Sous-traitez
votre DPO
Une solution offerte par l’Article 37 alinéa 6 du RGPD, sous-traitez votre DPO.
Sous-traitez votre DPO :
Vous avez dit RGPD ?
Sous-traitez votre DPO : Dans les faits, le Règlement Général de Protection des Données (RGPD) constitue un texte réglementaire européen. De fait, il encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne (UE). Ainsi, promulgué le 27 avril 2016, il s’impose depuis son application le 25 mai 2018 (Source : CNIL).
Dans les faits, une conformité RGPD permet de répondre positivement aux exigences de la norme ISO 27701 (Système de gestion de l’information sur la protection de la vie privée). Par extension, il permet d’initier d’autres démarches :
-ISO 27001 (Systèmes de gestion de la sécurité de l’information),
-ISO 27002 (Contrôles de la sécurité de l’information),
-ISO 27005 (Gestion des risques liés à la sécurité de l’information),
-ISO 27035 (Gestion des incidents de sécurité de l’information),
-ISO 27033 (Sécurité des réseaux),
-ISO 27034 (Sécurité des applications).
Sous-traitez votre DPO : Le Règlement Général sur la Protection des Données (RGPD) s’applique à :
- Toute organisation, publique et privée, quelle que soit sa taille (entreprise, ministère, administration, collectivité, association, etc.).
- Aussi, qui traite des données personnelles pour son compte ou non.
- Mais encore, établie sur le territoire de l’Union Européenne.
- Ou qui, non établie sur le territoire de l’Union Européenne, cible directement des résidents européens (par exemple, un site Web suisse qui propose un service de livraison en France avec paiement en euros) ou opère un suivi de leur comportement.
(Source : CNIL).
Sous-traitez votre DPO : La désignation d’un Délégué à la Protection des Données est obligatoire pour :
Sous-traitez votre DPO : Les autorités et organismes publics.
Par exemple, les ministères, collectivités territoriales, établissements publics.
Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
Par exemple, les compagnies d’assurance ou les banques pour leurs fichiers de clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
Sous-traitez votre DPO : Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles".
Par exemple, données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ou relatives à des condamnations pénales et des infractions.
Dans les autres cas, la désignation d’un Délégué à la Protection des Données (DPD ou DPO) est encouragé par la CNIL (Source : CNIL).
Actualités RGPD et Cybersécurité
Sous-traitez votre DPO : L’obligation de création et de maintenance d’un registre des traitements.
Dans les faits, un registre détaillé et mis à jour des traitements de données à caractère personnel mis en œuvre dans l’entreprise doit se tenir par l’employeur (le responsable de traitement). Egalement, il doit se mettre à la disposition permanente des agents de la CNIL (Article 30 du RGPD) (Source : CNIL).
Le cas des entreprises de plus de 250 salariés : l’obligation d’un registre des traitements.
De fait, la tenue de ce registre devient obligatoire pour les entreprises de plus de 250 salariés. Dans tous les cas, il le reste dans toute entreprise si le traitement remplit l’une de ces conditions :
– Susceptible de comporter un risque pour les droits et libertés des personnes concernées.
– Mais aussi, à condition qu’il n’ait pas de caractère occasionnel.
– Ou, s’il porte sur des données sensibles ou relatives à des condamnations pénales ou des infractions.
(Source : CNIL).
Sous-traitez
votre DPO.
Le délégué à la protection des données peut s’entendre :
– Interne ou externe à l’organisme qui le désigne.
– Ou, sous certaines conditions, mutualisé (désigné pour plusieurs organismes).
L’article 37, alinéa 6, du RGPD prévoit : « Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. ».
(Source : CNIL).
Quelles sont les sanctions pouvant être prononcées par la CNIL ?
Ainsi, à l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes.
De plus, concernant la procédure ordinaire, avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Egalement, il est à noter que ces sanctions peuvent être rendues publiques.
Il est à noter que lorsque des manquements au RGPD ou à la loi se portent à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre.
- Ou, enjoindre de mettre le traitement en conformité, y compris sous astreinte.
- Ou encore, limiter temporairement ou définitivement un traitement.
- Ou bien, suspendre les flux de données.
- Mais aussi, ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte.
- Sinon, prononcer une amende administrative.
Egalement, concernant la procédure simplifiée, la loi Informatique et Libertés prévoit des sanctions moins nombreuses et moins sévères que celles encourues dans la procédure ordinaire. Ces sanctions ne peuvent par ailleurs jamais se rendre de façon publique.
Dans ce cadre, le président de la formation restreinte peut :
- Prononcer un rappel à l’ordre ;
- Ou, enjoindre de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- Sinon, prononcer une amende administrative d’un montant maximal de 20 000 €.
(Source : CNIL).