Quelle est la différence entre un contrôleur de données et un délégué à la protection des données ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Deux nouveaux rôles ont été définis dans le domaine de la protection des données et de la conformité : le contrôleur des données et le délégué à la protection des données. Alors que les entreprises s’efforcent de se conformer aux règles, le rôle des contrôleurs de données et des délégués à la protection des données devient plus important. Sources : 7,2]

Le rôle de ce qui constitue un contrôleur et un processeur de données est défini à l’article 4 du GDPR. Les sous-traitants de données sont définis comme des personnes, des autorités, des organismes ou des groupes qui traitent les données pour le compte des responsables du traitement et qui les traitent à des fins de protection des données [Sources : 11,2]. Sources : 11,2]

La différence entre un responsable du traitement et un sous-traitant est claire : le premier fournit la raison et les moyens de l’information, tandis que le second est un prestataire de services pour les responsables du traitement qui traitent les données en leur nom. Selon la manière dont une entreprise utilise ses données, on peut définir un responsable du traitement ou un sous-traitant de la même manière qu’une entreprise. Les responsables du traitement déterminent la finalité et les moyens du traitement des données personnelles, tandis que les sous-traitants sont responsables du traitement pour le compte des responsables du traitement. Par exemple, si vous avez un site web qui collecte des informations personnelles telles que des adresses électroniques, des numéros de téléphone et des numéros de sécurité sociale, votre responsable du traitement peut décider si les données ont été partagées et, le cas échéant, comment les données partagées peuvent être utilisées efficacement. D’autre part, le responsable du traitement des données décide si les données partagées peuvent être utilisées efficacement à des fins de protection des données ou à d’autres fins (par exemple, à des fins de marketing). Sources : 2,0,1,18]

En général, les personnes qui traitent des données à caractère personnel pour le compte de responsables du traitement sont appelées des sous-traitants de données et sont soumises à beaucoup moins d’obligations légales. En vertu de l’ancienne loi sur la protection des données, les responsables du traitement et les sous-traitants étaient conjointement responsables de tout sous-traitant qui traitait des données illégalement. Un sous-traitant de données, en revanche, est toute personne qui traite des données privées (à l’exception des propres employés du responsable du traitement). Un processeur de données ne relève pas de l' »administrateur de données » et est généralement un tiers qui acquiert des données traitées sur la même base de données que celle sur laquelle l’administrateur de données contrôle les informations utilisées. Sources : 5,10,10,3]

Si le GDPR détermine une violation de la protection des données, le délégué à la protection des données doit imposer une amende pouvant aller jusqu’à 25 000 euros pour chaque violation de la loi sur la protection des données, en tenant compte des mesures techniques et organisationnelles prises par le responsable du traitement et le sous-traitant. En plus de l’amende, il doit également être désigné pour surveiller et vérifier le respect de la politique de confidentialité par des audits de conformité et des inspections. Sources : 17,4]

Si une autorité publique traite des données d’utilisateur, elle doit désigner un délégué à la protection des données conformément aux exigences du GDPR pour la protection des données personnelles de l’utilisateur. [Sources : 13]

L’article 38 définissant la position du contrôleur de la protection des données, le responsable du traitement et le sous-traitant doivent veiller à ce que le contrôleur de la protection des données soit correctement et rapidement associé à toutes les questions relatives à la protection des données à caractère personnel. Lors de la rédaction d’un contrat entre un sous-traitant et un sous-traitant, les mêmes obligations en matière de protection des données que celles prévues à l’article 38, paragraphe 1, et à l’article 37, paragraphe 2, de l’article 2 doivent être incluses. Lorsqu’un responsable du traitement et un sous-traitant travaillent ensemble, ils doivent avoir un contrat clairement défini. Dans certains cas, plusieurs responsables du traitement peuvent être désignés pour déterminer les finalités et la nature du traitement. Sources : 14,9,8,17]

Si une organisation est obligée de traiter les données personnelles de manière appropriée, elle doit être classée comme responsable du traitement. Que vous vous identifiiez comme « responsable du traitement » ou « sous-traitant des données », il vous appartient de vous assurer que vous vous conformez au GDPR et de démontrer que vous respectez les règles et les principes de protection des données. [Sources : 17,17]

