CHAPITRE IV :
Responsable du traitement et sous-traitant
CHAPITRE IV :
Responsable du traitement et sous-traitant
Section 1 Obligations générales
Article 24 :
Responsabilité du responsable du traitement
§1 Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
§2 Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
§3 L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.
1) Obligations * fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public * RT :
- « 3) L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679 doivent être interprétés en ce sens que : une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné. »
CJUE (quatrième chambre), 27 octobre 2022, Proximus NV, Affaire C-129/21
Article 25 :
Protection des données dès la conception et protection des données par défaut
§1 Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
§2 Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
§3 Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.
Article 26 :
Responsables conjoints du traitement
§1 Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
§2 L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
§3 Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.
- « […] 2) L’article 4, point 7, et l’article 26, paragraphe 1, […] du règlement 2016/679 […], doivent être interprétés en ce sens que :
– d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règles qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle-même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;
– d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne. »
CJUE quatrième chambre, 07 mars 2024 – IAB Europe, Affaire C-604/22
Article 27 :
Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
Article 27 :
Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
§1 Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union.
§2 L’obligation prévue au paragraphe 1 du présent article ne s’applique pas:
a) à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou
b) à une autorité publique ou à un organisme public;
§3 Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi.
§4 Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du présent règlement.
§5 La désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.
Article 28 :
Sous-traitant
Article 28 :
Sous-traitant
§1 Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
§2 Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
§3 Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:
a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
c) prend toutes les mesures requises en vertu de l’article 32;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;
e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;
g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.
§4 Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.
§5 L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.
§6 Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
§7 La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.
§8 Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.
§9 Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.
§10 Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement
-
Responsable du traitement :
- Ne doit faire appel qu’à des sous-traitants offrant des garanties suffisantes.
- Peut autoriser ou non le sous-traitant à recruter un autre sous-traitant.
-
Sous-traitant :
- Doit avoir l’autorisation du responsable pour recruter un autre sous-traitant.
- Est lié par contrat définissant les détails et obligations du traitement.
- Obligations principales : a) Traite les données selon les instructions du responsable, dans le respect du RGPD. b) Assure la confidentialité des données. c) Applique les mesures de l’article 32 RGPD. d) Respecte les conditions pour recruter un autre sous-traitant. e) Aide le responsable à répondre aux demandes des personnes concernées. f) Aide à garantir la conformité aux obligations réglementaires. g) Supprime ou renvoie les données après le traitement. h) Permet des audits de conformité.
-
Recrutement d’un autre sous-traitant :
- Les mêmes obligations s’appliquent.
- Si le nouveau sous-traitant ne respecte pas les obligations, le sous-traitant initial reste responsable.
-
Démonstration de conformité :
- Un code de conduite (non-obligatoire) ou un mécanisme de certification peut servir de preuve.
- Des clauses contractuelles types peuvent être utilisées.
-
Rôles & Responsabilités :
- Si un sous-traitant outrepasse ses fonctions, il peut être considéré comme un responsable du traitement, et donc se voir une amende (CNIL) ou en cas de préjudice, être tenu civilement responsable.
- Si un sous-traitant outrepasse ses fonctions, il peut être considéré comme un responsable du traitement, et donc se voir une amende (CNIL) ou en cas de préjudice, être tenu civilement responsable.
Article 29 :
Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Article 29 :
Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.
Article 30 :
Registre des activités de traitement
Article 30 :
Registre des activités de traitement
§1 Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
§2 Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
§3 Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
§4 Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
§5 Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
-
Responsables du traitement :
- Ils doivent tenir un registre des activités de traitement des données.
- Ce registre doit inclure : les coordonnées du responsable et d’autres parties pertinentes, les finalités du traitement, une description des catégories de données et de personnes concernées, les destinataires des données, les transferts de données vers l’étranger, les délais d’effacement des données et les mesures de sécurité.
-
Sous-traitants :
- Eux aussi doivent tenir un registre, mais centré sur les activités de traitement effectuées pour le compte des responsables du traitement.
- Ce registre comprend : les coordonnées du sous-traitant et des autres parties, les catégories de traitements pour chaque responsable, les transferts de données vers l’étranger, et les mesures de sécurité.
-
Format :
- Ces registres peuvent être tenus sous une forme écrite, y compris électroniquement.
-
Accès :
- Si l’autorité de contrôle (l’organisme de surveillance de la protection des données) le demande, le responsable du traitement ou le sous-traitant doit fournir le registre.
-
Exemptions :
- Les entreprises ou organisations de moins de 250 employés sont généralement exemptées de ces obligations, à moins que leurs activités de traitement ne présentent un risque pour les individus ou concernent des catégories spécifiques de données (comme des données sensibles ou relatives à des condamnations pénales).
