Qui ?
Chaque employeur sera impacté par ces nouvelles règles et la manière dont celui-ci traite les données à caractère personnel de son personnel devra être adaptée.
Responsable du traitement
Avec le RGPD, le responsable du traitement est la personne qui a les responsabilités les plus importantes.
Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ».
Dans la plupart des cas, l’employeur est le responsable du traitement. C’est également possible qu’il y ait plusieurs responsables du traitement qui déterminent ensemble les finalités et les moyens du traitement.
Le RGPD dispose que les « responsables conjoints du traitement » définissent de manière transparente leurs obligations pour assurer le respect des exigences du règlement. A cet égard, il peut être décidé de désigner un point de contact pour les personnes concernées. Le rôle des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées doivent clairement apparaître dans les règles qui ont définies. Les personnes concernées doivent toujours avoir accès au contenu des règles et elles peuvent exercer leurs droits auprès de chaque responsable du traitement séparément.
Sous-traitant
Le responsable du traitement peut désigner un sous-traitant externe pour traiter les données à caractère personnel. Ce sous-traitant est « une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Un sous-traitant qui, en violation du RGPD, détermine les finalités et les moyens du traitement, est considéré comme un responsable du traitement, avec la responsabilité qui y est liée.
Des exemples typiques de sous-traitants sont le secrétariat social, une agence de screening dans le cadre du recrutement, un service d’archivage pour du e-filing, un fournisseur de services cloud pour le stockage de données, une société de gardiennage, une société d’assurance, ou un service IT externe. Leurs obligations vont donc être plus importantes avec le RGPD.