Les contenus de la région '' vous seront proposés par défaut, en plus des contenus nationaux sur tout le site. Ce choix s'appliquera également lors de vos prochaines visites.

Acteurs

Du responsable de traitement à la personne concernée, de la Cnil au Comité européen de protection des données, de nombreux acteurs interviennent dans la protection des données.

A+ / A-

Le responsable de traitement

Définition

Le responsable de traitement est, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui « détermine les finalités et les moyens du traitement » sauf lorsque des dispositions législatives ou réglementaires relatives à ce traitement le désignent expressément (RGPD, art. 4, 7). C’est sur lui que pèse la responsabilité juridique du traitement.

Le RGPD reconnaît également des cas de coresponsabilité lorsque les finalités et les moyens du traitement sont déterminées conjointement par plusieurs partenaires. Ils sont alors tenus d’adopter une convention définissant leurs obligations respectives pour assurer le respect des exigences liées à la protection des données personnelles, notamment la manière dont ils s’organisent pour permettre l’exercice des droits des personnes.

À l’Inserm

Le responsable des traitements au sens de l’article 4 du RGPD est l’Inserm, représenté par son Président-directeur général (sauf délégation de pouvoir). Les autorisations de la Cnil sont formulées à son intention. Le responsable de traitement est également promoteur lorsque la recherche implique la personne humaine.

Il lui appartient d’arrêter la politique générale de l’établissement en matière de protection des données personnelles et de veiller à son application.

Chaque responsable d’entité en tant que responsable opérationnel du traitement est chargé, sur son périmètre, de veiller à la mise en œuvre de cette politique.

Le délégué à la protection des données

Le DPO un acteur clé de la démarche de conformité de l’établissement. Il pilote la démarche de conformité aux règles de protection des données menée par l’Inserm, responsable des traitements de données personnelles.

Le sous-traitant

Un sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement (RGPD, art.4.8). Il agit sur instruction et sous l’autorité du responsable de traitement.

Sous l’empire du droit antérieur, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la Cnil pour des manquements à la protection des données. Le RGPD procède à un rééquilibrage et prévoit de nouvelles obligations pesant sur les sous-traitants.

La personne concernée

  • Il s’agit des personnes physiques dont les données à caractère personnel font l’objet d’un traitement.
  • Le G29 crée par ailleurs une catégorie de personnes dites vulnérables en raison du déséquilibre de la relation entre la position de la personne concernée et le responsable de traitement. Il classe notamment dans cette catégorie les enfants, les employés, les patients dont les personnes souffrant d’une maladie mentale, les demandeurs d’asile ou les personnes âgées.
  • Le caractère vulnérable des personnes concernées est un des critères à prendre en considération pour déterminer si un traitement doit donner lieu à une analyse d’impact.
  • Le RGPD et la loi Informatique et Libertés (art. 45) prévoient également des dispositions spécifiques concernant le consentement des mineurs de 15 ans ou plus. Cette disposition ne concerne toutefois que le consentement recueilli dans le cadre d’une offre directe de services de la société de l’information (par exemple, l’inscription à un réseau social ou à un site de jeux en ligne) et est soumise à des conditions spécifiques.

Le destinataire

  • Le destinataire d’un traitement est la personne, le service, la direction… qui reçoit de manière habituelle communication des informations, qu’il s’agisse ou non d’un tiers (RGPD, art. 4.9).
  • Les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre en raison de leurs fonctions. Les habilitations d’accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité.
  • Les personnes dont les données personnelles sont collectées doivent être informées des destinataires ou des catégories de destinataires des données personnelles.

Les tiers autorisés

La loi permet à certaines administrations/autorités publiques (dits « tiers autorisés ») de se faire communiquer, sous certaines conditions et dans le cadre de leurs missions particulière ou de l’exercice d’un droit de communication, des informations personnelles issues de fichiers détenus par des organismes publics et privés.