Article 31 :
Coopération avec l'autorité de contrôle
Article 31 :
Coopération avec l'autorité de contrôle
Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.
Section 2 : Sécurité des données à caractère personnel
Article 32
Sécurité du traitement
Article 32
Sécurité du traitement
§1 Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
§2 Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
§3 L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
§4 Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
- « 1) Les articles 24 et 32 du […] règlement général sur la protection des données, doivent être interprétés en ce sens que : une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32.
- 2) L’article 32 du règlement 2016/679 doit être interprété en ce sens que : le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques.
- 3) Le principe de responsabilité du responsable du traitement, énoncé à l’article 5, paragraphe 2, du règlement 2016/679 et concrétisé à l’article 24 de celui‑ci, doit être interprété en ce sens que : dans le cadre d’une action en réparation fondée sur l’article 82 de ce règlement, le responsable du traitement en cause supporte la charge de prouver le caractère approprié des mesures de sécurité qu’il a mises en œuvre au titre de l’article 32 dudit règlement.
- 4) L’article 32 du règlement 2016/679 et le principe d’effectivité du droit de l’Union doivent être interprétés en ce sens que : afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant.
- voir points 5) et 6) sous article 82, Jurisprudence CJUE n°9.
CJUE troisième chambre, 14 décembre 2023, VB c. NAZP, affaire C‑340/21
L’article 32 porte sur la sécurité des données à caractère personnel.
Les responsables du traitement et les sous-traitants sont tenus de mettre en place des mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité conforme aux risques associés. Ces mesures peuvent inclure la pseudonymisation, le chiffrement, garantir l’intégrité des données, la résilience des systèmes, restaurer l’accès en cas d’incident, et évaluer régulièrement l’efficacité des mesures de sécurité.
Les risques comprennent notamment la destruction, la perte, la modification, l’accès non autorisé ou la divulgation de données.
Les codes de conduite ou mécanismes de certification peuvent aider à démontrer le respect de ces exigences.
Enfin, toute personne ayant accès aux données ne doit les traiter que sur instruction du responsable du traitement ou selon la législation pertinente.
-
ISO/IEC 27001 : Il s’agit d’une norme internationale pour les systèmes de gestion de la sécurité de l’information (SGSI). Elle fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer en continu un système de gestion de la sécurité de l’information.
-
ISO/IEC 27701 : Extension de l’ISO/IEC 27001, elle s’attache à la protection des données à caractère personnel en tant qu’extension à la sécurité de l’information.
- DORA (Digital Operational Resilience Act) : Proposé par la Commission européenne, DORA a pour objectif d’établir un cadre pour la résilience numérique des entités du secteur financier.
-
NIS2 (Directive concernant des mesures pour un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union) : Remplace la directive NIS précédente, elle établit des mesures pour garantir un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’UE.
Article 33 :
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 33 :
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
§1 En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
§2 Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
§3 La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
§4 Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
§5 Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.
Article 34 :
Communication à la personne concernée d'une violation de données à caractère personnel
§1 En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
§2 Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
§3 La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
§4 Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
§5 Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.
Section 3 Analyse d'impact relative à la protection des donnés et consultation préalable
Article 35 :
Analyse d'impact relative à la protection des données
§1 Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
§2 Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
§3 L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:
a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
c) la surveillance systématique à grande échelle d’une zone accessible au public.
§4 L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68.
§5 L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité.
§6 Avant d’adopter les listes visées aux paragraphes 4 et 5, l’autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l’article 63, lorsque ces listes comprennent des activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union.
§7 L’analyse contient au moins:
a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et
d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
§8 Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l’article 40 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.
§9 Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
§10 Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.
§11 Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.
Article 36 :
Consultation préalable
§1 Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
§2 Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.
§3 Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:
a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous- traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;
b) les finalités et les moyens du traitement envisagé;
c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;
d) le cas échéant, les coordonnées du délégué à la protection des données;
e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et
f) toute autre information que l’autorité de contrôle demande.
§4 Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.
§5 Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.
Section 4 Délégué à la protection des données
Article 37 :
Désignation du délégué à la protection des données
Article 37 :
Désignation du délégué à la protection des données
§1 Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
§2 Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.
§3 Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
§4 Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
§5 Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
§6 Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
§7 Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.
Article 38 :
Fonction du délégué à la protection des données
§1 Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
§2 Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.
§3 Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
§4 Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.
§5 Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.
§6 Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
- Le responsable du traitement et le sous-traitant s’assurent que le délégué à la protection des données est impliqué de manière adéquate et en temps voulu dans toutes les questions de protection des données (§1).
- Ils apportent au délégué le soutien nécessaire, notamment en lui fournissant les ressources nécessaires, l’accès aux données et aux opérations de traitement, et en favorisant la mise à jour de ses compétences spécialisées (§2).
- Le délégué opère en toute indépendance, sans recevoir d’instructions spécifiques, et rend compte directement à la direction supérieure. Il est protégé contre toute sanction liée à l’exécution de ses missions (§3).
- Les individus ont le droit de s’adresser au délégué pour toute question concernant le traitement de leurs données ou leurs droits en vertu du règlement (§4).
- Le délégué est tenu à une obligation de discrétion et de confidentialité concernant ses missions (§5).
- Bien que le délégué puisse avoir d’autres responsabilités, il est essentiel d’éviter tout conflit d’intérêts (§6)
- « L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, […] règlement général sur la protection des données […], doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement. »
CJUE sixième chambre, 9 février 2023, ZS, affaire C-560/21
2) Délégué à la protection des données personnelles – Révocation – Notion de conflit d’intérêts :
- « 1) L’article 38, paragraphe 3, deuxième phrase, du […] règlement général sur la protection des données […], doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement. »
- « 2) L’article 38, paragraphe 6, du règlement 2016/679 doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un délégué à la protection des données se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers. »
CJUE sixième chambre, 9 février 2023, X-FAB Dresden GmbH & Co. KG, Affaire C-453/21
Article 39 :
Missions du délégué à la protection des données
§1 Les missions du délégué à la protection des données sont au moins les suivantes:
a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
d) coopérer avec l’autorité de contrôle;
e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
§2 Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Le délégué à la protection des données (DPO) joue un rôle clé pour s’assurer que l’entreprise respecte les réglementations sur la protection des données. Ses responsabilités principales sont :
- D’éduquer et conseiller l’entreprise et ses employés sur leurs obligations en matière de protection des données.
- Surveiller le respect des règles du RGPD ainsi que des politiques internes liées à la protection des données. Cela inclut la formation du personnel et la conduite d’audits.
- D’offrir des conseils lors de l’évaluation des risques associés à certains traitements de données.
- Collaborer étroitement avec les autorités de contrôle, servant de liaison principale.
- Être le point de contact principal pour toutes questions liées au traitement des données, et mener des consultations si nécessaire.
Section 5 : Codes de conduite et certification
Article 40 :
Codes de conduite
§1 Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
§2 Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que:
a) le traitement loyal et transparent;
b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;
c) la collecte des données à caractère personnel;
d) la pseudonymisation des données à caractère personnel;
e) les informations communiquées au public et aux personnes concernées;
f) l’exercice des droits des personnes concernées;
g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant;
h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32;
i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;
j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou
k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
§3 Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d’application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous- traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
§4 Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l’organisme visé à l’article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s’engagent à l’appliquer, sans préjudice des missions et des pouvoirs de l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.
§5 Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.
§6 Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle enregistre et publie le code de conduite.
§7 Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle qui est compétente en vertu de l’article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l’article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s’il offre des garanties appropriées.
§8 Lorsque l’avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.
§9 La Commission peut décider, par voie d’actes d’exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d’application générale au sein de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
§10 La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu’ils sont d’application générale conformément au paragraphe 9.
§11 Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.
-
Encouragement à l’élaboration de codes de conduite:
- Acteurs impliqués : États membres, autorités de contrôle, le comité, la Commission (§1).
- Objectif : bonne application du règlement, adaptée à la spécificité des secteurs et aux entreprises de différentes tailles (§1).
-
Contenu des codes de conduite:
- Élaboration par : associations, organismes représentant responsables du traitement ou sous-traitants (§2).
- Sujets couverts : traitement transparent, intérêts légitimes, collecte des données, pseudonymisation, informations communiquées, droits des personnes, protection des enfants, mesures de sécurité, notifications de violations, transferts internationaux, résolution des litiges, etc. (§2a-k).
-
Portée et application des codes:
- Application par : responsables du traitement ou sous-traitants, y compris ceux non soumis au règlement initial (§3).
- Garanties : lors de transferts de données à l’étranger, avec engagement contraignant (§3).
-
Mécanismes de contrôle des codes:
- Organisme de contrôle pour le respect du code (§4).
-
Processus d’approbation des codes:
- Soumission à l’autorité de contrôle pour validation (§5).
- Enregistrement et publication par l’autorité si le code est local (§6).
