arrow_back Retour à tous les articles

Article 24
Responsabilité du responsable du traitement

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 24 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 24 keyboard_arrow_up

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en oeuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Ni la Directive, ni les législations analysées dans le présent commentaire ne prévoyaient une disposition comparable à celle prévue à l’article 22 du Règlement.

Où va-t-on ?

L’article 24 met en œuvre un « principe général de responsabilité » au premier rang des obligations générales du responsable du traitement, dont la définition reste inchangée depuis la Directive. En effet, le responsable du traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (…) et les moyens du traitement de données à caractère personnel » (art. 4, 7).

Le principe repris en son §1er se divise en deux règles.

La première règle affirme la responsabilité particulière du responsable de traitement dans la mise en œuvre des mesures techniques et organisationnelles appropriées en vue d’effectuer le traitement dans le respect du Règlement.

La proposition initiale prévoyait une liste des mesures en cause, mais n’a pas été reprise dans la version finale. Elle est cependant très utile pour comprendre la portée du principe. On y visait la plupart des mesures générales indéterminées ou peu précisées par le texte du Règlement, telles que : la tenue de la documentation prévue à l’article 30, la mise en œuvre des obligations de sécurité des données prévues à l’article 32, la réalisation d’une analyse d’impact relative à la protection des données en application de l’article 35, le respect des obligations en matière d’autorisation ou de consultation préalable de l’autorité de contrôle en application de l’article 36 §1er et §2, la désignation d’un délégué à la protection des données en application de l’article 37 §2 et §3.

Cette première règle prévoit aussi que pour déterminer les mesures techniques et organisationnelles appropriées, il y a lieu de tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et libertés des personnes physiques.

Les considérants 75 et 76 donnent de nombreux exemples des risques visés : traitements susceptibles d’entraîner des dommages physiques, matériels ou moraux, en particulier lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, lorsqu’il s’agit d’un traitement des données sensibles, lorsque des aspects personnels sont évalués, etc. Il convient de déterminer la probabilité et la gravité en fonction de la nature, de la portée, du contexte et des finalités du traitement de données. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé. Selon le considérant 60 ter, on entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes physiques.

Le §2 de l’article 24 indique que si elles sont proportionnées aux activités de traitement des données, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

La seconde règle découle de la première et porte sur la preuve de la mise en œuvre de ces mesures. La charge de la preuve repose alors sur les épaules du responsable du traitement qui doit être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du Règlement.

Le 3ème paragraphe prévoit que l'adhésion aux codes de conduite approuvés visés à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme moyen attestant du respect des obligations incombant au responsable du traitement. Le considérant 77 quater vise également les indications données par le délégué à la protection des données.

Difficultés probables

Cette disposition permet de mieux comprendre la portée de l’augmentation des obligations qui pèsent sur les responsables qui sont à apprécier au regard de l’augmentation des moyens de contrôle des responsables et des sanctions en cas de non-respect des obligations issues du Règlement.

La détermination des mesures techniques et organisationnelles appropriées est à ne pas douter une des plus grandes difficultés auxquelles seront confrontées les responsables dans la mise en conformité de leurs traitements au Règlement.

Elle va exiger de revoir la conformité de tous les traitements existants et la mise en place de processus de détermination de celles-ci. Cela exigera une grande coordination entre les différents services de l’entreprise ou des autorités publiques (IT, juridique, RH, marketing…) qui seront confrontés à la mise en place de processus d’analyse de risques et des mesures à prendre correspondantes, notamment en matière de sécurité des traitements. La « compliance » au Règlement va devoir atteindre un degré de professionnalisation et de mise en œuvre de moyens sans commune mesure avec ce qui est prévu aujourd’hui.

Règlement
1e 2e

Art. 24

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément attestant du respect des obligations incombant au responsable du traitement.

Proposition 1 close

Art. 22

1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

 2. Les mesures prévues au paragraphe 1 portent notamment sur:

a) la tenue de la documentation en application de l'article 28;

b) la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;

c) la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;

d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

e) la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1. 3.

Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. 4. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises.

Proposition 2 close

Art. 22

1. En tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et des libertés des personnes physiques, le responsable du traitement (…) met en œuvre les mesures appropriées et est à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

2. (…)

2 bis. Lorsqu'elles sont proportionnées aux activités de traitement de données, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

2 ter. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer le respect des obligations incombant au responsable du traitement.

3. (…)

 4. (…)

Directive

Pas de disposition correspondante.

France

Pas de disposition correspondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK