Foire aux questions

Le cadre juridique lié à la RGPD est-il uniforme à l’ensemble de l’UE ?

Faq RGPD Le cadre juridique lié à la RGPD est-il uniforme à l’ensemble de l’UE ?
17-02-2022
  • Partager :

Le cadre juridique lié à la RGPD est-il uniforme à l’ensemble de l’UE ?

Le texte utilisé est le règlement européen, ce qui signifie que contrairement aux directives, il s'applique directement à l’ensemble des Etats membres sans avoir à être modifié. Par conséquent, le même texte s'applique à l’ensemble de l’UE à partir du 25 mai 2018. Ainsi, les traitements déjà mis en œuvre avant cette date doivent être mis en conformité avec les dispositions de la réglementation.

a. le critère du ciblage

Le règlement s’applique lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou lorsque le responsable du traitement ou le sous-traitant effectue un traitement visant à dispenser des biens et des services aux résidents européens ou à les « cibler » (moniteur anglais).

En pratique, le droit européen s’emploie chaque fois que les résidents européens sont directement concernés par le traitement des données, y compris via Internet.

b. responsabilités du sous-traitant

Par ailleurs, alors que la législation actuelle en matière de protection des données concerne principalement le "responsable des traitements", l'organisme qui détermine les finalités et les modalités du traitement. S'agissant des données à caractère personnel, le règlement étend la plupart des obligations imposées aux responsables de traitement aux sous-traitants.

Les sous-traitants qui traitent des données personnelles pour ses clients ont de nouvelles responsabilités en vertu du règlement européen sur la protection des données (RGPD).

c. cela concerne qui ?

Le RGPD est mis en application depuis le 25 mai 2018. Il impose des obligations spécifiques aux sous-traitants, dont la responsabilité peut être engagée en cas de rupture de contrat.

Ces obligations concernent toutes les organisations qui traitent des données personnelles pour le compte d'une autre organisation dans le cadre d'un service ou d'une prestation. Cela concerne :

  • Prestataires de services informatiques (hébergement, maintenance, …),
  • Les intégrateurs de logiciels,
  • Les sociétés de sécurité informatique,
  • Les entreprises de services numériques ou autrefois Sociétés de Services et d'Ingénierie Informatique (SSII) ayant accès aux données,
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients

d. que doivent effectuer les sous-traitants ?

Les sous-traitants doivent respecter des obligations spécifiques concernant la sécurité, la confidentialité et la documentation de leurs activités.

Ils doivent tenir compte de la protection des données dès la conception de leur service ou produit et prendre des mesures pour assurer une protection optimale des données.

En particulier, les sous-traitants sont tenus d'informer les clients pour le compte desquels ils traitent des données. Ils doivent les aider à répondre à certaines obligations de la réglementation (recherche d'impact sur la vie privée, notification de violation de données, sécurité, contribution à l'audit).

Les sous-traitants seront tenus de tenir des registres des activités de traitement effectuées pour le compte de leurs clients.

Dans certains cas, ils doivent désigner un délégué à la protection des données (DPO) dans les mêmes conditions que le responsable du traitement.

Le guide est présenté sous forme de questions-réponses et fournit également des exemples de conditions de sous-traitance ajustées et précisées en fonction du service de sous-traitance concerné.

Ce guide est un outil vivant qui peut être enrichi des bonnes pratiques signalées à la CNIL par les professionnels.

e. guichet unique : « one stop shop »

Les entreprises sont désormais en contact avec le « guichet unique », l'autorité de protection des données de l'État membre où se trouve son "autorité principale", est désigné comme autorité « chef de file ». Cet organisme est le siège central dans l'Union européenne ou l'organisme qui prend les décisions concernant les finalités et les modalités du traitement. Les entreprises bénéficient ainsi d'un point de contact unique dans l'UE en matière de protection des données personnelles lors du traitement transfrontalier.

Le « One Stop Shop » est une nouvelle procédure introduite par le Règlement Général sur la Protection des Données (RGPD). Son objectif est d'harmoniser les décisions des autorités de protection des données concernant les traitements transfrontaliers au niveau européen. Ces autorités doivent dorénavant concilier leurs décisions.

Le Guichet Unique n’examine que les traitements transfrontaliers tels que définis à l'article 4.23 du RGPD.

C'est-à-dire:

  • Les traitements de données effectués par des sociétés établies dans plusieurs pays européens (c'est-à-dire dans l'Union européenne, au Liechtenstein, en Islande ou en Norvège)
  • Les traitements de données par une entreprise établie dans un seul pays, mais ayant un impact significatif sur des personnes d'au moins un autre État membre.

Le mécanisme du guichet unique est fermé aux entreprises établies en dehors de l'UE, même si leurs traitements de données impliquent des personnes résidant dans plusieurs États membres.