Protection des données à caractère personnel : un excès d’obligations sape l’innovation | Agoria

Protection des données à caractère personnel : un excès d’obligations sape l’innovation

Publié le 28/03/12 par Ilse Haesaert

Dans sa proposition de règlement sur la protection des données à caractère personnel (voir articles apparentés), la Commission européenne prétend partir d’une responsabilité globale du responsable du traitement de données à caractère personnel. C’est en effet lui qui doit veiller à ce que (et si c’est requis, prouver que) chaque traitement est effectué conformément aux dispositions du règlement.

Le responsable du traitement doit donc établir une politique interne et prendre toutes les mesures appropriées pour satisfaire aux exigences du règlement. Ceci implique notamment la mise en œuvre des principes de "privacy by design" (prise en compte de la protection de la vie privée dès la conception d’un service, d’une application ou d’un produit) et de "privacy by default" (partir de la protection la plus étendue, après quoi le client peut opter lui-même pour un niveau de protection inférieur), ainsi que l’exécution d’un audit.

Toutefois, ce qui pose problème, c’est la manière détaillée dont la Commission européenne énumère, dans sa proposition de règlement, les obligations à respecter par le responsable du traitement, tout en impliquant systématiquement le sous-traitant. Il s’agit non seulement d’un grand nombre d’obligations nouvelles, mais les sous-traitants sont en outre mis en première ligne et tenus responsables.

Quelles sont les obligations qui s’appliquent tant au responsable du traitement qu’à son sous-traitant ?

  • Chaque traitement doit être documenté par le responsable du traitement, mais aussi par le sous-traitant (art. 28).
  • Réaliser une "analyse d’impact relative à la protection des données" pour les traitements présentant des risques

Le reste est réservé aux membres Agoria

Sujets qui pourraient vous intéresser