Un responsable du traitement est une personne ou une organisation qui gère la manière dont les données sont traitées et est responsable du respect des réglementations en matière de protection des données. Le responsable du traitement, qu'il s'agisse d'une personne ou d'une entreprise entière, est responsable de la rédaction de la politique de confidentialité d'une organisation, qui détaille les données que l'organisation collecte, comment elle utilise les données et où elle envoie les données. Les contrôleurs de données gèrent les processeurs de données, dictant la manière dont l'organisation analyse et utilise les données personnelles telles que les informations de contact, les adresses et les numéros d'identification.
Le terme contrôleur de données fait généralement référence au règlement général sur la protection des données (RGPD) et à ses exigences en matière de protection des données; ce rôle découle des lois européennes sur la protection des données. Le RGPD nécessitait des contrôleurs de données lorsqu'il a établi des exigences strictes en matière d'utilisation des données personnelles en 2018.
Exigences pour les responsables du traitement en vertu du RGPD
Le RGPD, qui s'applique non seulement à l'ensemble de l'Union européenne, mais également à tous les pays qui ont des entreprises ou des clients en Europe, est spécifiquement conçu pour protéger les individus et leurs informations personnelles. Par conséquent, il est extrêmement strict pour les organisations. Les entreprises ont dû se démener pour se conformer aux exigences, y compris de nombreuses entreprises américaines. Les responsables du traitement ont de nombreuses responsabilités; ce ne sont que quelques-uns.
Le RGPD exige que les entreprises aient au moins une bonne raison de collecter les données personnelles de quelqu'un. Le responsable du traitement des données de l'entreprise doit être en mesure de démontrer cette bonne raison. Les six raisons ou «bases légales» de la collecte de données personnelles sont:
- Consentement, donné à l'entreprise par l'individu
- Contrat conclu entre une organisation et un individu et nécessitant des données personnelles
- Respect d'une obligation légale (devoir fournir les données d'une personne au gouvernement par la loi)
- Protection des intérêts vitaux d'un individu
- Tâches publiques nécessitant le traitement de données personnelles (une organisation a besoin d'une adresse e-mail pour assurer le suivi d'un client concernant un service spécifique)
- Protection de l'intérêt légitime de l'organisation, généralement à des fins juridiques
Les responsables du traitement doivent également conserver des enregistrements détaillés des données qu'ils collectent, où ils les envoient et comment ils les utilisent. Ils doivent avoir ces documents disponibles par écrit. S'ils vendent des données à des tiers, ils doivent documenter exactement qui et dans quel but. Les individus (ou, comme l'appelle le RGPD, les personnes concernées) doivent également pouvoir accéder à ces informations.
Les responsables du traitement doivent également mettre leurs informations de contact à la disposition des personnes concernées, qui peuvent ensuite contacter le responsable du traitement pour toute question concernant leurs données personnelles et la manière dont elles sont utilisées.
Le RGPD impose aux organisations de nommer un délégué à la protection des données (DPD): cela peut être la responsabilité d'un responsable du traitement. Une organisation doit nommer un DPD si elle traite de grandes quantités de données sensibles (comme un grand établissement médical ou une institution financière) ou collecte régulièrement de grandes quantités de données, y compris un suivi ou une surveillance fréquents.
Exigences du RGPD pour les entreprises américaines
Remarque importante pour les entreprises aux États-Unis: si les entreprises américaines ont des clients dans l'UE, des succursales dans l'UE, des employés dans l'UE ou même une présence dans les pays de l'UE, la réglementation GDPR leur est également applicable. Le CCPA de Californie a des exigences similaires. Cela signifie que les exigences ci-dessus pour les responsables du traitement et éventuellement les délégués à la protection des données s'appliquent aux entreprises américaines, ainsi qu'à toute entreprise ayant des clients dans l'UE. Même une entreprise aux États-Unis qui a une grande présence en ligne ou une campagne de marketing par e-mail, comme un grand magasin, est probablement soumise au RGPD, car elle est susceptible d'avoir des clients de l'UE en ligne.