vie privée: gestion de vos fournisseurs et entreprises de traitement de données

Votre entreprise de traitement des données satisfait-elle aux règles strictes ? Demandez des garanties.

Les règles européennes font une distinction entre le responsable du traitement (controller) et l’exécutant (processor). Les deux sont soumis à des obligations spécifiques. Une nouveauté par rapport à la législation (belge) précédente, selon laquelle seul le controller était responsable.

Si vous confiez le traitement des données personnelles à un tiers (processor), par exemple un secrétariat social, il convient de demander préalablement des garanties que votre « sous-traitant » respecte ces nouvelles règles européennes. Puis de définir clairement les tâches – et donc les responsabilités – dans un contrat. Si nécessaire, procédez à une analyse ou à une évaluation d’impact sur la protection des données. Avec de bons accords, on détermine clairement quelles obligations incombent à qui. De même, le processor doit aussi vérifier que le controller respecte toutes les règles.

conseil: en tant que controller, effectuez régulièrement des contrôles ponctuels dans l'entreprise de traitement et évaluez les contrats de long terme au moins une fois tous les deux ans.

Votre entreprise de traitement des données satisfait-elle aux règles strictes ? Demandez des garanties.


les obligations du responsable (controller)

En tant que controller, vous êtes tenu de :

  • vérifier et documenter toutes les activités de traitement de données personnelles ;
  • prendre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles ;
  • prouver toutes les mesures mises en place à l'aide de documents et collaborer avec la Commission vie privée si nécessaire ;
  • prévoir tout le nécessaire (processus, documents de projets, etc.) pour pouvoir rapidement détecter toute infraction ou violation de données, faire une déclaration auprès de la Commission vie privée et endiguer la fuite.

 

les obligations de l'exécutant (processor)

En tant que processor, vous êtes tenu de :

  • contrôler tous vos contrats en cours concernant le traitement de données personnelles et garantir la sécurité et la confidentialité des données que vous traitez ;
  • ne traiter que ces données, comme demandé par le controller ;
  • faire tout le nécessaire (processus, documents de projets, etc.) pour pouvoir rapidement détecter toute infraction ou violation de données, faire une déclaration auprès du controller concerné et endiguer la fuite.
  • demander l'accord du controller avant d'externaliser le traitement des données.

Aussi bien le controller (responsable) que le processor (exécutant) ont des obligations.

Lisez également les autres articles  dans notre série sur la loi européenne stricte relative à la protection de la vie privée.

  1. l’objectif et l’application des règles plus sévères en matière de protection de la vie privée

  2. la responsabilité et l’obligation de rendre des comptes des entreprises

  3. le rôle du Data Protection Officer (le Délégué à la Protection des données)