Le GDPR vient encadrer le traitement des données à caractère personnel, en imposant diverses obligations aux entités traitant les données. Ces obligations sont pour certaines à la charge du responsable du traitement seul, et pour d’autres, partagées entre ce dernier et un éventuel sous-traitant.

Sous-traitance et responsabilités

Beaucoup de professionnels ne traitent pas directement toutes les données personnelles qu’ils ont collectées eux-mêmes mais font appel à des sous-traitants. De nombreux indépendants et responsables de PME pensent, à tort, que le traitement des données par un sous-traitant les délivre de leurs responsabilités.

Même si on ne traite pas directement ces données et qu’on les transfère à un sous-traitant, on reste le responsable du traitement en regard du GDPR et de ses obligations.

Pour rappel, le responsable du traitement doit être en mesure de démontrer que les traitements qu’il opère ou fait opérer le sont dans le respect du Règlement.

Dès qu’ils traitent régulièrement des données personnelles, le responsable du traitement et le sous-traitant doivent tenir un registre détaillé des opérations de traitement, registre qui peut être mis à disposition de l’autorité de contrôle à tout moment, et coopérer avec celle-ci (Art 29 et 30 du GDPR).

Nombreuses sont les personnes qui s’aventurent à considérer qu’elles ne traitent pas de donnés à caractère personnelles dans l’exercice de leur métier. Pour bien cerner le problème, il faut toujours considérer ces données dans leur définition la plus large.

Gestion des clients et des fournisseurs

Dans ce cadre, considérons la gestion des fournisseurs et celle des clients. Quel que soit le support (feuille de papier, liste dans un téléphone, base de données, …) permettant de collecter ou de traiter les données des fournisseurs ou des clients, la simple association d’un nom d’une personne physique avec un numéro de téléphone ou avec une adresse constitue déjà une donnée personnelle qui doit être protégée dans le respect du GDPR. Ce traitement doit être mentionné dans le registre de traitement des données du responsable du traitement mais aussi dans celui du sous-traitant éventuel.

La paie du personnel

De même, dans le cadre de la paie du personnel, tout employeur dispose des données personnelles de ses employés (adresse, numéro de téléphone, montant du salaire, …) et est le responsable du traitement de ces données. Il doit donc enregistrer ce traitement de données personnelles dans un registre de traitement ; même si dans les faits la rémunération du personnel est gérée par une tierce partie comme un comptable ou un secrétariat social. Il est à noter que ce sous-traitant devra lui aussi tenir un registre de traitement des données et s’assurer du respect du GDPR. Toutefois, cela ne dédouane pas l’employeur de ses responsabilités envers le GDPR ; qu’il paie directement lui-même son personnel ou qu’il fasse appel à un service externe pour remplir cette tâche.

Conclusions

Dans la plupart des cas, considérer que l’on ne traite pas de données personnelles s’avère souvent une erreur qui peut être lourde de conséquences pour un employeur ou un indépendant. Les personnes qui partagent leurs données personnelles avec vous vous font confiance et il est profitable pour tous de protéger ces données.

    X
    Bienvenue au Chat de Nath
    Une question ? La réponse ici !
    wpChatIcon