Trouvez votre consultant
905.678.7588
ACCUEIL
À PROPOS
POURQUOI WSI? Nous ne croyons pas aux stratégies marketing numérique standardisées.
L'HISTOIRE DE WSI Nous sommes le plus grand réseau d'agences de marketing numérique au monde.
Leadership Voici nos dirigeants intrépides. On peut vous les présenter si vous voulez.
TROPHÉES Nous détestons nous vanter (ok, non, pas du tout), mais nous avons gagné beaucoup de prix.
FR - Over 25 Years Seal (WEB)-1
Services
PROSPECTS ET VENTES Générer des prospects de qualité qui sont plus susceptibles de devenir vos clients.
CONCEPTION DU SITE WEB Transformez votre site Web en une machine de génération de prospects pour votre entreprise.
RÉPUTATION EN LIGNE Transformez vos clients en fidèles ambassadeurs de votre marque et en plus grands fans.
NOTORIÉTÉ DE MARQUE Être trouvé par vos clients avec une approche stratégique et ciblée.
DÉCOUVREZ NOS SERVICES DE MARKETING DIGITAL

Besoin de services de marketing digital?

Ne cherchez plus, nous pouvons vous aider!

PARLONS MARKETING

TÉMOIGNAGES CLIENTS
ÉTUDES DE CAS Jetez un coup d'œil à quelques-unes de nos histoires à succès de clients du monde réel.
TÉMOIGNAGES Découvrez ce que nos clients satisfaits pensent de notre collaboration.
sunsweet-making-a-difference-featured

Faire une différence dans la vie de nos clients

Nous avons un impact positif sur la vie de nos clients, au-delà de leurs rapports KPI.

APPRENDRE COMMENT

NOS EXPERTS
TIRER PARTI DE L'EXPERTISE MONDIALE Avec des bureaux dans plus de 80 pays, nous sommes au cœur du marketing numérique mondial.
OBTENIR DES RÉSULTATS À L'ÉCHELLE LOCALE Notre vision globale nous permet d'obtenir plus de résultats pour nos clients sur leurs marchés locaux.

Besoin de conseils judicieux en marketing numérique?

Prenez rendez-vous pour une consultation gratuite avec l'un de nos experts.

PLANIFIER UN APPEL

CONTACTEZ-NOUS
Blog
Marketing Strategy

RGPD, Responsabilités d'un responsable de la protection des données

| 8 Minutes à Lire
Gilles Dandel
Gilles Dandel Conseil, Stratégie et Mise en Oeuvre de Solution Marketing Digital
respecter la RGPD

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, le 25 mai 2018 beaucoup d’entreprises s’interrogent sur les bonnes pratiques à avoir. Et surtout depuis que des grandes entreprises ont dû s’acquitter de lourdes amendes pour non respect du RGPD. Ce règlement a conservé les obligations de base des personnes chargés de la protection des données et en a introduit de nouvelles. Dans cet article, nous discuterons des responsabilités que la RGPD a conférées à chaque partie en matière de traitement et de contrôle des données, et nous donnerons un aperçu de la manière dont une organisation peut s’assurer de respecter le RGPD.

Définition : responsable du traitement des données et sous-traitant de données 

Dans le monde digital d'aujourd'hui, la collecte et le stockage des données sont plus une norme qu'une exception. Les entreprises peuvent collecter des données individuelles à des fins de publicité, de marketing, d'analyse ou de recherche. Chaque fois qu'une entreprise recueille et traite des données personnelles, elle le fait en tant que "chargé du traitement" ou "sous-traitant". Dans le chapitre 1, article 4 du RGPD, les deux sont définis comme suit :

Le "responsable du traitement des données" est "la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel".

Le terme "sous-traitant des données" désigne "une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel au nom du chargé du traitement".

Si une organisation contrôle et est responsable des données personnelles qu'elle détient, elle est chargée du traitement des données. Si, en revanche, elle détient les données à caractère personnel, mais qu'une autre organisation décide et est responsable de ce qu'il advient des données, alors elle est sous-traitant.

Responsable du traitement VS sous-traitant des données : qui est touché par le RGPD ?

La réponse à cette question est les deux. En vertu de la directive 95/46/CE sur la protection des données, seuls les responsables du traitement sont responsables en cas de non-respect de la protection des données. Toutefois, le règlement général de l'UE sur la protection des données (RGPD) établira un équilibre en attribuant également des obligations directes aux sous-traitants de données.

