Les acteurs du RGPD

Une personne concernée est une personne dont les données à caractère personnel sont traitées.

Êtes-vous une personne concernée au sens du RGPD ? Au vu de la généralisation d’internet, du web 2.0, du grand dévoilement sur les réseaux sociaux et du big data, il est plus que probable que la réponse soit oui.

En effet, étant donné que la notion de données à caractère personnel vise toute information se rapportant à une personne physique identifiée ou identifiable, une personne est concernée par un traitement dès que ce traitement porte sur des informations qui permettent, directement ou non, de l’identifier.

Dès lors, il suffit que vos données soient associées à un identifiant unique (que ce soit nom,  prénom, adresse, numéro de téléphone, données de localisation, photo, identifiant en ligne, éléments spécifiques propres à votre identité génétique…) pour être considérées comme personnelles, sans pour autant qu’il soit exigé que votre nom soit connu.

Peu importe qu’il soit facile ou non de remonter vos traces. Par exemple, votre numéro de plaque d’immatriculation est une données à caractère personnel, même s’il faut avoir accès à la banque de données de la DIV pour savoir que ce numéro de plaque est le vôtre.

En d’autres termes, vous être une personne concernée par rapport à toute organisation qui dispose de votre numéro de plaque d’immatriculation, votre nom, votre adresse e-mail etc.

À nouveau, il est plus que probable que la réponse soit oui. Le RGPD définit le responsable de traitement en tant que personne physique ou morale, qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

En d’autres termes, quiconque décide de collecter, recouper, vendre etc. les données à caractère personnel de tierces personnes est un responsable de traitement. Ce n’est que si le traitement de données reste dans un cadre privé et domestique que le RGPD ne s’appliquera pas.

Quant au sous-traitant, c’est une personne qui traite des données à caractère personnel selon les instructions et pour le compte du responsable du traitement.

Bon nombre de prestataires de services interviennent sous cette qualité. À titre d’illustrations, mentionnons les prestataires de services d’hébergement et de maintenance, les sociétés de sécurité informatique, les agences de marketing ou de communication qui traitent de données pour le compte de clients. Dans de nombreux cas, le prestataire à accès à des données à caractère personnel, même de manière incidente (ex : adresse de livraison), et est donc sous-traitant.

Par contre, la qualité de certains prestataires peut poser question. Prenons, par exemple, le cas d’un moteur de recherche. Il est légitime de se demander s’il traite des données pour le compte des éditeurs de site web ou pour son propre compte.

La Cour de justice a considéré, à l’occasion de son arrêt Google Spain, qu’un moteur de recherches intervenait en tant que responsable de traitement. Elle estime, en effet, que « dans le mesure où son activité est susceptible d’affecter significativement et de manière additionnelle par rapport à celles des éditeurs de site web les droits fondamentaux de la vie privée et des données à caractère personnel », l’exploitant du moteur en question déterminait les finalités et les moyens des activités de traitement.

Finalement, il convient d’apprécier les circonstances concrètes dans lesquelles intervient un prestataire afin de déterminer sa qualité. Dès lors, si un sous-traitant utilise les données qui lui sont confiées à ses propres fins ou sans suivre les instructions du responsable du traitement, il interviendra lui-même à ce titre.

Notons par ailleurs que ces deux qualités ne sont pas inconciliables, loin de là. Un sous-traitant revêt d’ailleurs généralement les deux casquettes dans la mesure où il traite aussi des données pour son propre compte, par exemple dans le cadre de la gestion de son personnel. 

En tant que personne concernée, vous bénéficiez de toute une série de droits destinés à vous permettre de garder le contrôle sur vos données. Ceux-ci vous offrent, par exemple, la possibilité d’obtenir la confirmation du responsable de traitement que vos données sont traitées, de lui demander de rectifier celles qui sont inexactes, voire de lui demander leur suppression. 

Quant à la qualité de responsable de traitement ou de sous-traitant, elle implique le respect de nombreuses obligations prévues par le RGPD.

Si le responsable de traitement était déjà habitué au prescrit strict de la loi belge du 8 décembre 1992, le chemin vers la conformité ne sera pas trop long. Le sous-traitant va quant à lui devoir se conformer aux obligations renforcées qui lui sont imposées. Tous deux vont devoir intégrer des mentions complémentaires dans les contrats de sous-traitance.

En tout état de cause, il convient de prendre la mesure de ces (nouvelles) obligations  étant donné les nouveaux pouvoirs attribués aux autorités de contrôle nationales, dénommée Autorité de Protection des donnée, en Belgique. En effet, en cas d’infraction au Règlement, ces dernières auront désormais la possibilité d’ infliger des amendes allant jusqu’à 20 000 000 EUR ou 4% du chiffre d’affaires mondial du groupe dont fait partie l’entreprise en infraction. Une bonne raison de se sentir concerné à l’un ou l’autre titre !