P.I.L.O.T.E

2 min de lecture

4. Obligations des responsables de traitement et des sous-traitants

4.1. Registre des traitements

Tout responsable et tout sous-traitant doit tenir un registre des traitements documentant :

  • les finalités poursuivies,
  • les catégories de données traitées,
  • les destinataires,
  • les mesures de sécurité,
  • les durées de conservation.

Info

Informations générales
Obligatoire dès 250 salariés, ou si traitement non occasionnel, ou sensible.

4.2. Analyse d’impact relative à la protection des données (AIPD)

Une analyse d’impact (AIPD) est obligatoire pour les traitements :

  • susceptibles d’engendrer un risque élevé pour les droits et libertés,
  • impliquant des données sensibles, une surveillance à grande échelle, ou des technologies nouvelles.

Tip

Astuce / bonne pratique
Voir les lignes directrices de la CNIL pour les critères de déclenchement d’une AIPD.

4.3. Désignation d’un DPO (Délégué à la protection des données)

Un DPO est obligatoire pour :

  • les organismes publics,
  • les entités traitant des données sensibles à grande échelle,
  • les responsables réalisant un suivi régulier et systématique.

Le DPO doit :

  • être indépendant,
  • avoir les moyens nécessaires,
  • conseiller et contrôler la conformité RGPD.

4.4. Accountability et documentation

Le RGPD impose une logique de responsabilisation :

  • preuve de conformité attendue à tout moment,
  • documentation continue (registre, politiques, procédures, AIPD…),
  • intégration de la conformité dès la conception (Privacy by Design & Default).

Attention

Élément important à retenir absolument
La conformité ne repose plus sur la déclaration préalable, mais sur la capacité à démontrer.

4.5. Clauses contractuelles avec les sous-traitants

Un contrat écrit entre responsable et sous-traitant est obligatoire, avec clauses RGPD sur :

  • les instructions documentées,
  • la sécurité,
  • la confidentialité,
  • les sous-traitants ultérieurs,
  • l’aide à la conformité.

Protection

Défense ou mesure de sécurité
Les contrats doivent être révisés à chaque changement de périmètre ou de traitement.

4.6. Codes de conduite et certifications

Le RGPD encourage :

  • les codes de conduite sectoriels,
  • les certifications (label CNIL, ISO/IEC 27701, etc.).

Success

Élément validé / appliqué avec succès
Ces mécanismes peuvent démontrer une conformité proactive.

Vue Graphique