Selon l'article 83, en cas de non-respect, des amendes peuvent être appliquées à la fois aux responsables du traitement et aux sous-traitants. Ces amendes sont imposées en fonction du "degré de responsabilité des différents acteurs, compte tenu des mesures techniques et organisationnelles mises en œuvre par ceux-ci".

Cela a représenté un changement important et a augmenté considérablement le profil de risque des entités, telles que les fournisseurs de services cloud et de centres de données, qui agissent en tant que sous-traitant de données. Toutefois, l'impact a également été ressenti par les responsables qui font appel à leurs services, car l'augmentation du coût de mise en conformité peut entraîner une hausse conséquente du coût de leurs services. Les responsables du traitement doivent également faire preuve d'une vigilance accrue à l'égard des sous-traitants avec lesquels ils s'engagent et s'assurer qu'ils disposent des mesures techniques et opérationnelles nécessaires pour être en conformité avec le RGPD.

Quelles sont les responsabilités du chargé du traitement des données ?

Maintenant que nous avons établi que le chargé du traitement et le sous-traitant partagent les obligations en matière de protection des données, examinons plus en détail leurs responsabilités respectives. 

Le responsable du traitement est le principal responsable de la collecte des données. Ses responsabilités comprennent la collecte du consentement de la personne, le stockage des données, la gestion de la révocation du consentement, l'activation du droit d'accès, etc. Il doit être en mesure de démontrer le respect des principes relatifs au traitement des données à caractère personnel. Ces principes sont énumérés dans le RGPD comme "la licéité, l'équité et la transparence, la minimisation des données, l'exactitude, la limitation du stockage et l'intégrité, et la confidentialité des données personnelles".

Le RGPD fournit des détails supplémentaires sur la manière dont les organisations peuvent démontrer que leurs activités de traitement sont légales.

Si une personne révoque son consentement, le chargé du traitement aura la responsabilité d'initier cette demande. Par conséquent, à la réception de cette demande, il devra demander au sous-traitant des données de supprimer les données révoquées de ses serveurs.

S'il existe plusieurs organisations qui partagent les responsabilités du chargé du traitement des données à caractère personnel, l'EU RGPD prévoit l'existence de responsables communs. Le chargé du traitement commun est censé déterminer leurs responsabilités respectives de contrôle par un accord et fournir le contenu de cet accord aux personnes concernées, en définissant les moyens de communication avec les sous-traitants ayant un point de contact unique. La RGPD rend les contrôleurs conjoints pleinement responsables.

La directive sortante exonère les responsables du traitement de toute responsabilité pour les dommages survenant en cas de force majeure ou de circonstances imprévisibles qui les empêchent d'exécuter leur accord contractuel. Le GDPR ne contient pas une telle exemption, ce qui signifie que les responsables du traitement peuvent endosser le risque dans les cas de force majeure.

Le chargé du traitement devra enregistrer toutes les violations de données. Il est tenu de divulguer toute violation de données aux autorités chargées de l'application du RGPD sur demande. Étant donné que le délai de 72 heures pour signaler les violations de données risque de s'avérer extrêmement difficile pour le chargé du traitement, les experts conseillent aux organisations de nommer une personne chargée d'examiner et de signaler les violations de données, et de mettre en œuvre des politiques et des procédures claires de signalement des violations de données, le cas échéant.

Le chargé du traitement est censé ne travailler qu'avec les sous-traitants qui disposent des mesures techniques et organisationnelles appropriées pour se conformer aux lignes directrices de la RGPD. En d'autres termes, les responsables du traitement des données ne doivent choisir que des sous-traitants qui se conforment aux directives de la RGPD, sous peine de s'exposer eux-mêmes à des sanctions.

Comme les autorités de contrôle appliquent des sanctions aux responsables du traitement en cas d'absence de contrôle approprié, les sous-traitants peuvent se voir obligés d'obtenir des certifications de conformité indépendantes pour rassurer les responsables du traitement qui souhaitent faire appel à leurs services. Ils peuvent également devoir prendre des mesures pour sécuriser les données, telles que le cryptage et la pseudonymisation, la stabilité et le temps de fonctionnement, la sauvegarde et la récupération après sinistre, et des tests de sécurité réguliers. Il est probable que les sous-traitants situés en dehors de l'UE résistent à l'imposition de ces obligations, ce qui pourrait rendre plus difficile pour les responsables du traitement de désigner légalement les sous-traitants qu'ils souhaitent, et entraîner une négociation plus complexe des accords d'externalisation.

Que devra faire un sous-traitant de données pour être conforme au RGPD ?

Il est interdit au sous-traitant d'utiliser les données personnelles qui lui sont confiées à d'autres fins que celles décrites par le chargé du traitement des données. Sur demande, il doit supprimer ou retourner toutes les données personnelles au responsable du traitement à la fin du contrat de service.

Il ne peut transférer des données à caractère personnel à un pays tiers qu'après avoir reçu une autorisation légale.

Il doit obtenir l'autorisation écrite du chargé du traitement avant d'engager un sous-traitant et assume l'entière responsabilité des manquements des ces derniers à l'obligation de respecter le RGPD.

Le sous-traitant doit contribuer aux audits de conformité menés par le chargé du traitement ou son représentant.

En cas de violation des données, le sous-traitant est tenu d'informer les responsables du traitement sans délai excessif.

Un sous-traitant est en outre chargé de tenir un registre des activités de traitement des données s'il remplit l'un des critères suivants :

  • il emploie 250 personnes ou plus,
  • il traite des données "susceptibles d'entraîner un risque pour les droits et libertés des personnes concernées",
  • il traite les données régulièrement,
  • il traite des catégories particulières de données comme indiqué à l'article 9, paragraphe 1
  • il traite des données relatives aux condamnations pénales. 

Ils doivent également examiner les accords existants en matière de traitement des données pour s'assurer qu'ils ont respecté leurs obligations de conformité au titre du RGPD.

Qui est tenu de nommer un DP0 ?

Le concept de "Délégué à la Protection des Données" (DP0 : Data Protection Officer) pour les organisations qui traitent des données à caractère personnel a été une exigence obligatoire dans certains pays et une bonne pratique dans d'autres. Toutefois, le RGPD a rendu la nomination d'un DPO obligatoire pour les organisations, quelle que soit leur taille ou qu'elles traitent des données à caractère personnel en leur qualité de chargé du traitement des données ou de sous-traitant dans certaines circonstances.

Selon le RGPD (article 37), il existe trois principaux scénarios dans lesquels la désignation d'un DPO par un chargé du traitement ou un sous-traitant de données est obligatoire :

  1. le traitement est effectué par une autorité publique ;
  2. les activités principales du chargé du traitement ou du sous-traitant consistent en des opérations qui nécessitent un traitement régulier et systématique des personnes concernées à grande échelle ;
  3. les activités principales du chargé du traitement ou du sous-traitant consistent à traiter à grande échelle des données sensibles ou des données relatives à des condamnations pénales ou à des infractions. 

Les activités essentielles se réfèrent ici aux activités opérationnelles clés d'un responsable ou d'un sous-traitant. Cela n'inclut pas les activités de soutien telles que la paie ou le support informatique qui sont des fonctions accessoires.

Les organisations tiennent compte d'un certain nombre de facteurs lorsqu'elles déterminent si leur traitement est "à grande échelle". Ces facteurs sont les suivants :

  • le nombre de personnes concernées ;
  • le volume de données ou la gamme de données ;
  • la durée du traitement ;
  • l'étendue géographique du processus.

Le contrôle régulier et systématique comprend toutes les formes de suivi et de profilage sur Internet. Il n'est toutefois pas limité à l'environnement en ligne et peut également inclure les activités hors ligne. Par surveillance "régulière", on entend une surveillance continue ou à des intervalles particuliers pendant une période donnée ; récurrente ou répétée à des moments fixes ou encore constante ou périodique. La surveillance "systématique" désigne la surveillance qui se déroule selon un système, préétabli, organisé ou méthodique, qui s'inscrit dans un plan général de collecte de données ou qui est réalisée dans le cadre d'une stratégie.

Il est également important de noter que si une organisation ne répond pas aux exigences du RGPD, mais décide au contraire de nommer volontairement un DP0, alors les mêmes exigences qui s'appliquent aux DPD obligatoires s'appliqueront toujours. Si une organisation décide de ne pas nommer de DPO, il lui est conseillé de documenter clairement ces raisons.

Qualifications d'un délégué à la protection des données

Bien que le RGPD ne précise pas leurs qualifications précises, un responsable de la protection des données est censé avoir une expérience professionnelle et une connaissance suffisante de la législation sur la protection des données. Cette expertise doit être proportionnelle au type de traitement effectué par l'organisation et au niveau de protection que les données personnelles exigent.

Avertissement : Veuillez noter que dans ce blog, nous avons fourni des informations de base concernant le RGPD. WSI n'est pas une autorité légale pour le RGPD et peut seulement offrir des conseils sur les meilleures pratiques à suivre lors de la réalisation de toute initiative de marketing digital. Toutefois, pour obtenir des conseils concernant l'interprétation juridique de cette loi pour votre entreprise, veuillez vous adresser à un responsable juridique ou à un responsable de la protection des données.  

