Si parmi les innovations apportées par le RGPD figure la désignation obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais, ou «DPO»), les autres acteurs n’ont pas un rôle de figurants.

Le rôle des différents intervenants

Le délégué à la protection des données est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

La personne protégée : personne physique dont les libertés et droits fondamentaux sont protégés par le RGPD notamment le droit à la protection des données à caractère personnel.

Par exemple, un client ayant acheté un produit en ligne ou un client détenant la carte de fidélité d’un magasin pourra demander au commerçant les informations qu’il détient sur lui puis lui demander de les rectifier ou de les supprimer.

Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Par exemple une entreprise (représentée par son représentant légal) qui collecte sur son site internet dans la rubrique « Ressources Humaines » ou son espace « Nous rejoindre » les données personnelles des candidats.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Par exemple un prestataire informatique délivrant des logiciels/solutions de sécurité aura notamment une obligation de conseil auprès de son client (responsables de traitement) pour la conformité à certaines obligations du règlement telles que la destruction des données ou encore la contribution aux audits.

Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Ainsi le destinataire peut être un tiers.

Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée par le traitement, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Ainsi, le tiers n’est pas autorisé à traiter les données.

Autorité de contrôle : une autorité publique indépendante qui est instituée par un État membre et qui est concernée par le traitement de données à caractère personnel.

En France cette autorité est la CNIL. Les réclamations pourront être introduites directement auprès de cette dernière chaque fois le responsable du traitement ou le sous-traitant est établi en France ou que des personnes concernées résidant en France sont sensiblement affectées par le traitement ou sont susceptibles de l’être.

 

1 réponse

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire