qui peut se passer à l’issue de ce traitement ! (article 24 RGPD) D. Les obligations d’un responsable de traitement • En général, le RGPD et la directive disposent qu’il est « responsable du respect » des principes généraux relatifs au traitement. • Le responsable doit aussi pouvoir démontrer que ces principes sont respectés ⇨ Obligation de mettre « en œuvre les mesures techniques et organisationelles … » (art. 24.1 RPGD, 19 Dir) • Le responsable a une obligation documentaire : En anglais : « accountability » (responsabilité & tenir des comptes) • Le responsable doit aussi assumer les défaillances de ses sous-traitants • Le responsable ne peut que faire appel à des sous-traitants qui présentent des garanties suffisantes ⇨ Pour autant le sous-traitant reste responsable de ses obligations. §2/ Le sous-traitant Le sous-traitant peut prendre certaines initiatives et les lignes directrices distinguent les moyens principaux du responsable de traitement et les moyens secondaires du sous-traitant. A. La notion de sous-traitant Article 4.8 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Deux critères : 1) Le sous-traitant est une « entité séparée » du responsable de traitement 2) Le sous-traitant traite les données pour le compte du responsable de traitement Le CEPD affirme que quand on est dans un groupe de sociétés, une société peut être sous-traitante d’une autre société du groupe, mais un département d’une société ne peut être sous-traitant de ladite société. Le CEPD admet que le sous-traitant puisse avoir la responsabilité de déterminer les moyens non essentiels Exemple : quel logiciel utilisé pour organiser les données transmises Pour tout le reste, le sous-traitant doit scrupuleusement respecter les limites de sa mission du responsable de traitement. 21 En réalité, c’est le contrat d’adhésion qui présente non seulement les moyens secondaires, mais aussi les moyens principaux selon le Professeur. Le sous-traitant s’expose à une requalification de son rôle dès lors qu’il traiterait des données pour une finalité qui n’est pas déterminée par le responsable de traitement, qui ne résulte pas strictement d’une de ces instructions. Un sous-traitant peut résulter à faire des traitements à titre de responsable de traitement, mais en sa propre qualité de sous-traitant. Exemple : Amazon vérifie l’espace disponible qui reste sur le serveur par un algorithme. Ce traitement est fait pour son propre compte. Question délicate de savoir dans quelles mesures un sous-traitant pourra être qualifier de responsable de traitement, eu égard à la jurisprudence de la CJUE sur la responsabilité conjointe de traitement ? En effet, dès lors qu’il y a des moyens communs mais des finalités séparées, la CJUE y voit des responsables de traitement. B. Les obligations d’un sous-traitant Il existe des obligations pour des sous-traitant, aux articles 28 RGPD et 22 de la Directive. Ils précisent ce qui doit figurer dans le contrat de sous-traitance qui doit être conclu par écrit – fut-il électronique – par le responsable de traitement et le sous-traitant. - Un traitement ne peut avoir lieu que sur instruction documentée du responsable de traitement, sauf obligation légale. - le sous-traitant doit informer le responsable de traitement avant de réaliser le traitement que la loi lui impose et qui n’est pas prévu dans le contrat. - le sous-traitant peut ne pas avertir le responsable de traitement si la loi l’interdit pour des motifs importants d’intérêt public (ex sécurité). - Le sous-traitant doit veiller à ce que toute personne impliquée respecte une obligation de confidentialité. - Le sous-traitant doit prendre les mesures nécessaires pour assurer la sécurité du traitement. Pour beaucoup de traitements usuels, on se repose sur un sous-traitant ayant des compétences techniques, avec des spécialistes. Parmi le bagage technique que l’on attend du sous-traitant, il y a la sécurité. - Le sous-traitant doit aider le responsable de traitement à satisfaire les demandes des personnes concernées qui cherchent à user de leurs droits donnés par le RGPD. → responsable de traitement est démuni s’il est tout seul. 22 Le RGPD dit que le sous-traitant doit aider le responsable de traitement à satisfaire aux articles 32 à 36 RGPD : - La sécurité du traitement - Notifier à l’autorité de contrôle ou à la personne concernée la violation de données Conduite d’une AIPD - Consultation de l’autorité de contrôle Mise à disposition des responsables de traitement de toutes les informations dont il peut avoir besoin pour démontrer qu’il respecte le RGPD et l’informer si un traitement est