Article 24
Responsabilité du responsable du traitement

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 24 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 24 keyboard_arrow_up

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en oeuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

Le GDPR

L’article 24 met en œuvre un « principe général de responsabilité » au premier rang des obligations générales du responsable du traitement, dont la définition reste inchangée depuis la Directive. En effet, le responsable du traitement est défini comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités (…) et les moyens du traitement de données à caractère personnel » (art. 4, 7).

Le principe repris en son §1er se divise en deux règles.

La première règle affirme la responsabilité particulière du responsable de traitement dans la mise en œuvre des mesures techniques et organisationnelles appropriées en vue d’effectuer le traitement dans le respect du Règlement.

La proposition initiale prévoyait une liste des mesures en cause, mais n’a pas été reprise dans la version finale. Elle est cependant très utile pour comprendre la portée du principe. On y visait la plupart des mesures générales indéterminées ou peu précisées par le texte du Règlement, telles que : la tenue de la documentation prévue à l’article 30, la mise en œuvre des obligations de sécurité des données prévues à l’article 32, la réalisation d’une analyse d’impact relative à la protection des données en application de l’article 35, le respect des obligations en matière d’autorisation ou de consultation préalable de l’autorité de contrôle en application de l’article 36 §1er et §2, la désignation d’un délégué à la protection des données en application de l’article 37 §2 et §3.

Cette première règle prévoit aussi que pour déterminer les mesures techniques et organisationnelles appropriées, il y a lieu de tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et libertés des personnes physiques.

Les considérants 75 et 76 donnent de nombreux exemples des risques visés : traitements susceptibles d’entraîner des dommages physiques, matériels ou moraux, en particulier lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, lorsqu’il s’agit d’un traitement des données sensibles, lorsque des aspects personnels sont évalués, etc. Il convient de déterminer la probabilité et la gravité en fonction de la nature, de la portée, du contexte et des finalités du traitement de données. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé. Selon le considérant 60 ter, on entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes physiques.

Le §2 de l’article 24 indique que si elles sont proportionnées aux activités de traitement des données, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

La seconde règle découle de la première et porte sur la preuve de la mise en œuvre de ces mesures. La charge de la preuve repose alors sur les épaules du responsable du traitement qui doit être à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du Règlement.

Le 3ème paragraphe prévoit que l'adhésion aux codes de conduite approuvés visés à l'article 40 ou à un mécanisme de certification approuvé visé à l'article 42 peut être utilisée comme moyen attestant du respect des obligations incombant au responsable du traitement. Le considérant 77 quater vise également les indications données par le délégué à la protection des données.

La Directive

Ni la Directive, ni les législations analysées dans le présent commentaire ne prévoyaient une disposition comparable à celle prévue à l’article 22 du Règlement.

Difficultés probables ?

Cette disposition permet de mieux comprendre la portée de l’augmentation des obligations qui pèsent sur les responsables qui sont à apprécier au regard de l’augmentation des moyens de contrôle des responsables et des sanctions en cas de non-respect des obligations issues du Règlement.

La détermination des mesures techniques et organisationnelles appropriées est à ne pas douter une des plus grandes difficultés auxquelles seront confrontées les responsables dans la mise en conformité de leurs traitements au Règlement.

Elle va exiger de revoir la conformité de tous les traitements existants et la mise en place de processus de détermination de celles-ci. Cela exigera une grande coordination entre les différents services de l’entreprise ou des autorités publiques (IT, juridique, RH, marketing…) qui seront confrontés à la mise en place de processus d’analyse de risques et des mesures à prendre correspondantes, notamment en matière de sécurité des traitements. La « compliance » au Règlement va devoir atteindre un degré de professionnalisation et de mise en œuvre de moyens sans commune mesure avec ce qui est prévu aujourd’hui.

Groupe 29

Lignes directrices sur l’application et la fixation des amendes
administratives aux fins du règlement (UE) 2016/679 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Lignes directrices concernant l’analyse d’impact relative à la protection des données
(AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un
risque élevé» aux fins du règlement (UE) 2016/679 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien

Règlement
1e 2e

Art. 24

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en oeuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément attestant du respect des obligations incombant au responsable du traitement.

Proposition 1 close

Art. 22

1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

 2. Les mesures prévues au paragraphe 1 portent notamment sur:

a) la tenue de la documentation en application de l'article 28;

b) la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;

c) la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;

d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

e) la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1. 3.

Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. 4. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises.

Proposition 2 close

Art. 22

1. En tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que de la probabilité et de la gravité des risques au regard des droits et des libertés des personnes physiques, le responsable du traitement (…) met en œuvre les mesures appropriées et est à même de démontrer que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

2. (…)

2 bis. Lorsqu'elles sont proportionnées aux activités de traitement de données, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

2 ter. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer le respect des obligations incombant au responsable du traitement.

3. (…)

 4. (…)

Directive close

Pas de disposition correspondante.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 57

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

En application de l'article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l'article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Ancienne loi close

Aucune disposition spécifique

Décret d'application.

CF TITRE VI décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

close