RGPD au camping : comment bien appréhender la loi 2/2
RGPD au camping : comment bien appréhender la loi 2/2
Après vous avoir présenté ce qu'on appelle données à caractère personnel, leur traitement et la licéité des traitements, Bruno Saucourt abordera la thématique du responsable des traitement. Notre expert évoquera également l'ensemble des droits que chaque personne a le droit d'exercer.
Pour lire la première partie de notre grand dossier 100% RGPD, rendez-vous ici
Responsable des traitements ou Sous-traitant
Cette notion peut sembler à la fois simple et complexe car les règles ne sont pas toujours bien définies.
Le responsable du traitement détermine les finalités et les moyens du traitement, seul ou conjointement avec d’autres. Il a pour obligations :
- Le respect des principes fondamentaux
- La mise en oeuvre du principe de responsabilité
- Le recueil du consentement des personnes si le traitement repose sur le consentement
- L’information des personnes et de l’exercice de leurs droits
- La mise en oeuvre des principes de protection by design (dès la conception) et by default (par défaut)
- La sécurité des traitements, la notification des violations de données personnelles, la tenue d’un registre
Le sous-traitant a pour obligations
- La tenue d’un registre
- La sécurité du traitement
- De signaler les violations de données personnelles dans les meilleurs délais
- Doit s’engager contractuellement sur une liste d’obligations très contraignantes
- D’assister le RT si nécessaire pour informer les personnes et pour permettre l’exercice de leurs droits.
Par exemple, un expert-comptable qui assure l’expertise sociale et juridique est sous-traitant pour l’établissement d’un contrat de travail et des feuilles de paye pour les salariés de ses clients. Un éditeur de logiciel de gestion de camping est sous-traitant, ainsi que le prestataire qui héberge vos noms de domaines et votre messagerie.
Il existe également la notion de co-traitance. Par exemple les campings et la holding peuvent être co-traitants pour la gestion du personnel ; une entreprise et la société d’intérim sont co-traitants dans le cadre d’une mission d’intérim… Il convient simplement d’identifier qui porte la responsabilité du traitement.
Un contrat entre un responsable de traitement et un sous-traitant est obligatoire, et doit comporter une clause RGPD.
Chaque personne peut exercer ses droits
Autre point important du RGPD, les droits des personnes doivent être respectés, ce qui implique que chaque personne (chaque client, chaque fournisseur, chaque salarié…) doit être informée et savoir à qui s’adresser pour exercer ses différents droits :
- Droit d’accès
- Droit de rectification
- Droit à l’effacement
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d’opposition
- Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé
- Droit à la communication d’une violation des données personnelle.
Il est donc indispensable de nommer un référent à la protection des données dans chaque camping ou groupe de campings et de mentionner clairement la façon de s’adresser à lui, que ce soit pour les salariés, les clients ou les fournisseurs.
Le RGPD impose même la nomination d’un Délégué à la Protection des Données (DPD) pour tous les organismes du secteur public, ou réalisant des traitements exigeant un suivi régulier et systématique des personnes, ou des traitements à grande échelle de données particulières. Le DPD doit obligatoirement être enregistré à la CNIL.
Même si la nomination d’un DPD ne concerne pas vraiment les campings indépendants, cette notion est importante car ça peut être le cas des sous-traitants (par exemple, le cabinet d’expertise comptable à qui les payes sont sous-traitées).
Par contre, si le camping, ou le groupe de camping possède sa propre centrale de réservation avec un nombre important de contacts (plus de 3000 par exemple), alors leur traitement peut être assimilé à des opérations qui, du fait de leur nature, de leur portée et/ou de leur finalité, exige un suivi régulier et systématique à grande échelle des personnes concernées (Article 37 du RGPD). Dans ce cas, la nomination d’un DPD est obligatoire.