Comparaison des instruments du RGPD avec d'autres mécanismes
Le RGPD reconnaît formellement quatre instruments principaux à la disposition des responsables du traitement des données et des sous-traitants pour fournir des garanties appropriées et soutenir leur conformité : la certification, le code de conduite (CC), les règles d'entreprise contraignantes (Binding Corporate Rules)et les clauses contractuelles types (CCT). Comparons leurs caractéristiques et limites respectives :
Protection des données dès la conception et par défaut
Il s'agit de l'une des obligations légales les plus difficiles à documenter et à démontrer. La certification est le seul instrument reconnu par l'art. 25 RGPD "pour démontrer la conformité avec" cette exigence.
Démontrer l'adéquation des responsables de traitement
L'art. 24 du RGPD clarifie les obligations des responsables de traitement. Il mentionne deux instruments permettant de prouver cette conformité : la certification et les codes de conduite.
Démontrer l'adéquation des sous-traitants sélectionnés
En vertu de l'art. 28 RGPD, "le responsable du traitement ne fait appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées." Il est responsable des violations potentielles et du non-respect des règles par ses sous-traitants. Il est censé procéder à une évaluation complète des mesures efficaces mises en place par ses sous-traitants avant de partager des données avec eux. Heureusement, cet article reconnaît deux instruments permettant d'évaluer cette adéquation : la certification et les codes de conduite.
Démontrer l'adéquation des mesures de sécurité
L'art. 32 du RGPD exige de garantir un niveau de sécurité adéquat. Comme pour les sous-traitants, il reconnaît également la certification et les codes de conduite (avec des audits réguliers) comme des moyens d'assurer un niveau de sécurité adéquat.
Impact sur les amendes administratives
L'art. 83 du RGPD impose de prendre en compte l'adoption d'une certification ou d'un code de conduite reconnu par un responsable du traitement ou un sous-traitant en cas de non-conformité, lors de la détermination du montant de l'amende administrative. En outre, une certification et un code de conduite contribuent tous deux à réduire substantiellement le risque de non-conformité.
Disponibilité
La bonne nouvelle est que les critères de certification et les CCT sont approuvés et disponibles tels quels. L'adoption d'un code de conduite exige un effort substantiel. Cela implique de mobiliser un nombre représentatif d'entreprises par l'intermédiaire d'une association pour élaborer, mettre en œuvre et faire approuver le code. Ce processus peut prendre plusieurs années. L'adoption de règles d'entreprise contraignantes (BCR) doit également être approuvée par l'autorité. Le processus peut également prendre plusieurs années et ne peut être utilisé que par les entités qui font officiellement partie du même groupe d'entreprises (et non par ses sous-traitants, par exemple).
Universalité
Les CCT et les certifications RGPD, telles qu'Europrivacy, sont indépendantes du secteur d'activité et peuvent être utilisées par tous les responsables du traitement des données et les sous-traitants. D'autres certifications peuvent être réservées aux seuls sous-traitants ou à des cibles d'évaluation spécifiques. Les règles d'entreprise contraignantes (BCR) sont spécifiques à chaque entreprise. Les codes de conduite sont spécifiques à chaque secteur d'activité, ce qui signifie que les responsables du traitement et les sous-traitants qui partagent des données peuvent être soumis à des codes de conduite différents. Par exemple, un code de conduite conçu pour le secteur de l’hôtellerie ne conviendra pas à un prestataire de services tel qu'une société de comptabilité travaillant pour des entreprises hôtelières.
Temps et efforts
En supposant qu'une entreprise soit déjà conforme au RGPD, le temps et les efforts nécessaires varient selon les instruments. Une CCT exige des parties qu'elles négocient et s'accordent sur les termes de l'accord. Si une entreprise n'a qu'un seul partenaire B2B, c'est l'instrument le plus rapide. Toutefois, alors qu'une seule certification peut être utilisée avec un nombre illimité de responsables du traitement et de sous-traitants, une CCT distinct doit être adopté et signé avec chacun des partenaires avec lesquels des données sont partagées.