illégal. Mise à disposition les informations permettant la réalisation d’audits ou d’inspection, réalisés par le responsable de traitement ou par un auditeur. Un sous-traitant peut lui-même recourir à un sous-traitant, soumis aux mêmes obligations : dans ce cas, le sous-traitant doit recueillir au préalable l’autorisation de le faire. Le sous-traitant peut démontrer sa conformité en recourant à des mécanismes de conformité : i. Des Codes de conduite, codes de bonne conduite adoptés pour des secteurs déterminés. Une fois le Code approuvé, les personnes du secteur peuvent adhérer à ce Code qui devient obligatoire pour elles. ii. Des certifications traduisent que les processus sont propres pour les responsables de traitement iii. Les clauses contractuelles types (CCT) destinées à être intégrées dans un contrat et rédigées par des personnes qui donnent autorité à ces clauses contractuelles. Deux types de CCT sont prévues par le RGPD : 1) Par l’autorité de contrôle national (CNIL pour la France) = actuellement que trois autorités l’ont fait 2) Par la Commission européenne = les CCT se substituent de fait aux CCT des autorités nationales Exemple des CCT régissant les rapports responsables/sous-traitant du 4 juin 2021 adoptées par la Commission qui ont fait autorité. Section 2 : Le délégué à la protection des données Le DPD est une pièce essentielle du RGPD, même si sa désignation n’est pas tout le temps obligatoire. Sa fonction générale est d’être « associée de manière appropriée et en temps utile à toutes les questions de traitement des données à caractère personnel » (art. 38.1 RGPD, 33 Directive 2016/680). 2.1. La désignation Il faut distinguer la Directive du RGPD Cas de désignation RGPD (art. 37.1 RGPD) : 1) Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle 2) Les opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées 23 3) Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. Exemple : L’entreprise n’est pas une autorité ou un organisme public, n’exige pas un suivi régulier et ne rentre pas dans les catégories des articles 9 et 10. Mais il y a un intérêt à procéder à la désignation d’un DPD lorsqu’il s’agit d’une société pour que quelqu’un mette en conformité cet aspect. Renvoi aux cas dans lequel le droit d’un Etat-membre oblige à la désignation d’un DPD. Cas de désignation Directive police-justice : Article 32 Directive : « 1. Les Etats membres prévoient que le responsable du traitement désigne un délégué à la protection des données. Les Etats membres peuvent dispenser les tribunaux et d’autres autorités judiciaires indépendantes de cette obligation lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle ». Compétences attendues : Des qualités professionnelles sont requises : des connaissances spécialisées en matière de protection des données. Il faut s’adresser à un mécanisme certificateur (ex Apave ou Afnor délivrant une certification de compétences à la protection des données), certificateurs approuvés par la CNIL. Modalités de désignation : • Le DPD peut-être interne ou externe. • Le DPD peut être commun à un groupe d’entreprise, à condition qu’il soit facilement joignable depuis chaque lieu de l’établissement. • Le DPD peut être commun à plusieurs autorités ou organismes publics, compte tenu de leur structure organisationnelle et de leur taille. • Les coordonnées du DPD doivent être publiées. Dès lors que l’on a nommé le DPD, l’une de ses missions essentielles est de gérer toutes les réclamations des personnes concernées : il doit ainsi être accessibles. 2.2. Missions La mission générale d’un DPD est d’être associé à toutes les questions relatives aux données personnelles. Se traduit par plusieurs missions (art. 39.1 RGPD, 34 Directive). 1) Informer et conseiller la direction qui l’emploie (responsable de traitement ou sous-traitant) et les salariés = le DPD se saisit de toutes les problématiques et éduque les parties prenantes sur les nécessités et les obligations concrètes qui s’imposent. 