HMV News – Les coquilles du RGPD

 

 

 

 

 

C’est parti pour le RGPD, qui est entré – cela ne peut avoir échappé à personne – en application vendredi 25 mai 2018.

Un mois avant son entrée en vigueur, la Commission européenne avait publié un correctif de coquilles. Malheureusement, certaines coquilles et/ou formulations qui nous paraissent prêter à interprétation n’ont pas été modifiées et en particulier :

Sous traitance

Les dispositions de l’article 28§3,h) deuxième aliéna renvoient au point h) du premier alinéa. Or, le point h) n’est pas dans le premier alinéa. Il y a sans doute une inversion, cette disposition renvoie certainement au premier alinéa du point h), ce qui n’est pas neutre et peut modifier la portée de l’obligation contenue audit article.

Pour rappel, le premier alinéa du point h) prévoit, parmi les obligations du sous-traitant, que celui-ci « met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ».

Et le fameux deuxième alinéa du point h) prévoit : « En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données ».

Si l’obligation du sous-traitant en matière d’information sur les instructions qui pourraient constituer selon lui des violations au RGPD, devait être circonscrite au point h), il serait plus évident d’encadrer cette obligation à l’occasion des audits.

Or, le texte, tel qu’il a été interprété par la CNIL à ce stade, montre que la Commission entend ce deuxième alinéa comme une obligation générale d’informer, voire d’alerter le responsable du traitement en cas d’instruction en violation du RGPD. Outre le fait qu’une telle disposition alambiquée peut donner lieu à un risque de conseil juridique, dont les avocats ont le monopole en France, elle tend surtout à diriger la charge de la responsabilité sur le sous-traitant.

Registre

Concernant les dispositions relatives aux registres (article 30 du RGPD), deux interrogations demeurent :

  • Sur les transferts de données 

Le texte de l’article 30 prévoit la mention au registre de :

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

Du fait de la référence à l’article 49§1, qui est relatif aux dérogations (c’est-dire les exceptions aux garanties appropriées que sont notamment les clauses contractuelles types, BCR) et à la notion de « garanties appropriées » prévue aux articles 46 et 47, on se pose la question de ce qu’il faut mettre dans ce champ du registre.

Dans la mesure où cette formulation peu claire n’a pas été reprise dans les dispositions équivalentes telles que l’information des personnes concernées relativement au transfert et que ces informations seront nécessaires, justement pour rédiger les mentions d’information : il est recommandé de renseigner dans le registre la dérogation ou la garantie appropriée utilisée pour couvrir le transfert en question.

  • Sur la notion d’activité de traitement ou de traitement à renseigner dans le registre du sous-traitant:

L’article 30§2. prévoit que « les sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte de…. »

Or, il est ensuite prévu dans l’énonciation des champs à prévoir dans le registre que ce dernier doit comprendre : b) les catégories de traitements effectués.

A notre sens, activités de traitement et traitement n’ont pas la même signification. Jusqu’ici, il était admis (et le RGPD poursuit cette logique dans d’autres dispositions) qu’un traitement soit identifié par sa finalité, or la notion d’activité de traitement semble renvoyer à une opération sur le traitement (hébergement, collecte, croisement, etc.). Pourtant, ce qui est intéressant dans la constitution d’un registre sous-traitant, c’est de savoir quelles sont les opérations, c’est-à-dire les activités de traitement, puisque c’est sur ces opérations que repose sa responsabilité de prestataire et que la finalité n’est pas nécessairement connue de lui. Ainsi, par exemple, un hébergeur de données va réaliser des activités en tant qu’hébergeur mais il n’aura pas nécessairement connaissance de l’objectif poursuivi par le Responsable.

Par ailleurs, du point de vue de sa responsabilité et au regard du régime de responsabilité prévu au RGPD, il est peut-être préférable de se cantonner à l’identification d’activité de traitement pour délimiter son périmètre d’action sur le traitement.

Nous verrons avec la pratique comment ces dispositions s’articulent et comment les instances européenne (le Comité venant remplacer le G29) et les autorités de protection des données interprètent ces dispositions. Aujourd’hui, dans les modèles diffusés par la CNIL, l’approche la plus extensive (en faveur de la protection des données) est toujours favorisée.

Share Button