European Data Protection Board

Le RGPD distingue deux rôles principaux : le responsable du traitement et le sous-traitant. Cette distinction est cruciale, car le responsable du traitement porte plus de responsabilités et doit remplir plus d’obligations que le sous-traitant.
Les responsables du traitement et les sous-traitants peuvent être des personnes physiques ou morales, par exemple une PME, une autorité publique, une entreprise, une organisation, un organisme d’État, une association, etc.
Le responsable du traitement détermine les finalités et les moyens d’une opération de traitement. En d’autres termes, le responsable du traitement décide du comment et du pourquoi d’une opération de traitement. Les sous-traitants, quant à eux, traitent des données personnelles pour le compte du responsable du traitement. Le traitement effectué par les sous-traitants doit être régi par un contrat avec le responsable du traitement des données ou par un autre acte juridique.

Exemples de contrôleurs de données :

les entreprises qui traitent les données personnelles de leurs clients pour finaliser une vente ;
les institutions financières qui traitent les données personnelles de leurs clients ;
les associations qui traitent les données de leurs membres ;
les écoles ou universités qui traitent les données personnelles des étudiants et des enseignants ;
les hôpitaux qui traitent les données personnelles de leurs patients ;
les agences gouvernementales qui traitent les données personnelles des citoyens.

Exemples de sous-traitants :

une PME embauche un service de comptabilité pour conserver ses livres de comptes : la PME est responsable du traitement des données et le service de comptabilité est un sous-traitant ;
une société de gestion de paie traite les données personnelles d’une PME. La société de gestion de paie agira en tant que sous-traitant si elle traite uniquement les données personnelles pour le compte de la PME. La PME détermine les finalités et les moyens du traitement des données et est donc responsable du traitement des données.
une PME demande à une société de marketing de collecter des adresses e-mail via des sites web tiers. La société de marketing se confirme aux instructions explicites de la PME et aux fins exclusives de celle-ci. La société de marketing agit comme sous-traitant pour cette collecte de données.

Plus d’informations :

Responsable du traitement ou sous-traitant

Qui peut remplir le rôle de délégué à la protection des données (DPD) ?

Le DPD peut être un employé existant ayant une connaissance suffisante du RGPD (si les tâches professionnelles du salarié sont compatibles avec celles du DPD et que cela ne conduit pas à des conflits d’intérêts) ou une personne externe. Le DPD devrait être en mesure d’exécuter des missions de manière indépendante et de rendre compte directement au plus haut niveau de direction.

Plus d’informations :

Le délégué à la protection des données

Quand devriez-vous partager ces informations ?

Si votre organisation collecte les données personnelles directement auprès d’individus, elle doit fournir les informations nécessaires au moment de la collecte.

En cas de collecte indirecte de données personnelles, votre organisme doit fournir les informations au plus tard dans un délai d’un mois à compter de l’obtention initiale des données personnelles. Cette période maximale d’un mois peut être réduite :

si les données personnelles sont utilisées à des fins de communication avec la personne concernée. Dans ce cas, vous devez informer la personne concernée au plus tard au moment de la première communication à la personne concernée ;
si les données sont transmises à un autre destinataire, l’organisme en informe les personnes concernées au plus tard au moment du transfert des données personnelles.

Plus d’informations :

Respecter les droits des individus

Que dois-je faire lorsque quelqu’un demande comment je traite ses données ?

Les particuliers peuvent vous demander si vous traitez leurs données et, dans ce cas, ils ont le droit d’accéder à ces données. Ainsi, lorsque cela se produit et si vous traitez leurs données, vous devez, par exemple, fournir une copie de leurs données personnelles, gratuitement, ainsi que toute information supplémentaire nécessaire. Lorsqu’une demande est faite par voie électronique, votre organisme doit fournir les renseignements requis dans un format électronique couramment utilisé, ou un autre format demandé par la personne concernée.

Plus d’informations :

Respecter les droits des individus

Avis 19/2024 sur les critères de certification EuroPrise en ce qui concerne leur approbation par le comité en tant que label européen de protection des données conformément à l’article 42, paragraphe 5 (RGPD)

L’EDPB adopte son premier rapport au titre du cadre de protection des données UE-États-Unis et une déclaration sur les recommandations relatives à l’accès aux données à des fins répressives

Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD

Lignes directrices 03/2021 relatives à l’application de l’article 65, paragraphe 1, point a), du RGPD

L’EDPB adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et un programme de travail 2024-2025

Avis 04/2024 sur la notion d’établissement principal d’un responsable du traitement dans l’Union au sens de l’article 4, point 16 a), du RGPD

Qui est le responsable de traitement et qui est sous-traitant ?

Cela répond-il à votre question ?

Qui peut remplir le rôle de délégué à la protection des données (DPD) ?

Sur le même sujet :

Cela répond-il à votre question ?

Quand devriez-vous partager ces informations ?

Sur le même sujet :

Cela répond-il à votre question ?

Que dois-je faire lorsque quelqu’un demande comment je traite ses données ?

Sur le même sujet :

Cela répond-il à votre question ?