Le RGPD affecte les organisations de nombreuses manières, au-delà de la sécurité des données et des règlements. Les entreprises qui sont touchées doivent demander de l'aide ou des conseils juridiques si nécessaire. Elles doivent au moins disposer d'un plan d'action clair comprenant une formation sur la RGPD, la révision de leurs mécanismes de flux et de traitement des données, un aperçu de leurs pratiques et politiques de protection de la vie privée, la manière dont elles exploitent les données de tiers, etc. 

Si vous avez besoin d'aide pour rendre vos campagnes webmarketing RGPD Compliant, contactez-nous :

CONTACTEZ-NOUS DÈS AUJOURD'HUI

À Propos de l'Auteur

Gilles dirige l'agence Marketing Digital WSI OBIWEB. Chez WSI OBIWEB, nous croyons que toutes les entreprises devraient avoir un site internet efficace. Grâce aux systèmes de WSI, testés et validés depuis plus de 25 ans, nous savons comment définir, mettre en oeuvre et optimiser la stratégie Marketing Digital de nos clients pour les aider à générer rapidement des résultats au niveau local, national et international. Réservez un premier entretien gratuit avec Gilles en Web Meeting dès maintenant : Be Successful, Go Digital :

La meilleure connaissance et le meilleur conseil en marketing digital

Le blog sur le marketing digital de WSI est votre point de départ pour obtenir des conseils, des astuces et des pratiques exemplaires sur tout ce qui a trait au marketing digital. Jetez un coup d'œil à nos derniers articles.

N'arrêtez pas l'apprentissage maintenant!

Voici d'autres articles qui pourraient vous intéresser.

Voir Tous les Articles
Lead Scoring : améliorer votre stratégie de vente
Marketing Strategy

Lead Scoring : améliorer votre stratégie de vente

février 28, 2024 | 10 Minutes à Lire

Plongez dans le monde en évolution du marketing digital avec notre guide complet sur le Search Generative Experience (SGE). Découvrez comment SGE est sur le point de remodeler la façon dont nous interagissons avec les moteurs de recherche, d'améliorer l'e...

Lire l'Article
Guide de publicité Amazon pour les vendeurs
Marketing Strategy

Guide de publicité Amazon pour les vendeurs

janvier 4, 2023 | 7 Minutes à Lire

Vous avez des produits que vous souhaitez vendre sur Amazon mais vous ne savez pas comment vous y prendre ? Vous êtes tomber sur l’article qu’il vous faut. Essayez notre guide publicitaire Amazon 2022 pour les vendeurs.

Lire l'Article
Le marketing digital est un investissement, pas une dépense
Marketing Strategy

Le marketing digital est un investissement, pas une dépense

mai 12, 2022 | 20 Minutes à Lire

Le marketing digital n'est pas un coût. Il s'agit d'un investissement dans la croissance actuelle et future de votre entreprise. Apprenez-en plus sur ses avantages ici.

Lire l'Article
Créer la stratégie marketing digitale idéale pour mon entreprise - comment faire ?
Marketing Strategy

Créer la stratégie marketing digitale idéale pour mon entreprise - comment faire ?

avril 5, 2022 | 10 Minutes à Lire

La création d'une stratégie marketing digital implique beaucoup de planification, de définition d'objectifs et d'organisation. Mais il s'agit d'une composante essentielle de la réussite dans le domaine du digital, car sans stratégie, vous ne pourrez pas s...

Lire l'Article
SIÈGE SOCIAL DE L'ENTREPRISE WSI

91 Skyway Avenue, Suite 104
Etobicoke, ON, Canada
M9W 6R5

Local: 905.678.7588
US Toll-Free: 888.678.7588
UK Toll-Free: 08.08.234.6105
Fax: 905.678.7242
Email: contact@wsiworld.com

Social
GDPR-Badge TopAgencyIcon_20192020_greyscale

 

À PROPOS
CONTACTEZ-NOUS
OBTENEZ DES OFFRES GRATUITES
Services
TÉMOIGNAGES CLIENTS
NOS EXPERTS
Blog

© 2024 WSI. Tous droits réservés. WSI ICE et WSI IM sont des marques déposées de RAM. Politique de Confidentialité. Politique en Matiere de Cookies. Chaque franchise WSI est une entreprise détenue et exploitée de façon autonome.

Menu
Close