Créer son site internet, créer son blog

La responsabilité du responsable du traitement est instaurée pour tout traitement qu'il effectue lui-même ou qui est réalisé pour son compte.«  Il met en oeuvre les mesures techniques et organisationnelles pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement. » telle la pseudonomisation.

Lorsque que plusieurs responsables sont amenés à définir les finalités et les moyens du traitement, ils sont "responsables conjoints". Ils doivent définir de manière transparente leurs obligations respectives afin de répondre aux exigences du règlement, notamment l'exercice des droits de l'individu.

La personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement.

Le responsable du traitement se doit de sélectionner des sous-traitants qui présentent des garanties suffisantes (connaissances spécialisées, fiabilité, moyens) pour la mise en oeuvre des mesures techniques afin de répondre aux exigences du règlement Il doit prévoir la signature d'un contrat entre le responsable du traitement et le sous-traitant prévoyant notamment :

• l'objet du traitement, sa finalité,

• la durée,

• le type de données à caractère personnel,

• les catégories de personnes concernées,

• les obligations et droit du responsable de traitement.

Le sous traitant ne peut pas faire appel lui-même à un autre sous-traitant sans l'autorisation préalable écrite du responsable du traitement

Le sous-traitant

• ne traite les données à caractère personnel que sur instruction documentée du responsable,

• veille au caractère confidentiel des données traitées (engagement de confidentialité des personnes autorisées à traiter les données),

• met en place des mesures techniques et organisationnelles pour aider le responsable du traitement à répondre à ses obligations,

• veille au renvoi ou à la suppression des données à caractère personnel une fois la prestation terminée,

• met en place tous les processus d'information pour permettre au responsable du traitement d'être en mesure de réaliser des audits, des inspections, des contrôles sur la prestation réalisée.

Ils se doivent d'évaluer les risques inhérents au traitement et mettre en oeuvre les mesures nécessaires (la destruction, la perte ou l'altération, la divulgation non autorisée).

Si le traitement est susceptible de générer des risques élevés notamment au regard des droits et libertés des personnes physiques, que le responsable du traitement ne peut atténuer en prenant des mesures appropriées (techniques ou financières) l'autorité de contrôle doit être consultée avant que le traitement n'ait lieu.

Le responsable du traitement ou son représentant doit tenir un registre des activités de traitement effectuées sous sa responsabilité. Ce registre doit contenir les informations suivantes :

• le nom du responsable du traitement ou des co-responsables ou des représentants,

• le nom du délégué à la protection des données,

• les finalités du traitement,

• une description des catégories de personnes concernées,

• une description des catégories de données à caractère personnel,

• les destinataires auxquels sont communiquées les données,

• les éventuels transfert hors CE,

• la durée du traitement, le délai d'effacement,

• une description de mesures de sécurité technique et organisationnelles.

Chaque sous-traitant doit également tenir un registre

• la liste des catégories d'activités de traitement effectuées pour le compte du responsable du traitement,

• le nom et les coordonnées du dit responsable,

• les catégories de traitement réalisées pour le compte du responsable du traitement,

• les transferts hors CE réalisés pour le compte du responsable du traitement.

Il appartient au responsable du traitement de prévenir l'autorité de contrôle 72 H 00 au plus tard après avoir pris connaissance qu'une violation de données à caractère personnel soit intervenue à moins qu'il n'apporte la preuve que la dite violation n'ait pas engendré de risques pour les droits et les libertés des personnes physiques. Passé ce délai, la notification doit être assortie des motifs du retard.

La notification doit comporter :

• une description de la nature de la violation, les catégories et le nombre de personnes concernées ainsi que les catégories de données (nombre approximatif à ce stade),

• l'identité du délégué à la protection des données,

• une description des conséquences de la violation,

• une description des mesures techniques prises pour atténuer les conséquences de la violation et les mesures de sécurité mises en œuvre pour contrer la violation.

Il appartient au responsable du traitement de prévenir la personne concernée par la violation de données à caractère personnel pour que cette dernière prenne les dispositions qui s'impose.

La notification doit décrire la nature des faits de façon claire, simple, et être assortie de recommandations pour aider la personne concernée à prendre ses dispositions.

La notification doit décrire des mesures techniques mises en oeuvre pour contrer la violation ; rendre les données incompréhensibles.

Si le traitement de données envisagé est susceptible de générer des risques élevés notamment au regard des droits et libertés des personnes physiques, que le responsable du traitement ne peut atténuer en prenant des mesures appropriées (techniques ou financières) l'autorité de contrôle doit être consultée avant que le traitement n'ait lieu. Le responsable du traitement communique :

• les finalités et les moyens du traitement envisagé,

• les coordonnées du délégué à la protection des données,

• les mesures et les garanties pour garantir le respect des droits et libertés des personnes concernées par le traitement,

• les coordonnées du sous-traitant s'il y a lieu,

• l'analyse d'impact préalable réalisée.

L'autorité de contrôle fournit un avis écrit dans un délai maximum de huit semaines à compter de la réception de la demande de notification. Si la demande rêvet une complexité particulière, ce délai peut être prolongé de 6 semaines. Dans ce cas l'autorité de contrôle notifie cette prolongation de délai au responsable du traitement dans un délai d'un mois à compter de la réception de la demande de consultation.

Article 79

• Outre la réclamation introduite auprès de l'autorité de contrôle, toute personne physique peut déposer un recours juridictionnel contre un responsable de traitement ou un sous traitant si elle constate qu'il y a eu violation des droits dont elle dispose dans le cadre d'un traitement de données à caractère personnel qui la concerne

• Le recours doit être déposé auprès des juridictions compétentes de l'Etat dans lequel le responsable du traitement ou le sous traitant dispose d'un établissement. Le recours peut être aussi déposé auprès des juridictions compétentes du territoire de résidence habituelle de la personne concernée.

Article 82

« Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »

« Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. »