2) Contrôler le respect du règlement et du droit interne en matière de protection des données 24 3) Conseiller et vérifier la réalisation d’un AIPD (Analyse d’impact à la protection des données) 4) Coopèrer avec l’autorité de contrôle = le DPD est ainsi le point de contact de l’autorité Modalités d’exécution de la mission : Le RGPD énonce qu’il doit lui être donnés les ressources nécessaires et les moyens d’entretenir ses connaissances. Le DPD doit jouir d’une indépendance. Le DPD est le point de contact privilégié pour les personnes concernées. Le DPD est soumis au secret professionnel ainsi qu’à une obligation de confidentialité. Le DPD ne doit pas être sujet à un conflit d’intérêt : un chef d’entreprise ne peut être le DPD de sa structure. ➔ Conflit d’intérêt évident entre le chef d’entreprise qui veut traiter des données de manière importante et le DPD qui freine cette volonté en réalisant des tests de proportionnalité. Section 3 : Les autorités de contrôle Ce sont les CNIL de chacun des pays membres de l’espace économique européen ; autorités plus ou moins anciennes selon les pays. En France, la CNIL est une AAI depuis un certain temps. La directive de 1995 s’appuyait déjà sur ces autorités de contrôle et le RGPD s’appuie sur ce sillage mais donne beaucoup plus d’importance et de pouvoirs à ces autorités de contrôle. §1/ Missions et pouvoirs La mission essentielle des autorités de contrôle est de « surveiller l’application » du règlement et de la directive (article 57 RGPD, article 46 de la directive). Les missions ne sont pas limitatives : elles sont compétentes pour s’acquitter de « toute autre mission relative à la protection des données personnelles. ». Les autorités de contrôle accomplissent leurs missions de manière gratuite vis-à-vis des personnes concernées ou des délégués à la protection des données (sauf exception). En France c’est la CNIL qu’est l’autorité de contrôle et son statut est régie par les articles 8 et suivants de la loi Informatique et libertés. On peut regrouper les missions autour de 4 grands axes de cette autorité : A - Mission d’information et d’expertise ◊ Informer le public = doivent favoriser la sensibilisation du public et sa compréhension des risques des règles, des garanties et des droits relatifs à un traitement données. Les autorités de contrôle doivent fournir aux personnes concernées des informations sur ses droits. 25 ◊ Sensibiliser les responsables de traitement et sous-traitants. ◊ Expertise pour les autorités publiques = doit conseiller le gouvernement national, le Parlement et toutes les autres institutions de cette nature au sujet de la protection des données. • La CNIL doit être consultée sur tous projets de loi ou décret impliquant les données personnelles • Apporte son concours à toute AAI qui le demande • Elle peut être associée à la préparation et définition de la position française sur le plan • Elle est invitée à présenter des observations devant les juridictions. international. ◊ Mission de veille = l’autorité de contrôle doit suivre les évolutions pertinentes sur les secteurs qui ont une importance sur la protections des données. • Réflexion sur les problèmes éthiques et de société • Proposition de mesures législatives et réglementaires B - Mise en place ou approbation d’outils de conformité Le RGPD prévoit un certain nombre d’outils dont l’objet est de permettre aux acteurs du monde de la donnée de se mettre en conformité avec les obligations du règlement. L’une des missions de l’autorité de contrôle va être favoriser, superviser ou mettre en place des outils de conformité. 1. Adopter des clauses contractuelles types • CCT RT/ST (responsable traitement / sous-traitant) indépendamment de tout transfert à l’étranger. • CCT transferts à l’étranger. 2. Adopter des clauses contractuelles « pas types »… + dispositions « d’arrangements administratifs » entre autorités et organismes publics. 3. Approuver des règlements d’entreprises contraignants = hypothèse d’un transfert à l’étranger. Des groupes proposent à l’autorité de contrôle des règles intra-groupes pour qu’elle approuve les précautions, dès lors que ces règles ne dépassent pas la frontière dudit groupe. 4. Encourage l’élaboration de codes de conduite = ce n’est pas l’autorité de contrôle qui élabore ces codes mais les professionnels qui s’autosaisissent de la question et qui proposent un code de conduite, non l’autorité de contrôle. 5. Encourage la mise en place de mécanismes de certifications, labels et marques + les critères des certifications + examen période des certificats délivrés. 