arrow_back Retour à tous les articles

Article 24
Responsabilité du responsable du traitement

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 24 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 24 keyboard_arrow_up

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en oeuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

Guidelines

Ici viendront les guidelines

Groupe 29

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (3 october 2017)

The EU has completed a comprehensive reform of data protection regulation in Europe. The reform rests on several pillars (key components): coherent rules, simplified procedures, coordinated actions, user involvement, more effective information and stronger enforcement powers.

Data controllers and data processors have increased responsibilities to ensure that personal data of the individuals is protected effectively. Supervisory authorities have powers to ensure that the principles of the General Data Protection Regulation (hereafter ‘the Regulation’) as well as the rights of the individuals concerned are upheld according to the wording and the spirit of the Regulation.

Consistent enforcement of the data protection rules is central to a harmonized data protection regime. Administrative fines are a central element in the new enforcement regime introduced by the Regulation, being a powerful part of the enforcement toolbox of the supervisory authorities together with the other measures provided by article 58.

This document is intended for use by the supervisory authorities to ensure better application and enforcement of the Regulation and expresses their common understanding of the provisions of article 83 of the Regulation as well as its interplay with articles 58 and 70 and their corresponding recitals.

In particular, according to article 70, (1) (e), the European Data Protection Board (hereafter ‘EDPB’) is empowered to issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation and article 70, (1), (k) specifies the provision for guidelines concerning the setting of administrative fines.

These guidelines are not exhaustive, neither will they provide explanations about the differences between administrative, civil or criminal law systems when imposing administrative sanctions in general.

In order to achieve a consistent approach to the imposition of the administrative fines, which adequately reflects all of the principles in these guidelines, the EDPB has agreed on a common understanding of the assessment criteria in article 83 (2) of the Regulation and therefore the EDPB and individual supervisory authorities agree on using this Guideline as a common approach.

Lien : http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611237

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (4 october 2017)

Regulation 2016/679 (GDPR) will apply from 25 May 2018. Article 35 of the GDPR introduces the concept of a Data Protection Impact Assessment (DPIA), as does Directive 2016/680.

A DPIA is a process designed to describe the processing, assess its necessity and proportionality and help manage the risks to the rights and freedoms of natural persons resulting from the processing of personal data by assessing them and determining the measures to address them. DPIAs are important tools for accountability, as they help controllers not only to comply with requirements of the GDPR, but also to demonstrate that appropriate measures have been taken to ensure compliance with the Regulation (see also article 24). In other words, a DPIA is a process for building and demonstrating compliance.

Under the GDPR, non-compliance with DPIA requirements can lead to fines imposed by the competent supervisory authority. Failure to carry out a DPIA when the processing is subject to a DPIA (Article 35(1) and (3)-(4)), carrying out a DPIA in an incorrect way (Article 35(2) and (7) to (9)), or failing to consult the competent supervisory authority where required (Article 36(3)(e)), can result in an administrative fine of up to 10M€, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.

Lien : http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

Autorité nationale


Belgique

Recommandation d'initiative concernant l'analyse d'impact relative à la protection des données et la consultation préalable n° 01/2018 (28 février 2018)

1. Le Règlement général sur la protection des données (RGPD) prévoit plusieurs nouvelles obligations pour les responsables du traitement. Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données", en abrégé "AIPD".

2. Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

3. La Directive Police et Justice (Directive 2016/680) prévoit également une obligation de réaliser une AIPD dans certaines circonstances. Les lignes directrices reprises dans la présente recommandation, qui s'inspirent des dispositions du RGPD, s'appliquent mutatis mutandis pour l'interprétation des dispositions pertinentes de la Directive 2016/680.

4. Le but de la présente recommandation est de fournir des explications plus détaillées concernant : (1) les circonstances dans lesquelles une AIPD est obligatoire (section 3) ; (2) les éléments essentiels d’une AIPD (section 5) ; (3) les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ; (4) les acteurs qui doivent être impliqués dans une AIPD (section 7) ; et (5) plusieurs dispositions particulières (section 8).

5. Un précédent projet de recommandation a été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. La présente recommandation tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29 promulguées en octobre 2017.

6. La présente recommandation ne comporte aucun modèle établi, ni de vade-mecum pour la réalisation d'une AIPD. Bien qu'il existe plusieurs modèles et vade-mecum, la Commission encourage les fédérations sectorielles à élaborer des codes de conduite adaptés aux traitements de données au sein de leur secteur et qui sont adaptés en particulier aux besoins des petites, moyennes et micro- entreprises. Il n'est toutefois pas exclu qu'à l'avenir, la Commission mette à disposition un formulaire et/ou un vade-mecum complémentaire qui pourrait servir de point de départ à la réalisation d'une AIPD ou dans le cadre d'une consultation préalable. 

