RGPD mon amour #2 : les acteurs et leurs responsabilités

Cinq acteurs donc, que nous vous ferons le plaisir de présenter de pied en cap. À noter qu’un sixième manque à l’appel dans cet article : le Comité européen de la protection des données, le grand architecte de l’application du RGPD. S’il oriente et contraint la mise en oeuvre de ce Règlement, le Comité n’interagit pas directement avec les autres interlocuteurs. D’où son absence aujourd’hui — mais vous connaissez désormais son existence !

Facile de dénicher cet acteur tant il est répandu : il s’agit de tout le monde. De tous ceux qui naviguent sur le Net, font leurs courses en magasin, signent des pétitions dans la rue, s’informent sur les réseaux sociaux, consultent leur compte en banque, téléchargent des livres blancs ou des recettes de cuisine.
Mais aussi (ironie du sort ?), de tous les autres interlocuteurs décrits dans cet article.

Dès lors qu’on utilise le grand Internet, nous laissons derrière nous des données personnelles — qui sont d’ailleurs bien plus vastes qu’on ne le croit. Données qu’il nous faut protéger tant cette notion nous échappe, et son traitement flou. C’est donc toute la mission du RGPD, qui œuvre en super héros des données personnelles.

Son doux petit nom est sans équivoque : il désigne ici la personne morale responsable devant la loi du traitement des données personnelles. Pour LunaWeb, il s’agit de nos clients, pour lesquels nous œuvrons en qualité de sous-traitant — mais nous y reviendrons plus tard.

D’un point de vue juridique, c’est le responsable du traitement qui définit les finalités et les moyens liés à la manipulation des données collectées. Et qui s’assure de leur conformité avec le RGPD. Il doit donc pouvoir le démontrer lorsque la CNIL viendra frapper à la porte.

C’est ici même que nous intervenons, sachant que d’autres sous-traitants peuvent être invités autour de la table. Pour notre part, nous apportons un regard avisé et technique. En d’autres termes, nous sommes en mesure de conseiller nos clients dans la mise en conformité RGPD du traitement des données lorsque nous concevons leur interface web, quelle qu’elle soit (site web, application, etc.).

Notre responsabilité s’arrête là : les décisions liées aux moyens et aux finalités ne peuvent être prises que par le responsable du traitement — au risque de répercuter ces responsabilités sur le sous-traitant. À savoir que toutes les solutions tierces comme les services d’envoi d’emails (Mailchimp, Mailjet, etc…) ou les outils de tracking et de webanalyse (Google Analytics, …), sont considérés comme des sous-traitants.

Si ces grands acteurs ont fait le nécessaire pour être en conformité avec le RGPD, gardez tout de même un œil vigilant sur les politiques mises en place par vos sous-traitants.
À noter que des organismes de certification ou de formation devraient voir le jour, pour aider à la fois les sous-traitants et les responsables du traitement à respecter les règles du jeu — des règles qui ne sont pas toujours très claires.

En attendant, la CNIL met à disposition un guide complet à destination des sous traitants. , pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations

Le Data Protection Officer, ou Délégué à la Protection des Données (DPD) en VF, est une sorte de modérateur du RGPD. C’est lui qui s’est plongé des heures durant dans les textes de loi, les synthèses réglementaires et la documentation mis à disposition par le Comité européen de la protection des données et la CNIL.
C’est aussi lui qui transmet la bonne parole en interne pour sensibiliser au RGPD et mettre en œuvre des actions concrètes.
C’est enfin lui qui vérifie la conformité de ces mesures, et plus globalement de la protection des données personnelles collectées.

Le DPO est donc le référent de tous les interlocuteurs en lien direct ou indirect avec le RGPD. Chez LunaWeb, c’est notre développeuse back-end Sandrine Pawlicki qui s’est désignée — et c’est une volonté de notre agence, car le DPO n’est pas toujours obligatoire. À noter que le DPO peut être logé chez le sous-traitant, chez le responsable du traitement, ou les deux !

Difficile de croire au respect spontané des différentes parties prenantes sans contrôle de la part d’une autorité légitime. En France, nous avons la chance d’avoir la CNIL, installée depuis bien plus longtemps que le RGPD sur ces sujets de protection de la vie numérique.

Mais au-delà du contrôle et des sanctions (qui peuvent atteindre les 10 millions d’euros ou 4% du chiffre d’affaires mondial), la CNIL a également endossé son rôle d’éducateur. Ainsi, elle sensibilise aussi bien les professionnels que le grand public, avec toute une panoplie d’outils assez bien ficelés — Mooc, code de bonne conduite, mécanismes de certification, modèles de documents… Car la sanction n’a de sens que si elle est précédée de pédagogie auprès du plus grand nombre.

Nous avons planté le décor avec ces deux premiers articles — celui que vous avez présentement sous vos yeux, et le précédent dédié aux données à caractère personnel. Vous connaissez les principaux acteurs de la pièce, et l’intrigue qui les lie. Intrigue que nous déroulerons dans les chapitres à venir — que se passe-t-il pendant la collecte des données ? Comment assure-t-on le suivi du RGPD ? La suite au(x) prochain(s) épisode(s) !