C’est le cas, notamment, des officiers de police judiciaire, de la police et de la gendarmerie nationales dans le cadre d’une enquête préliminaire, ou d’une commission rogatoire.

Cette communication ne peut être effectuée que sur demande ponctuelle, écrite et motivée, visant des personnes nommément désignées, identifiées directement ou indirectement. Il est exclu qu’elle porte sur l’intégralité d’un fichier, d’un sous ensemble de fichiers ou qu’elle aboutisse à l’organisation d’interconnexion. La demande doit préciser le texte législatif fondant ce droit de communication ainsi que les catégories d’informations sollicitées.

L’organisme saisi de la requête doit de son côté s’assurer de sa conformité aux textes invoqués. Le fait, pour un responsable du traitement, de porter à la connaissance d’un tiers qui n’a pas qualité pour les recevoir des données à caractère personnel, dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, constitue une infraction pénale (article 226 – 22 du code pénal)

Les vérifications d’usage préconisées en de telles circonstances

  1. Vérifier que l’organisme sollicité est bien responsable du traitement concerné au titre de la loi Informatique et Libertés.
  2. S’assurer de l’identité du demandeur (en conservant une trace de la vérification) pour ne pas être victime d’une usurpation de titre ou de qualité (ne jamais répondre à une demande présentée par téléphone).
  3. Au-delà de son identité, s’assurer de la qualité du demandeur : est-il pertinent à présenter sa demande.
  4. Obtenir une demande écrite et motivée. Celle-ci doit être ponctuelle, viser des personnes nommément désignées, identifiées directement ou indirectement, et comprendre les éléments suivants : 
    • Un fondement juridique : la demande doit préciser le texte législatif fondant ce droit de communication et être accompagnée si besoin des porteurs des titres exécutoires, lettres de mission, etc. Il appartient au responsable de traitement de s’assurer de la réalité et de la pertinence des textes invoqués ;
    • La finalité poursuivie par la demande ;
    • La liste des données demandées : la demande doit préciser les catégories d’informations sollicitées, il est exclu qu’elle porte sur l’intégralité d’un fichier.
  5. Vérifiez que les données demandées sont en rapport avec la finalité annoncée.
  6. Si tous ces points sont respectés, communiquez les informations de façon sécurisée au tiers qui en a fait la demande. Il convient d’ajuster le niveau de sécurité au degré de sensibilité des données transmises.
  7. Conservez trace de cet envoi.

L’autorité de contrôle (Cnil)


La Commission nationale de l’informatique et des libertés (Cnil) est l’autorité de contrôle en France au sens du RGPD. C’est une autorité administrative indépendante.

Le RGPD laisse à chaque pays le soin de fixer dans son droit local les règles de composition et de fonctionnement de cette autorité. Le statut et les missions de la Cnil sont donc fixés par la loi du 6 janvier 1978 modifiée en 2018. Elle est concernée par un traitement de données à caractère personnel lorsque :

  • le responsable de traitement ou le sous-traitant est établi en France ;
  • des personnes concernées résidant en France sont sensiblement affectées par le traitement ou susceptibles de l’être (Exemple : participants à une recherche résidant en France quel que soit le lieu d’établissement du responsable de traitement) ;
  • une réclamation a été introduite devant la Cnil.

Le Comité européen de la protection des données

Le Comité européen de la protection des données (European Data Protection Board en anglais) est le successeur du groupe de l’article 29 (le G29). Son rôle est de garantir l’application cohérente du RGPD. Il peut ainsi adopter des documents d’orientations générales afin de clarifier les dispositions des actes législatifs européens en matière de protection des données et, de cette manière, fournir aux acteurs concernés une interprétation cohérente de leurs droits et obligations.

Il a aussi la capacité, à la différence du G29, d’adopter des avis pour garantir l’application cohérente du règlement, et des décisions contraignantes pour trancher les différends entre autorités de contrôle qui lui seraient soumis. Il se compose de représentants des autorités nationales chargées de la protection des données et du Contrôleur européen de la protection des données. Il est basé à Bruxelles.