Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal.
Le responsable d'un traitement de données à caractère personnel est en principe la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création. En pratique, il s'agit généralement de la personne morale (entreprise, collectivité, etc.)
Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).
Les obligations du responsable de traitement
Application de mesures organisationnelles et techniques pour sécuriser les données, Coopération avec l'autorité de contrôle, Respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données.
Pour les applications nationales et académiques, le responsable de traitement est : au niveau ministériel : le ministre (directeurs par délégation). au niveau académique : le recteur, ou les chefs de service rectoraux et DASEN par délégation. au niveau d'un EPLE : le chef d'établissement.
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne.
Le principe de collecte loyale de données. L'obligation d'assurer la sécurité de l'ensemble des données collectées. L'obligation d'informer les individus concernés de la collecte de leurs données. Le droit à l'accès, la modification et la suppression des données en question.
Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné s'agissant de l'ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas.
Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement : doit documenter, en interne sous forme d'un registre, la violation qui vient de se produire ; doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.
Selon l'article 1384 du Code civil, « On est responsable non seulement du dommage que l'on cause de son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre ou des choses que l'on a sous sa garde ».
Il vise à sécuriser les relations entre responsable de traitement (vous) et le sous-traitant (WTTJ) en clarifiant contractuellement les obligations respectives de chacune des parties sur le traitement des données personnelles.
Dans l'univers numérique, la Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
La désignation d'un Délégué est obligatoire pour : Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics). Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
Vous êtes un organisme public ; Vous êtes une entreprise dont l'activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le sous-traitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d'un autre organisme (le responsable de traitement), dans le cadre d'un service ou d'une prestation....
Quand est-ce qu'une analyse d'impact est obligatoire ? Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Les sanctions ne peuvent pas être rendues publiques et sont limitées (rappel à l'ordre, amende d'un montant maximum de 20 000 euros, injonction avec astreinte plafonnée à 100 euros par jour de retard).
Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
L'article 38 du RGPD dispose à cet effet que le DPO ne peut pas être « relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions ».
La procédure de sanction de la CNIL
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
La loi Godfrain du 5 janvier 1988 , ou Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.
Les traitements non concernés par le RGPD
Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.
Le Système automatisé pour les fichiers administratifs et répertoires des individus (dont l'acronyme est SAFARI) était un projet d'interconnexion des fichiers nominatifs de l'administration française, notamment par le biais du numéro INSEE.