3.3 Les rôles et responsabilités vis-à-vis de la protection des données
TABLE DES MATIÈRES
- 3.3.1 Présentation des rôles de DPO, responsable de traitement et sous-traitant·e
- 3.3.2 Comment savoir quelles sont les responsabilités d’une organisation
- 3.3.3 À quoi sert le registre des traitements des données ?
À retenir
Le rôle d’un·e DPO est de conseiller et accompagner votre mise en œuvre de la protection des données, notamment sur le terrain.
En fonction de quand vous êtes « responsable de traitement » ou « sous-traitant » sur des activités relatives à la gestion des données, vos responsabilités diffèrent : il est important de les clarifier pour réduire les risques et disposer des bons outils.
Le registre des traitements permet d’avoir une traçabilité et une vision globale des utilisations des données personnelles au sein de votre organisation.
Comme le présentait OCHA dans le titre de son étude « We Are All Data People: Insights From The Data Literacy Survey » (ressource disponible seulement en anglais), la gestion des données n’est pas que l’apanage de spécialistes techniques. Par extension, la protection des données est également une problématique qui concerne une grande partie des membres d’une organisation, chacun·e traite de la donnée et se doit d’avoir une pratique respectueuse, car celle-ci dépend souvent du maillon le plus « faible » de la chaine (qui va sans avoir conscience des implications avoir une gestion hasardeuse de mots de passe, utiliser son ordinateur personnel pour raison professionnelle, etc).
Il existe néanmoins différentes responsabilités plus officielles au sein de l’organisation et en fonction du rôle que l’organisation joue que nous présentons ici.
3.3.1 Présentation des rôles de DPO, responsable de traitement et sous-traitant·e
3.3.2 Comment savoir quelles sont les responsabilités d’une organisation
Pour savoir si votre organisation est responsable de traitement ou sous-traitante, vous pouvez faire le test fourni par l’ICO (ici en version originale). Il n’est pas rare qu’une organisation occupe ses deux fonctions en même temps, selon les circonstances dans lesquelles elles traitent les données.
Parfois, c’est le cas lorsque votre organisation est en partenariat ou en consortium avec d’autres, une fonction de co-responsable de traitement est possible : la mission est exercée conjointement avec les mêmes responsabilités. Il est alors recommandé de clarifier, par exemple par un accord de responsabilité conjointe, les rôles de chaque organisation co-responsable de traitement vis-à-vis de leurs responsabilités partagées.
Ce test, de l’ICO, traduit en français vous permettra d’établir vos responsabilités pour chaque type de traitement.
Sommes-nous une organisation responsable de traitement ?
- Nous avons décidé de collecter ou de traiter les données à caractère personnel.
- Nous avons décidé de la finalité ou du résultat du traitement.
- Nous avons décidé quelles données à caractère personnel devaient être collectées.
- Nous avons décidé des personnes à propos desquelles des données à caractère personnel devaient être collectées.
- Nous obtenons un gain commercial ou un autre avantage du traitement, à l’exception de tout paiement pour des services fournis par un autre responsable du traitement.
- Nous traitons les données à caractère personnel en raison d’un contrat entre nous et la personne concernée.
- Les personnes concernées sont nos employé·es.
- Nous prenons des décisions concernant les personnes concernées dans le cadre ou à la suite du traitement.
- Nous exerçons un jugement professionnel dans le cadre du traitement des données à caractère personnel.
- Nous avons une relation directe avec les personnes concernées.
- Nous disposons d’une autonomie totale quant à la manière dont les données à caractère personnel sont traitées.
- Nous avons désigné les sous-traitant.es pour traiter les données à caractère personnel en notre nom.
Sommes-nous une organisation co-responsable de traitement ?
- Nous avons un objectif commun avec d’autres personnes en ce qui concerne le traitement.
- Nous traitons les données à caractère personnel pour la même finalité qu’un·e autre responsable du traitement.
- Nous utilisons le même ensemble de données à caractère personnel (par exemple une base de données) pour ce traitement qu’un autre responsable du traitement.
- Nous avons conçu ce processus avec un.e autre responsable du traitement.
- Nous avons des règles de gestion de l’information communes avec un.e autre responsable du traitement.
Sommes-nous une organisation sous-traitante ?
- Nous suivons les instructions de quelqu’un d’autre concernant le traitement des données à caractère personnel.
- Les données à caractère personnel nous ont été communiquées par un client ou un tiers similaire, ou on nous a dit quelles données collecter.
- Nous ne décidons pas de collecter des données à caractère personnel auprès d’individus.
- Nous ne décidons pas quelles données personnelles doivent être collectées auprès des individus.
- Nous ne décidons pas de la base légale de l’utilisation de ces données.
- Nous ne décidons pas de la ou des finalités pour lesquelles les données seront utilisées.
- Nous ne décidons pas de divulguer ou non les données, ni à qui.
- Nous ne décidons pas de la durée de conservation des données.
- Nous pouvons prendre certaines décisions sur la manière dont les données sont traitées, mais nous mettons en œuvre ces décisions seulement dans le cadre d’un contrat avec quelqu’un d’autre.
- Nous ne sommes pas intéressé·es par le résultat final du traitement.
Vous pouvez vous référer au modèle de « data processing agreement » de Solidarités International (en anglais), pour établir un accord de sous-traitance afin de clarifier les rôles et les responsabilités entre l’organisation responsable du traitement et celle sous-traitante.
3.3.3 À quoi sert le registre des traitements des données ?
Dans le cadre de la protection des données, les activités de traitement de données personnelles doivent être documentées dans un registre des traitements. C’est un outil qui permet de lister tous les types de traitements que votre organisation effectue sur les données personnelles, d’avoir une traçabilité des actions menées et d’identifier les personnes responsables. Pour résumer, ce document vous est utile pour avoir une vision globale de l’utilisation des données personnelles que vous avez collecté. Il recense :
- les parties prenantes (représentant.e, sous-traitant.es, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées, à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
Si vous êtes une ONG de moins de 250 salarié·es, le registre doit contenir seulement les informations suivantes:
- les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).”
Pour mieux comprendre ce qu’est ce document, voici un extrait de modèle proposé par la CNIL : il liste notamment tous les traitements des données personnelles réalisées au sein de l’organisation et associe une fiche opérationnelle pour chaque activité de traitement des données.