Flexibilité et adaptabilité
Certains instruments sont axés sur les exigences au niveau de l'entreprise (BCR, Code de conduit), tandis que d'autres se concentrent sur des activités spécifiques de traitement des données (Certification, CCT). La première catégorie exige d'assurer la conformité à un niveau plus élevé. La seconde catégorie permet aux entreprises de concentrer leurs efforts sur leurs activités prioritaires de traitement des données et de mettre l’essentiel en priorité.
Fiabilité
Le niveau de fiabilité dépend de la nature des instruments. Par exemple, un CCT est un engagement contraignant pris par une entité, mais il n'y a pas d'audit ni de contrôle du respect effectif de cet engagement. En revanche, une certification repose sur des audits tiers réguliers réalisés par des auditeurs qualifiés. L'échelle des niveaux de confiance (Trust Level Scale) propose une échelle allant de A (très fiable) à I (pas du tout fiable) pour évaluer le niveau de confiance quant à la conformité effective. Lorsqu'il est appliqué aux quatre instruments, le résultat varie de F pour le CCT à A pour la certification.
Création de valeur
Tous les instruments contribuent à soutenir la conformité. Cependant, l'un d'entre eux, la certification, permet de transformer la conformité en un actif intangible pour l'entreprise. Comme un brevet, une certification constitue un actif intangible de l'entreprise. Elle transforme la conformité en une source de création de valeur. Elle peut être utilisée par les équipes de marketing et de vente comme un avantage concurrentiel. Elle peut également être utilisée pour réduire l'incertitude auprès des analystes financiers, des investisseurs et des actionnaires.
Le tableau suivant résume les caractéristiques des quatre instruments.
| CCT | BCR | CC | Certification | |
|---|---|---|---|---|
| Démonstration de la protection des données dès la conception et par défaut en vertu de l'art. 25 du RGPD | NON | NON | NON | OUI |
| Démonstration de l'adéquation des responsables du traitement des données en vertu de l'art. 24 RGPD | NON | NON | OUI | OUI |
| Démonstration de l'adéquation des sous-traitants sélectionnés en vertu de l'art. 28 RGPD | NON | NON | OUI | OUI |
| Démonstration de la sécurité du traitement des données dans le cadre de l'art. 32 RGPD | NON | NON | OUI | OUI |
| Universalité : Applicabilité intersectorielle | OUI | NON | NON | OUI |
| Valeur en tant qu’actif intangible | NON | NON | NON | OUI |
| Possibilité de sélectionner et de se concentrer sur le traitement des données prioritaires | OUI | NON | NON | OUI |
| Impact sur les amendes administratives en vertu de l'art. 83 RGPD | NON | NON | OUI | OUI |
| Scalabilité et extensibilité (un seul peut être utilisé avec tous les partenaires B2B) | NON | OUI | OUI | OUI |
Comme le montre le tableau, la certification apparaît comme l'instrument le plus puissant, avec de nombreux avantages. Cela est confirmé par la fréquence des références formelles à chacun des instruments dans le RGPD.
- La certification est mentionnée 73 fois dans 12 articles
- Les codes de conduite sont mentionnés 36 fois dans 10 articles
- Les règles contraignantes pour les entreprises sont mentionnées 25 fois dans 7 articles
- Les clauses contractuelles types sont mentionnées 7 fois dans 2 articles
Conclusion
Chaque instrument du RGPD offre un ensemble d'avantages et un niveau de fiabilité différents en ce qui concerne la conformité effective. Il appartient au DPD d'évaluer et de choisir celui qui répond le mieux aux besoins de son employeur. Nous espérons que cette analyse vous aidera à comparer et à choisir.
Si vous changez d'avis, il est très simple de passer d'un instrument à l'autre ou de combiner plusieurs instruments, une fois que vous avez vérifié et documenté votre conformité.
References
| Instrument | Nb Références RGPD | Articles | Considérants |
|---|---|---|---|
| Clauses contractuelles types | 7 | 28, 57 | 81, 109, 168 |
| Règles d'entreprise contraignantes | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| Codes de conduite | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| Certification | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |