Le sigle RGPD signifie «Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Qui est concerné par le RGPD ?

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • ou que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

La réforme de la protection des données poursuit trois objectifs :
  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Accompagner les sous-traitants

Applicable à compter du 25 mai 2018, le RGPD impose des obligations spécifiques aux sous-traitants dont la responsabilité sera susceptible d’être engagée en cas de manquement.

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients
Que doivent faire les sous-traitants ?

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Les sous-traitants devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients.

Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement.

Présenté sous forme de questions-réponses, le guide propose également un exemple de clauses de sous-traitance à adapter et préciser selon la prestation de sous-traitance concernée.

Ce guide est un outil vivant qui pourra être enrichi compte tenu des bonnes pratiques remontées auprès de la CNIL par les professionnels.

Source : www.cnil.fr