/
Maître Véronique Rondeau-Abouly > Questions / Réponses > A parti de mai 2018 le propriétaire de la donnée peut-il opposer au responsable de traitement et à ses sous-traitants son droit au consentement ?

A parti de mai 2018 le propriétaire de la donnée peut-il opposer au responsable de traitement et à ses sous-traitants son droit au consentement ?

A parti du 25 mai 2018, le propriétaire de la donnée peut opposer au
responsable de traitement et à ses sous-traitants son droit au consentement

du traitement : Vrai ou Faux ?

Désormais, le responsable de traitement pour traiter des données personnelles
devra obtenir un acte positif c’est-à- dire clair et univoque dont il devra d’ailleurs
garder la trace pour procéder au traitement étant précisé que le consentement peut
être donné au moyen de l’exécution du contrat.
Pour les données sensibles et les données concernant les enfants, la collecte
du consentement est entourée de garanties encore plus grandes car le
consentement doit être explicite, express et entouré de garanties encore plus
importantes.
A ces nouveaux droits conférés au propriétaire de la donnée, s’applique en
contrepartie, de nouvelles responsabilités accrues du responsable de
traitement.
Ainsi, le responsable de traitement doit pour tous les traitements, respecter le
principe de l’Acountability by Design et by Default.
C’est-à- dire que dès la conception (By design) de son projet de traitement, il doit
se poser les questions suivantes :
 Analyse du traitement,
 Déterminer quelles données seront à récolter et pour quelle finalité,
 Acter comment il a reçu la donnée,
 Déterminer la durée de la conservation,
 Et réfléchir aussi à l’impact du traitement sur la protection de la vie privée.
Autrement dit, on demande au responsable de traitement d’avoir pour chacun des
traitements effectués, une démarche préventive, pragmatique, proactive afin
d’appliquer le principe de l’Acountability de manière loyale.
Pour être très concret, pour les entreprises qui vont faire une ou des démarches de
e-marketing par exemple :
Ø La conformité du traitement doit se faire dès la conception (Privacy by
Design), qui implique que la récolte des données ou le rachat de la base de
données nécessaire à la campagne de marketing devra respecter les 5
points énoncés ci-dessus.
Par ailleurs, le responsable de traitement se voit obligé à tenir un registre des
traitements.

- 2 -

On soulignera que dans le RGPD/GDPR l’obligation est explicite s’il est effectué
dans une entreprise de plus de 250 personnes, et/ou si le traitement n’est pas
occasionnel.
La difficulté est que le RGPD/GDPR ne définit pas la notion de traitement
occasionnel.
Ainsi, par exemple si une entreprise fait une campagne marketing une à deux fois
par an, est-elle tenue alors de respecter pour la collecte de ses données les
principes ci-avant, et tenir le registre des traitements ?
Il parait prudent de recommander que tout traitement quel qu’il soit, amène le
responsable à prévoir un registre des traitements de manière systématique que le
traitement soit occasionnel ou pas car de toute façon, le fait de répertorier les
traitements permettra à l’entreprise de faciliter ses démarches en cas de faille de
sécurité qui maintenant doivent obligatoirement être notifiées à la CNIL.
Une nouvelle obligation à destination du responsable de traitement, c’est
l’éventuelle soumission de son traitement à l’analyse d’impact.
Cette analyse doit être mise en œuvre dès lors que le traitement est à risque.
Là encore, il sera prudent de se rapprocher de la CNIL pour déterminer quels
traitements peuvent être considérés comme étant à risque et relever de l’analyse
d’impact.
Mais, nous reviendrons plus avant sur une ou plusieurs FAQ dédiées
spécifiquement à l’analyse d’impact.
Une nouvelle obligation et responsabilité aussi pour le responsable de traitement
consiste à nommer un Data Protection Officer ou DPO.
La mission du DPO doit être faite en totale indépendance et à ce titre, le DPO peut
appartenir à l’entreprise et faire l’objet d’un recrutement interne ou externe
(recours au prestataire de service).
Peut-on adjoindre à un salarié déjà en fonction dans l’entreprise une mission de
DPO par exemple :
 Choisir le DRH ou un des informaticiens ?
Sur le principe, ce n’est pas interdit mais attention au conflit d’intérêts car la mission
du DPO implique que celui-ci puisse avoir une totale indépendance pour analyser
les risques des traitements et leurs conformités au RGPD/GDPR.
Le contrat de travail devra organiser avec grande minutie l’organisation de
l’indépendance du DPO car évidemment, en aucune manière, les avis négatifs du
DPO sur un traitement ne pourront être considérés comme une cause de
licenciement.
Nous reviendrons sur une FAQ particulière dédiée aux DPO et notamment sur
l’aspect du recrutement salarié du DPO.

- 3 -

Il n’appartient pas au DPO de signaler les failles de sécurité à l’autorité compétente
(la CNIL), cette obligation relève toujours de la responsabilité du responsable de
traitement.
Pour de plus amples explications, n’hésitez pas à constater le Cabinet de
Véronique RONDEAU-ABOULY, Avocat à Marseille
Contactez-nous