« Auparavant, nous différenciions le responsable de traitement des données et le sous-traitant, explique Régis Chatellier, chargé des études prospectives pour la Cnil. En cas de problème, le responsable de traitement pouvait se défausser sur son sous-traitant. Le règlement européen introduit la notion de “co-traitance“. » Désormais, la responsabilité sera donc partagée sur la base de ce que chacun va effectivement traiter. « Dans le contrat, il faudra explicitement intégrer que telles données seront collectées et traitées par l’un ou par l’autre, et indiquer clairement qui est responsable pour telle finalité, poursuit Régis Chatellier. Il n’y...
« Auparavant, nous différenciions le responsable de traitement des données et le sous-traitant, explique Régis Chatellier, chargé des études prospectives pour la Cnil. En cas de problème, le responsable de traitement pouvait se défausser sur son sous-traitant. Le règlement européen introduit la notion de “co-traitance“. » Désormais, la responsabilité sera donc partagée sur la base de ce que chacun va effectivement traiter. « Dans le contrat, il faudra explicitement intégrer que telles données seront collectées et traitées par l’un ou par l’autre, et indiquer clairement qui est responsable pour telle finalité, poursuit Régis Chatellier. Il n’y a pas d’automaticité dans la négociation, c’est pourquoi le contrat doit être clair. » Et l’entreprise devra vérifier que ses fournisseurs ont bien mis en place le RGPD et recueilli le consentement des conducteurs.
Vers des référentiels de certification
Pour le moment, il n’y a pas d’outil spécifique pour trouver des partenaires de confiance. « Avec le RGPD, les autorités de protection des données élaboreront des référentiels de certification, des secteurs pourront aussi produire des codes de conduite. Cela permettra aux acteurs de s’organiser par secteur pour démontrer leur conformité », indique Régis Chatellier. En attendant, mieux vaut s’assurer soi-même que le prestataire choisi est conforme. C’est pourquoi la rédaction du contrat est primordiale. « La non-conformité peut aussi être incluse comme clause de cessation d’activité, recommande Régis Chatellier. Dans tous les cas, il faut s’assurer que la conformité est un sujet dans la négociation. Le rôle du “Data Protection Officer“ (DPO) est à ce titre important : il va documenter les traitements de données effectués et créer les outils pour démontrer leur conformité au RGPD. »
Des sanctions en cas de non conformité
En cas de non-conformité, la Cnil dispose d’une grille sur trois niveaux : avertissement, mise en demeure publique et sanction financière. « Au départ, l’amende était limitée à 150 000 euros et 300 000 euros en cas de récidive – des sommes insignifiantes pour les grands groupes. Avec le RGPD, la sanction pourra s’élever à 4 % du chiffre d’affaires mondial de l’entreprise », prévient Régis Chatellier.
RGPD – Se préparer en six étapes
• Désigner un pilote
• Cartographier vos traitements de données personnelles
• Prioriser les actions
• Gérer les risques
• Organiser les processus internes
• Documenter la conformité
Source : CNIL
