Frédéric Tronnier (GUF)
Cette section vise à expliquer les principaux acteurs, c’est-à-dire les rôles qui peuvent être attribués aux individus, aux organisations ou aux autres entités dans le RGPD. L’art. 4(7-10) définit plusieurs de ces acteurs tandis que d’autres sont définis plus loin dans le RGPD[1] . Ici, ces acteurs seront définis afin de clarifier les différentes tâches, droits et responsabilités que chaque acteur possède. Afin de travailler avec des données personnelles et de se conformer au RGPD, il est nécessaire de comprendre le rôle que chacun joue lorsqu’il travaille avec des données personnelles. Un bref résumé des principaux acteurs est présenté dans le tableau 1. Dans le corps du présent document, des exemples pratiques sont fournis afin d’illustrer l’interaction entre les différentes catégories d’acteurs.
- Pour des informations plus détaillées sur les principaux acteurs : responsable du traitement, sous-traitant et responsables conjoints du traitement, nous renvoyons aux lignes directrices du CEPD sur ces acteurs. Lignes directrices du CEPD sur les notions de responsable du traitement, de sous-traitant et de responsable conjoint du traitement au titre du règlement (UE) 2018/1725. Disponible sous : https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf (Dernière visite : 03.12.2020)
Et Lignes directrices 07/2020 sur les concepts de contrôleur et de sous-traitant dans le RGPD. Disponible sous : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (Dernière visite : 03.12.2020) ↑
Acteur | Personne concernée | Responsable du traitement | Sous-traitant | Responsables du traitement conjoints | Destinataire | Tierce partie | Délégué à la protection des données | Autorité de contrôle |
RGPD | Art.4(1) | Art.4(7) | Art.4(8) | Art.26 | Art.4(9) | Art.4(10) | Art.37 | Art.51 |
Brève description | Une personne physique qui peut être identifiée directement ou indirectement par des données personnelles. | Toute entité qui détermine les finalités et les moyens du traitement des données personnelles. | Gère le traitement des données personnelles pour le compte du responsable du traitement. Ne détermine pas les finalités de ce traitement. | Deux ou plusieurs responsables du traitement qui déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel. | Toute entité à laquelle des données personnelles sont divulguées, à l’exception des autorités publiques qui reçoivent des données personnelles conformément à la loi. | Toute autre entité que le responsable du traitement, le sous-traitant, la personne concernée ou les personnes autorisées à traiter les données à caractère personnel. | Personne physique qui agit de manière indépendante au sein d’une organisation pour assurer la bonne application du RGPD. | Autorité publique indépendante établie par les États membres de l’UE. Également appelées autorités de protection des données (APD). |
Tâches | Aucune tâche spécifiée dans le RGPD. Les personnes concernées peuvent faire valoir leurs droits énoncés aux articles 12 à 23 du RGPD. | Il a le contrôle des données et décide de leur utilisation. Il veut généralement réaliser une finalité avec les données. | Traite les données selon les instructions du responsable du traitement. | Les tâches sont les mêmes que celles d’un responsable du traitement(unique) mais sont exécutées par tous les responsables du traitement conjoints ensemble. | N’a pas de rôle actif. Un destinataire n’est défini que par son accès aux données personnelles. | N’a pas de partie active. | Veille à ce que les droits des personnes concernées soient protégés. Traite les plaintes et y répond. | Responsable du suivi et de la mise en œuvre de l’application correcte du RGPD. Sensibilise aux questions relatives au traitement des données. Traite les plaintes des personnes concernées. |
Droits / Responsabilités | Doté de nombreux droits tels que le droit de rectification, d’effacement, de limitation du traitement, le droit d’opposition et le droit d’accès. | Doit assurer le respect du RGPD dans le traitement des données et être en mesure de démontrer que le traitement des données personnelles est effectué conformément au RGPD. Doit mettre en œuvre des mesures techniques et organisationnelles appropriées à cet effet. | Agit sous l’instruction du responsable du traitement avec un certain degré de liberté pour choisir les méthodes les plus appropriées pour le traitement. Garantit que le traitement est conforme aux exigences du RGPD. | Les responsables du traitement conjoints doivent déterminer leurs responsabilités respectives en matière de conformité au traitement des données. Nécessité de fournir un point de contact pour les personnes concernées. | Pas de droits et de responsabilités. Deviendra un responsable du traitement pour tout traitement effectué à ses propres fins. | Reçoit des données à caractère personnel. Devient responsable du traitement pour tout traitement effectué à ses propres fins. | Agit de manière indépendante avec un budget et des ressources propres Ne doit pas se trouver en situation de conflit d’intérêts, donc ne pas être un sous-traitant ou un responsable du traitement. | Fait respecter l’application du RGPD. Peut émettre des avertissements et des réprimandes, ou interdire ou limiter le traitement des données personnelles par d’autres entités. |
Tableau 1. Bref résumé des principaux acteurs du RGPD