- Si le code a une portée multi-états : soumission au comité pour avis (§7).
- Commission : décision finale sur l’application générale du code (§9).
-
Publicité et registre des codes:
- Commission assure la publicité des codes approuvés (§10).
- Comité tient un registre des codes, modifications, prorogations (§11).
Article 41 :
Suivie des codes de conduite approuvés
§2 Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d’un code de conduite lorsque cet organisme a:
a) démontré, à la satisfaction de l’autorité de contrôle compétente, son indépendance et son expertise au regard de l’objet du code;
b) établi des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement;
c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et
d) démontré, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.
§3 L’autorité de contrôle compétente soumet le projet de critères d’agrément d’un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l’article 63.
§4 Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
§5 L’autorité de contrôle compétente révoque l’agrément d’un organisme visé au paragraphe 1 si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme constituent une violation du présent règlement.
§6 Le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics.
Contrôle du Respect du Code de Conduite
§1: Organismes de Contrôle
- Sous conditions des articles 57 & 58 RGPD
- Organismes disposant de l’expertise appropriée peuvent contrôler le respect du code de conduite (article 40 RGPD)
- Ces organismes doivent être approuvés par l’autorité de contrôle compétente.
§2: Critères pour l’Agrément des Organismes
- a) Doit prouver son indépendance et expertise.
- b) Doit avoir des procédures pour :
- Évaluer la conformité des responsables du traitement et sous-traitants.
- Contrôler le respect du code.
- Examiner régulièrement son fonctionnement.
- c) Il doit exister des procédures pour traiter réclamations sur :
- La violations du code.
- L’application du code.
- Ces procédures doivent être transparentes.
- d) Doit s’assurer que ses missions n’entraînent pas de conflit d’intérêts.
§3: Soumission des Critères
- L’autorité de contrôle compétente doit soumettre les critères d’agrément d’un organisme au comité pour validation (mécanisme de l’article 63).
§4: Mesures en cas de Violation du Code
- Organismes peuvent prendre des mesures en cas de violation.
- Mesures possibles : suspension ou exclusion de l’application du code.
- L’organisme doit informer l’autorité de contrôle compétente des mesures prises et de leurs raisons.
§5: Révocation de l’Agrément
- L’autorité de contrôle peut révoquer l’agrément si :
- Conditions d’agrément ne sont plus remplies.
- Mesures prises par l’organisme violent le règlement.
- L’autorité de contrôle peut révoquer l’agrément si :
§6: Exceptions
- Article ne s’applique pas aux traitements effectués par les autorités publiques et les organismes publics
Article 42 :
Certification
§1 Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.
§2 Outre l’application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l’article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
§4 Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l’article 55 ou 56.
§5 Une certification en vertu du présent article est délivrée par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l’article 58, paragraphe 3, ou par le comité en application de l’article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.
§6 Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification visé à l’article 43 ou, le cas échéant, à l’autorité de contrôle compétente toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.
§7 La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d’être satisfaites. La certification est retirée, s’il y a lieu, par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.
§8 Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
Article 43 :
Organismes de certification
§1 Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d’un niveau d’expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l’autorité de contrôle pour qu’elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l’article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:
a) l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56;
b) l’organisme national d’accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (1), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.
§2 Les organismes de certification visés au paragraphe 1 ne sont agréés conformément audit paragraphe que lorsqu’ils ont:
a) démontré, à la satisfaction de l’autorité de contrôle compétente, leur indépendance et leur expertise au regard de l’objet de la certification;
b) pris l’engagement de respecter les critères visés à l’article 42, paragraphe 5, et approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou par le comité, en vertu de l’article 63;
c) mis en place des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques en matière de protection des données;
d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et
e) démontré, à la satisfaction de l’autorité de contrôle compétente, que leurs tâches et leurs missions n’entraînent pas de conflit d’intérêts.
§3 L’agrément des organismes de certification visés aux paragraphes 1 et 2 du présent article se fait sur la base de critères approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou, par le comité en vertu de l’article 63. En cas d’agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) no 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.
§4 Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l’évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L’agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l’organisme de certification satisfait aux exigences énoncées au présent article.
§5 Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.
§6 Les exigences visées au paragraphe 3 du présent article et les critères visés à l’article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.
§7 Sans préjudice du chapitre VIII, l’autorité de contrôle compétente ou l’organisme national d’accréditation révoque l’agrément d’un organisme de certification en application du paragraphe 1 du présent article si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme de certification constituent une violation du présent règlement.
§8 La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l’article 42, paragraphe 1.
§9 La Commission peut adopter des actes d’exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.