Responsable du traitement des données vs sous-traitant
Le Règlement général sur la protection des données (RGPD), également connu sous le nom de Règlement général sur la protection des données (RGPD), a entraîné la création de deux nouveaux concepts : celui de responsable du traitement et celui de sous-traitant.
Ces chiffres avaient déjà leur place dans les précédentes réglementations sur la protection des données lorsqu’il s’agissait de contrôleur de fichiers et de sous-traitant. Cependant, le RGPD leur donne un nouveau nom.
Quelle est la différence entre le responsable du traitement et le sous-traitant ?
Lorsque nous parlons de responsable du traitement , nous nous référons à la personne physique ou morale, publique ou privée, qui décide des aspects du traitement des données personnelles tels que la finalité et l’utilisation des données ou les périodes de conservation ; étant également la personne à laquelle l’intéressé qui entend exercer l’un de ses droits en matière de protection des données doit s’adresser.
Par conséquent, le responsable du traitement est responsable des données en sa possession, telles que les données personnelles des employés, des prospects/prospects, des clients ou des fournisseurs, entre autres. De même, il est tenu d’informer dûment ces personnes concernées des opérations de traitement et de leurs finalités, car l’un des principes du RGPD est que le traitement des données personnelles est loyal et transparent, ce qui implique d’informer au moment de la collecte des données, si possible, de ces extrêmes. À titre d’exemple, si nous nous inscrivons à un processus de sélection directement sur le site web d’une entreprise, cette entreprise, si elle décide de conserver notre CV afin que nous puissions participer à son processus de sélection, sera responsable de nos données CV.
D’autre part, lorsque nous parlons de sous-traitant , nous nous référons à un prestataire de services qui, sous contrat avec le responsable du traitement, doit accéder aux données personnelles qui relèvent de la responsabilité du responsable du traitement. En effet, le simple accès ou la visualisation des données implique déjà un « traitement », comme par exemple dans le cas de prestataires qui fournissent des services de maintenance ou d’assistance informatique. Bien qu’ils n’aient pas à manipuler les données personnelles pour la fourniture du service, ils sont considérés comme des sous-traitants.
En ce sens, l’exemple le plus éclairant de sous-traitant est celui de l’agence pour le travail pour la préparation des listes de paie, ainsi que pour le traitement des inscriptions ou des désinscriptions à la Sécurité Sociale des employés du Responsable du Traitement. L’agence doit traiter les données personnelles des employés pour la fourniture du service.
Maintenant, comment la relation entre le responsable du traitement et le sous-traitant est-elle réglementée ? Cette relation doit être établie par un contrat ou un acte juridique similaire qui les lie. Au minimum, le contrat doit établir les points suivants :
- L’objet
- La durée
- La nature et la finalité du traitement
- Le type de données personnelles et les catégories de personnes concernées
- Les obligations et les droits des parties
Il est important de souligner que le Sous-traitant ne peut en aucun cas utiliser les données personnelles à d’autres fins que celles confiées dans l’Accord de traitement des données.
L’accord doit également établir le régime de sous-traitance. Le RGPD exige le consentement écrit préalable du responsable du traitement des données pour que le sous-traitant puisse faire appel à un autre sous-traitant (sous-traitant) pour fournir le service, lorsque cela implique le traitement de données à caractère personnel par ce sous-traitant. L’autorisation de sous-traitance peut être spécifique (identification de l’entité spécifique qui va fournir le service) ou générale (autorisant uniquement la sous-traitance, mais sans préciser l’entité). Dans le cas où l’autorisation est de nature générale, le Sous-traitant informera le Responsable du traitement de l’incorporation d’un Sous-traitant ultérieur ou de son remplacement par d’autres Sous-traitants ultérieurs, donnant ainsi au Responsable du traitement la possibilité de s’opposer à ces modifications, et un délai doit être fixé pour une telle opposition.
Chez GlobalSuite Solutions , nous vous proposons un service de conseil qui vise à vous aider à assurer le respect des exigences légales en matière de protection des données, ainsi que la gestion du système de manière centralisée grâce à notre solution GlobalSUITE®.
