GDPR : TOUS SOLIDAIRES ET RESPONSABLES
Le 25 Mai 2018 arrive à grands pas. La GDPR veut mettre la réglementation européenne en phase avec la société moderne, poussée par les nouvelles technologies. Maintenant que le secteur digital et des données personnelles fonctionnent d’une façon transfrontalière, par essence, un cadre juridique unique s’impose au lieu d’un tissu disparate de 28 législations où chacun à son mot à dire.
Pour cette harmonisation, les autorités européennes ont opté pour un règlement qui impose un texte uniforme, directement applicable en droit national dans les différents pays membres, sans qu’il y ait besoin d’une transposition. Concrètement, cela impactera conjointement l’aspect international et relationnel entre commanditaire et sous-traitant dans la chaine de valeur des entreprises.
La GDPR sera d’application pour chaque entreprise et organisation, indépendamment du pays dans lequel elle sont localisées et ce, dès qu’on collecte ou traite des données portant sur des personnes qui résident dans l’union européenne. Cela concerne également les sociétés basées hors de l’Union Européenne et leurs succursales actives en Europe, que l’on traite des données dans le cloud ou dans une entité physique. Il s’agit de la protection du citoyen européen qui suit les données. Important lorsqu’on sait que parmi les 25 plus grandes sociétés d’Internet, 15 ont leur siège aux États-Unis et seulement une en Europe. La logique est la même pour les centres de traitement des données. Nos données volant littéralementautour du globe.
Pour renforcer les droits fondamentaux du citoyen, la responsabilité dans le traitement des données n’incombe plus seulement au responsable des traitements, comme dans la directive actuelle, mais également au sous-traitant qui agit pour le compte de ce responsable.
Un changement crucial par lequel la GDPR impose, pour la première fois à l'échelle de l'UE, des obligations directes à ce sous-traitant, qu’il soit sous-traitant local ou fournisseur de services de cloud computing.
D’autre part les responsables du traitement ne peuvent nommer que des sous-traitants qui fournissent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir que le traitement réponde aux exigences du GDPR. D’autre part, les sous-traitants sont tenus de traiter les données personnelles conformément aux instructions du responsable du traitement.
Les sous-traitants sont tenus de mettre en place des mesures de sécurité appropriées, qui doivent être évaluées en fonction de divers facteurs, comme la sensibilité des données, les risques pour les personnes concernées par une atteinte à la sécurité, les coûts de la mise en œuvre et la nature du traitement. Des tests réguliers de l'efficacité de toute mesure de sécurité sont également nécessaires le cas échéant.
Le tout doit être verrouillé par des contrats.