Coresponsabilité du traitement des données RH

rgpd

Depuis mai 2018, les exigences de protection des données à caractère personnel sont partagées entre responsables de traitement et leurs sous-traitants en application du principe de coresponsabilité. En effet, les exigences de protection des données à caractère personnel ne s’imposaient qu’aux responsables de traitement, ce qui demeure maintenant révolu ! Dorénavant, les entreprises travaillent en parallèle avec des éditeurs de logiciels par exemple, en partageant avec eux certaines données pour l’avancement de projets commun. À travers cet article, nous vous montrerons les données que doit contenir le contrat de sous-traitance, mais aussi les risques encourus si ce dernier est utilisé. Découvrez !

La coresponsabilité du traitement : qu’est-ce que c’est ?

La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle primordial dans l’application de la directive 95/46/CE. En effet, elle détermine la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Cette notion est également essentielle pour déterminer le droit national applicable et garantir la bonne exécution des missions de contrôle confiées aux autorités chargées de la protection des données.

Prenons l'exemple du numéro de sécurité sociale  qui en est une. Officiellement appelé numéro d’inscription au répertoire des personnes physiques, le numéro de sécurité sociale est en effet un code alphanumérique permettant d’identifier de manière unique une personne dans le répertoire national d’identification des personnes physiques. Il est géré par l’INSEE dans la condition définie par le décret numéro 82-103 du 22 janvier 1982.

Ce numéro est une donnée personnelle qui demeure très protégée, car comportant notamment des informations sur le sexe, l’année, le mois et le département de naissance de son titulaire, ce qui en fait une donnée sensible et utilisable dans des cas très précis et règlementés.

Les risques encourus en cas d’utilisation des données personnelles

Les infractions sont en effet sanctionnées graduellement et en fonction de leur gravité. Si les entreprises ou les organismes privés ou publics en charge du traitement des données personnelles violent une des dispositions du RGPD, de savoir l’utilisation du numéro de sécurité sociale, deux sortes de sanctions sont prévues.

Des amendes administratives

En effet, l’article 83 RGPD liste toutes les conditions qui peuvent permettre à une autorité de contrôle (la CNIL en France) d’imposer une sanction administrative à un organisme ayant violé une des réglementations du RGPD, dont l’utilisation du numéro de sécurité sociale. Une sanction faite selon la durée de l’infraction, mais aussi sa lourdeur (nombre de fois qu’un NSS a été utilisé).

Une amende d’un montant de 2 % du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut ainsi vous être appliquée. Dans le cas d’infractions plus graves liées à l’utilisation de plusieurs numéros de sécurité sociale, une amende égale à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende.

Les sanctions pénales

Ils sont retrouvés en France à la section « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques » (articles 226-16 à 226-24) du Code pénal. Il existe de ce fait une sanction pénale en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal).

Ces sanctions pénales peuvent en effet aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende selon l’Article 226-16 du Code pénal.