Le GDPR

L’article 24 met en œuvre un « principe général de responsabilité » au premier rang des obligations générales du responsable du traitement, dont la définition reste inchangée depuis la Directive. En effet, le responsable du traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (…) et les moyens du traitement de données à caractère personnel » (art. 4, 7).

Le principe repris en son §1er se divise en deux règles.

La première règle affirme la responsabilité particulière du responsable de traitement dans la mise en œuvre des mesures techniques et organisationnelles appropriées en vue d’effectuer le traitement dans le respect du Règlement.

La proposition initiale prévoyait une liste des mesures en cause, mais n’a pas été reprise dans la version finale. Elle est cependant très utile pour comprendre la portée du principe. On y visait la plupart des mesures générales indéterminées ou peu précisées par le texte du Règlement, telles que : la tenue de la documentation prévue à l’article 30, la mise en œuvre des obligations de sécurité des données prévues à l’article 32, la réalisation d’une analyse d’impact relative à la protection des données en application de l’article 35, le respect des obligations en matière d’autorisation ou de consultation préalable de l’autorité de contrôle en application de l’article 36 §1er et §2, la désignation d’un délégué à la protection des données en application de l’article 37 §2 et §3.

Cette première règle prévoit aussi que pour déterminer les mesures techniques et organisationnelles appropriées, il y a lieu de tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et libertés des personnes physiques.

Les considérants 75 et 76 donnent de nombreux exemples des risques visés : traitements susceptibles d’entraîner des dommages physiques, matériels ou moraux, en particulier lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, lorsqu’il s’agit d’un traitement des données sensibles, lorsque des aspects personnels sont évalués, etc. Il convient de déterminer la probabilité et la gravité en fonction de la nature, de la portée, du contexte et des finalités du traitement de données. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé. Selon le considérant 60 ter, on entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes physiques.

Le §2 de l’article 24 indique que si elles sont proportionnées aux activités de traitement des données, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

La seconde règle découle de la première et porte sur la preuve de la mise en œuvre de ces mesures. La charge de la preuve repose alors sur les épaules du responsable du traitement qui doit être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du Règlement.

Le 3ème paragraphe prévoit que l'adhésion aux codes de conduite approuvés visés à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme moyen attestant du respect des obligations incombant au responsable du traitement. Le considérant 77 quater vise également les indications données par le délégué à la protection des données.

La Directive

Ni la Directive, ni les législations analysées dans le présent commentaire ne prévoyaient une disposition comparable à celle prévue à l’article 22 du Règlement.

Difficultés probables

Cette disposition permet de mieux comprendre la portée de l’augmentation des obligations qui pèsent sur les responsables qui sont à apprécier au regard de l’augmentation des moyens de contrôle des responsables et des sanctions en cas de non-respect des obligations issues du Règlement.

La détermination des mesures techniques et organisationnelles appropriées est à ne pas douter une des plus grandes difficultés auxquelles seront confrontées les responsables dans la mise en conformité de leurs traitements au Règlement.

Elle va exiger de revoir la conformité de tous les traitements existants et la mise en place de processus de détermination de celles-ci. Cela exigera une grande coordination entre les différents services de l’entreprise ou des autorités publiques (IT, juridique, RH, marketing…) qui seront confrontés à la mise en place de processus d’analyse de risques et des mesures à prendre correspondantes, notamment en matière de sécurité des traitements. La « compliance » au Règlement va devoir atteindre un degré de professionnalisation et de mise en œuvre de moyens sans commune mesure avec ce qui est prévu aujourd’hui.

Règlement
1e 2e

Art. 24

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément attestant du respect des obligations incombant au responsable du traitement.

Proposition 1 close

Art. 22

1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

 2. Les mesures prévues au paragraphe 1 portent notamment sur:

a) la tenue de la documentation en application de l'article 28;

b) la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;

c) la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;

d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

e) la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1. 3.

Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. 4. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises.

Proposition 2 close

Art. 22

1. En tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et des libertés des personnes physiques, le responsable du traitement (…) met en œuvre les mesures appropriées et est à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

2. (…)

2 bis. Lorsqu'elles sont proportionnées aux activités de traitement de données, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

2 ter. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer le respect des obligations incombant au responsable du traitement.

3. (…)

 4. (…)

Directive close

Pas de disposition correspondante.

France

Pas de disposition correspondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK