Le texte de l’article 31 – Coopération avec l’autorité de contrôle
”Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions. ”
article 31
L’analyse de l’article : Article 31 – Coopération avec l’autorité de contrôle
Adopté en 2016, le règlement de la RGPD est européen mais chaque pays a sa manière de l’interpréter et de l’appliquer en fonction de ses possibilités. En France, l’autorité de contrôle qui protège les données personnelles des citoyens européens est la CNIL. Sa loi est applicable depuis le 25 mai 2018.
Même si l’article est très court, il n’en n’est pas moins très important. En effet, l’enjeu de l’article 31 est de responsabiliser les organismes et personnes physiques (généralement président d’une entreprise) qui collectent et traitent les données. La RGPD leur impose la coopération avec la CNIL sous peine de sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Cet article s’adresse à 3 acteurs différents :
- Le responsable du traitement
- Le sous-traitant
- Les représentants
Le responsable du traitement représente celui qui utilise les données. Il détermine l’objectif de la collecte de données et par quel moyen il la réalise.
Un sous-traitant est désigné par le responsable du traitement et a interdiction de traiter les données : il doit juste les récolter. Celui-ci doit garantir qu’il ne traitera pas les données. En effet il doit agir pour le compte du responsable du traitement.
Si le responsable du traitement et le sous-traitant ne sont pas dans l’Union Européenne, ils doivent désigner un représentant dans l’Union Européenne (article 27 Représentants des responsables … ).
Coopération avec l’autorité de contrôle
Contrairement à la Loi Informatique et Libertés de 1978 (ou ici) qui ne prévoyait aucune pénalité en cas de non-respect des règles, le nouveau règlement RGPD prévoit des sanctions en cas d’infractions. Ces sanctions permettent une obligation de coopération avec la CNIL.
Pour être conforme auprès de la CNIL, les entreprises doivent tenir 3 registres :
- Registre des traitements
- Registre des activités de sous-traitance
- Registre des violations de données
Ces registres permettent de pouvoir témoigner de la finalité des données collectées et de vérifier que les sous-traitants sont en règle.
Le registre des violations de données permet de noter quelles données ont eu des problèmes de sécurité et d’expliquer comment l’organisme s’est débrouillé pour y remédier. Pour tous niveaux de risque, il faut signaler cette violation de données dans un document interne. Si elle présente un risque, la CNIL doit être tenue au courant dans les 72h. Enfin si le risque est élevé les personnes concernées doivent être informées dans les plus brefs délais en plus de la CNIL.
Comme vous pouvez le suivre dans notre rubrique les tweets du jours sur le RGPD
ou dans nos articles relatant les fuites comme bouygues telecom-une-amende-de-250k-oui-mais
Exécution de ses missions
L’article 31 stipule que la CNIL doit être en mesure de mener à bien toutes ses missions sans qu’un organisme ne s’y oppose : c’est la coopération avec l’autorité de contrôle.
Les 4 missions de cette autorité de contrôle sont :
- Informer et protéger les droits
- Anticiper et innover
- Accompagner la conformité
- Contrôler et sanctionner
La CNIL informe et protège les droits des français en répondant aux demandes des professionnels ou particuliers et par la possibilité de déposer une plainte.
Elle anticipe et innove par les réflexions qu’elle porte sur des sujets émergents qui concerne les données de milliers d’utilisateurs.
L’accompagnement dans la conformité veut dire que la CNIL certifie des organismes qui vont eux-mêmes délivrer des certifications (de respect de la protection des données).
Elle contrôle et sanctionne par les pouvoirs qui lui sont accordés pour mettre en demeure ou sanctionner un organisme.
