Le Livre blanc « Quels sont les nouveaux outils fr conformité à Loi informatique et libertés ? », est une référence en matière de protection des données à caractère personnel. Il doit être considéré comme un précieux guide destiné à tous les organismes traitant ce type d’informations.
Ce livre blanc est extrait de la 3e édition de l’ouvrage Informatique et libertés de Maître Alain Bensoussan paru en décembre 2019. À juste titre, il insiste sur le fait que les organisations sont pleinement responsables des données qu’elles traitent.
Il est donc indispensable de s’appuyer sur différents outils pour assurer sa conformité. Certaines mesures sont décrites à l’article 24 du RGPD, par exemple :
- L’adoption de règles internes ;
- L’obligation de conserver une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant ;
- La réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées. Pour l’appréciation de ces risques, la CNIL préconise de se référer aux critères établis par le Comité européen de la protection des données (CEPD) ;
- L’adoption de l’approche « Privacy by design » ;
- La désignation d’un délégué à la protection des données.
Ce Livre blanc rappelle également le changement de paradigme induit par le RGPD qui entraîne « le basculement d’un régime déclaratif à une responsabilisation des acteurs en ce qu’ils doivent tenir une documentation à jour permettant de démontrer leur conformité à la réglementation auprès de l’autorité de contrôle ».
La tenue de registres des activités de traitement permet à l’autorité de contrôle d’avoir une vue d’ensemble de la cartographie des traitements effectués par le responsable du traitement et le sous-traitant et d’en contrôler plus aisément la conformité (Règl. UE 2016/679 art. 30 considérant 82 ; Loi 1978 art. 57 et 60).
Ce livre blanc est également l’occasion de rappeler qu’un « sous-traitant a la qualité de responsable du traitement pour les opérations qu’il met en œuvre sur ses propres données (par exemple, pour la gestion de son personnel ou la gestion de ses clients) ».
Dès lors, il doit tenir deux registres : un pour les traitements dont il est responsable et un autre pour les traitements qu’il opère, en tant que sous-traitant, pour le compte de ses clients (CNIL, « RGPD : Guide du sous-traitant », édition 2017).
Le non-respect de l’obligation de tenir un registre des activités de traitement est passible d’une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Le montant de l’amende retenu sera le plus élevé sur la base de ces deux critères (Règl. UE 2016/679 art. 83).
Source : Alain Bensoussan