Les obligations des contractants définies
Adopté il y a quatre ans, le RGPD de l’UE protège le traitement des données à caractère personnel. L’article 100 porte sur les obligations du responsable de traitement de données et du sous-traitant.
Un engagement contenu dans un registre
Le règlement général de protection des données (RGPD) de l’Union européenne protège les personnes physiques du traitement des données à caractère personnel. Il consacre la libre circulation de ces données. Le chapitre 2 insiste sur les obligations qui incombent à la fois aux autorités compétentes, aux responsables du traitement de données à caractère personnel et aux sous-traitants. L’article 100 stipule que le responsable de traitement et son sous-traitant tiennent un registre des activités de traitement. Les alinéas allant de 1 à 4 de l’article 30 du règlement général de protection des données du 27 avril 2016 rappellent que le responsable et le sous-traitant ont les mêmes obligations. Ils doivent écrire dans ce registre leurs noms et coordonnées. Ils doivent également indiquer les objectifs d’utilisation des données. Sur ce registre des activités de traitement, il doit être fait mention des personnes concernées et des données à caractère personnel. Le registre des activités de traitement doit être disponible en cas de contrôle, à la demande des autorités.
Traitement des données : sauvegarder les intérêts
Dans le registre détenu par le responsable du traitement de données et le sous-traitant, il est rappelé dans un descriptif les mesures qui garantissent le « niveau de sécurité adapté au risque ». Elles mettent l’accent sur le traitement des informations liées à « des catégories particulières de données à caractère personnel ». Ces catégories de données sont mentionnées dans l’article 6 de la présente loi. Les utilisateurs doivent accepter l’usage de leurs données à des fins spécifiques. Pour les collecter et les traiter, le responsable et l’utilisateur doivent être liés par un contrat. Ce traitement suppose la mise en œuvre d’une obligation légale incombant au responsable du traitement. Il implique de sauvegarder les intérêts vitaux de l’utilisateur ou d’une tierce personne. Le traitement des données par le responsable tient compte d’une mission d’intérêt public. Et les catégories de données indiquent « la base juridique de l’opération de traitement, y compris les transferts, auxquels les données à caractère personnel sont destinées et, le cas échéant, le recours au profilage ».
Un encadrement renforcé
Ce texte réglementaire européen, appliqué depuis le 25 mai 2018, encadre en toute égalité le traitement des données sur le territoire français. Le RGPD renforce les droits des personnes. Il responsabilise les acteurs traitant des données. De plus, il crédibilise la régulation grâce à une coopération renforcée entre les autorités de protection des données. Le RGPD se situe en droite ligne avec la loi française Informatique et Libertés, de 1978. Cette dernière établit les règles sur la collecte et l’utilisation des données en France. Toute structure privée ou publique qui collecte, voire traite les données, est concernée par le RGPD, peu importe son secteur d’activité et sa taille. Ce règlement général de protection des données s’applique à tous les organismes implantés sur le territoire de l’Union européenne, y compris ceux implantés hors de l’UE et qui mènent une activité qui cible au premier chef les résidents européens. Le RGPD régit aussi les prestataires qui collectent et traitent les données personnelles pour le compte d’un autre organisme.
Pour les réseaux sociaux :
L’UE opte pour la protection des données. Le responsable du traitement des données et le prestataire sont soumis à certaines contraintes pour protéger la vie privée des utilisateurs. Ainsi, ils doivent inscrire dans un registre les principes de traitement de données. Cela implique le respect d’une obligation légale et la sauvegarde des intérêts.