6. Rédiger et publier les critères d’agrément des organismes chargés du suivi d’un code de conduite ou habilité à délivrer des certifications. C. Activité d’enquête et de répression → essentielle car essence d’une autorité de contrôle 26 Le RGPD et la directive dotent les AC de ces 2 pouvoirs, dont les détails sont organisés en France par la loi Informatique et Liberté 1) Le pouvoir d’enquête ➢ Initiative de l’enquête d’une AC de son propre chef : - sur la base d’informations transmises par d’autres AC - après avoir mené un audit sur la protection des données (cookies, reconnaissance faciale etc…) - après avoir été saisie par une personne concernée - ou par un organisme habilité ➔ Les autorités de contrôle doivent faciliter l’introduction de réclamation ➢ Pouvoirs d’enquête spécifiés dans la loi : - Droit d’ordonner la communication de toute information dont elle a besoin pour accomplir des missions, y compris l’accès aux données personnelles Peu importe le support, les outils informatiques un secret professionnel (sauf entre avocat et clients & des sources des journalistes) + Autorisation de réaliser des opérations sous une autorité d’emprunt ! (catfishing) - Droit d’accès aux locaux - Pouvoir de notifier une violation du règlement 2) Pouvoir d’ordonner des mesures correctrices • Avertir l’acteur du traitement d’une possible violation du règlement • Adresser à un acteur du traitement un rappel à l’ordre si violation du règlement • Ordonner à un acteur de mettre en œuvre les droits d’une personne concernée • Ordonner à un acteur de mettre ses opérations de traitement en conformité • Ordonner à un acteur de communiquer l’existence d’une violation de données à caractère personnel à une personne concernée • Imposer une limitation temporaire ou définitive ou interdiction de traitement • Ordonner la rectification, l’effacement ou la limitation du traitement + notifier les destinataires de ces données • Retirer ou ordonner que soit retiré une certification ou qu’elle ne soit pas délivrée • Imposer une amende administrative (nouveauté du RGPD) 27 • Ordonner la suspension du transfert des données hors UE/EEE ?? D. Autres missions - Pouvoirs d’autorisation et pouvoirs consultatifs - Établissement d’une liste d’opérations de traitements pour lesquelles une AIPD (Analyse d’impact relative à la protection des données) est obligatoire - AC doivent aussi fournir des conseils aux responsables de traitement dont l’AIPD révèle des risques - Doivent tenir des registres internes de violation du règlement + mesures correctrices - Doivent coopérer avec les autres autorités de contrôle en vue d’application cohérente du règlement et de la directive - Doivent contribuer aux activités du CEPD - Doivent établir un rapport annuel d’activité §2/ Statut A. Statut de l’autorité • Les règles régissant une autorités doivent être prévues par la loi • L’AC doit pouvoir exercer sa mission et ses pouvoirs « en toute indépendance » • Par conséquent, l’AC doit disposer de - ressources techniques, humaines et financières adaptées, - ainsi que des locaux - + un budget propre ⇨ Mais tout cela ne doit pas mette en péril son indépendance LA CNIL est une AAI B. Statut de ses membres • Les règles régissant leur nomination et mandat doivent être prévues par la loi : Qualifications attendues - Éligibilité - Procédure de nomination - Durée du mandat (CNIL = 5 ans renouvelable une fois) 28 - Ø de conflit d’intérêts (interdictions d’activité, de cumul, etc…) - Conditions de cessation de l’emploi • Les membres doivent demeurer libre d’influence extérieure et s’abstenir de tout acte ou activité incompatible • C’est l’autorité qui choisit des agents Section 4 : Le Comité européen de la protection des données Cette super-autorité doit surtout assurer la cohérence de l’interprétation du règlement et de la directive. (clé de voûte du système européen) Le CEPD trouve son origine dans le G 29 (working party 29) de la directive de 1995 Attention à l’acronyme CEPD : désigne aussi le Controleur Européen de la protection des données (attaché au règlement 2018/1725 ?) qui vise uniquement les organes de l’UE. (EPDS) → leurs staffs sont les mêmes ! §1/ L’institution • Organe de l’Union avec personnalité morale • Composition : - Chef de chaque autorité de contrôle de l’EEE + chef de l’EDPS - La Commission peut avoir un représentant, sans droit de vote - 1 Président et 2 Vice-Présidents, renouvelable 1 fois, élus pour 5 ans • Prise de décision à la majorité simple • Exerce ses pouvoirs en toute indépendance : mais n’exclut ø que la Commission le sollicite pour un avis §2/ Missions A. Missions communes au règlement et à la directive ➢ Conseiller la Commission Européenne sur toutes les questions relatives aux données à caractère perso ➢ Examiner toute question relative à la mise en œuvre des textes + publier des lignes directrices, recommandations et bonnes pratiques pour leur application cohérente ➢ Adopter surtout des lignes directrices sur : - Les violations des données - Cas où ces violations engendrent un risque élevé pour les concernés 29 - Mise en œuvre par les autorités de contrôle de leur pouvoir d’enquête ⇨ Mission la + importante ! ➢ Rendre des avis sur le niveau adéquat ou non de protection assuré par un pays tiers ou OI