Il est important que tant les processeurs de données que les contrôleurs soient responsables en cas de violation du GDPR. Chaque fois qu’un processeur de données est impliqué dans la collecte de données, il devient le « contrôleur de données », et les responsabilités susmentionnées s’appliquent. En d’autres termes, s’il viole les instructions du responsable du traitement, il est responsable des violations de données. [Sources : 11,17,1]

Afin d’assurer la sécurité de vos données, vous devez notifier le responsable du traitement en cas de violation des données et l’informer de cette violation. [Sources : 17]

Un délégué à la protection des données (RGPD) est une personne qui assiste le responsable du traitement ou le sous-traitant dans le contrôle interne du respect des règles du RGPD, notamment le contrôle de la sécurité des données, de leur protection et de leur intégrité. La tâche du DPD est d’aider les responsables du traitement et les sous-traitants à décrire le GDPR aux données avec lesquelles ils travaillent et à éviter les risques auxquels l’organisation est exposée dans le traitement des données personnelles. Lorsqu’un responsable du traitement et un sous-traitant travaillent avec des données, ils peuvent désigner un délégué à la protection des données (DPD) dans le cadre de leurs missions. Sources : 0,6,15]

Un contrôleur surveillera la manière dont les données sont collectées auprès des personnes concernées et s’assurera que le consentement nécessaire est obtenu des utilisateurs. Vous désignerez un délégué à la protection des données afin de garantir la confidentialité des informations, comme le prévoit le GDPR, et de veiller à ce que le responsable du traitement contrôle et maîtrise comment et avec qui les données concernant la personne concernée sont collectées. Les sous-traitants et les responsables du traitement sont tenus de désigner des délégués à la protection des données si leurs activités nécessitent un suivi régulier à grande échelle des personnes concernées ou si elles impliquent le traitement de grands volumes de données à caractère personnel (par exemple, des données personnelles). Si le DPD occupe un poste de direction, ce qui signifie que les compétences sont strictement attribuées dans la plupart des lois sur la protection des données, il peut être exposé à des intérêts concurrents. [Sources : 5,12,16]

Sources :

  • [0] : https://www.onedpo.com/role-of-data-controller-and-data-processor/
  • 1] : https://realbusiness.co.uk/gdpr-preparation-whats-difference-data-controller-data-processor/
  • 2] : https://bmmagazine.co.uk/in-business/the-important-difference-between-data-controller-and-protectors-why-you-need-to-be-aware-of-it/
  • [3] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr
  • [4] : https://www.multilaw.com/Multilaw/Multilaw_News/Jurisdiction_News/Tilleke_Gibbins_Thailands_Personal_Data_Protection_Act.aspx
  • [5] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
  • [6] : https://www.iubenda.com/en/help/5428-gdpr-guide
  • [7] : https://martechtoday.com/data-controllers-and-data-processors-the-difference-and-why-it-matters-in-gdpr-215612
  • [8] : https://www.websitepolicies.com/blog/data-controller-vs-data-processor
  • [9] : https://www.hipaajournal.com/difference-between-controller-processor-gdpr/
  • [10] : https://www.osborneclarke.com/insights/am-i-a-data-controller-or-a-data-processor-and-why-is-it-important-anyway/
  • [11] : https://www.termsfeed.com/blog/gdpr-data-controller-vs-processor/
  • [12] : https://security.it.iastate.edu/policies/regulations/gdpr
  • [13] : https://seersco.com/articles/data-protection-officer/
  • [14] : https://gdpr.eu/data-protection-officer/
  • [15] : http://www.ascentor.co.uk/2017/06/gdpr-data-protection-officer-dpo/
  • [16] : https://news.bloomberglaw.com/privacy-and-data-security/insight-avoiding-conflicts-of-interest-in-selecting-a-data-protection-officer
  • [17] : https://www.gdpreu.org/the-regulation/key-concepts/data-controllers-and-processors/
  • 18] : https://pecb.com/article/data-controller-vs-data-processor-and-isoiec-27701