RGPD expliqué Ligne par Ligne de l’article 24 à l’article 43

Article 24 : Responsabilité du responsable du traitement

• L’article 24 stipule que le responsable du traitement de données à caractère personnel est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour garantir et démontrer que le traitement est effectué conformément au RGPD.
• Le responsable doit notamment mettre en place des politiques et des procédures internes pour respecter les principes du RGPD, documenter les activités de traitement, réaliser des analyses d’impact sur la protection des données, mettre en place des mesures de sécurité et désigner un délégué à la protection des données.

Article 25 : Protection des données dès la conception et protection des données par défaut

• L’article 25 exige que les responsables du traitement mettent en place des mesures de protection des données dès la conception et par défaut pour garantir la protection des données à caractère personnel.
• Cela signifie que les responsables doivent prendre en compte la protection des données dès la conception de tout nouveau traitement et de tout nouveau produit ou service, ainsi que dans le choix des moyens techniques de traitement.
• Les responsables doivent également veiller à ce que les paramètres de protection des données soient les plus élevés par défaut, ce qui signifie que les utilisateurs ne doivent pas avoir à intervenir pour que leurs données soient protégées.

Article 26 : Responsables du traitement conjoints

• L’article 26 concerne les situations où plusieurs responsables du traitement sont impliqués dans le traitement des données à caractère personnel.
• Dans ce cas, les responsables du traitement doivent déterminer, par accord entre eux, les modalités de leur responsabilité conjointe, notamment en ce qui concerne l’exercice des droits des personnes concernées et la mise en place de mesures de protection des données.

Article 27 : Représentants des responsables du traitement ou des sous-traitants non établis dans l’Union

• L’article 27 prévoit que les responsables du traitement et les sous-traitants qui ne sont pas établis dans l’Union européenne doivent désigner un représentant établi dans l’Union européenne, sauf dans certains cas limités.
• Le représentant doit être désigné pour assurer la conformité au RGPD et pour faciliter la communication avec les autorités de contrôle et les personnes concernées.

Article 28 : Sous-traitants

• L’article 28 définit les règles relatives au traitement des données à caractère personnel par les sous-traitants, qui sont des tiers qui effectuent le traitement pour le compte du responsable du traitement.
• Le responsable doit s’assurer que le sous-traitant est en mesure de mettre en place les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et protéger les droits des personnes concernées.
• Le responsable doit également conclure un contrat de sous-traitance avec le sous-traitant qui inclut certaines clauses obligatoires.

Article 29 : Traitement sous l’autorité du responsable du traitement ou du sous-traitant

• L’article 29 précise les règles relatives aux personnes qui effectuent le traitement des données à caractère personnel sous l’autorité du responsable du traitement ou du sous-traitant.
• Ces personnes doivent agir uniquement sur les instructions du responsable ou du sous-traitant et doivent être soumises à une obligation de confidentialité.
• Le responsable ou le sous-traitant doit prendre les mesures nécessaires pour s’assurer que ces personnes sont informées des règles applicables en matière de protection des données.

Article 30 : Registre des activités de traitement

• L’article 30 oblige les responsables du traitement et les sous-traitants à tenir un registre des activités de traitement effectuées sous leur responsabilité.
• Ce registre doit contenir certaines informations telles que les finalités du traitement, les catégories de données à caractère personnel traitées, les catégories de personnes concernées, les catégories de destinataires auxquels les données ont été communiquées, les transferts de données vers des pays tiers et les mesures de sécurité mises en place.

Article 31 : Coopération avec l’autorité de contrôle

• L’article 31 oblige les responsables du traitement et les sous-traitants à coopérer avec l’autorité de contrôle et à lui fournir les informations nécessaires pour lui permettre d’exercer ses missions de contrôle.
• Cette coopération doit notamment comprendre la fourniture de toutes les informations demandées par l’autorité de contrôle, l’accès aux locaux de traitement et la réalisation d’audits.

Article 32 : Sécurité du traitement

• L’article 32 impose aux responsables du traitement et aux sous-traitants de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel.
• Ces mesures doivent notamment permettre de garantir la confidentialité, l’intégrité et la disponibilité des données, ainsi que la capacité de restaurer rapidement l’accès aux données en cas d’incident.

Article 33 : Notification d’une violation de données à caractère personnel à l’autorité de contrôle

• L’article 33 impose aux responsables du traitement de notifier à l’autorité de contrôle toute violation de données à caractère personnel dans les meilleurs délais et, si possible, dans un délai de 72 heures après en avoir pris connaissance.
• Cette notification doit notamment comporter des informations sur la nature de la violation, les conséquences possibles pour les personnes concernées et les mesures prises pour remédier à la violation.

Article 34 : Notification d’une violation de données à caractère personnel à la personne concernée

• L’article 34 impose aux responsables du traitement de notifier toute violation de données à caractère personnel à la personne concernée si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée.
• Cette notification doit notamment comporter des informations sur la nature de la violation, les conséquences possibles pour la personne concernée et les mesures prises pour remédier à la violation.

Article 35 : Analyse d’impact relative à la protection des données

• L’article 35 impose aux responsables du traitement de réaliser une analyse d’impact relative à la protection des données (AIPD) pour tout traitement de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

• L’AIPD doit notamment comporter une description des opérations de traitement envisagées et des finalités du traitement, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures prises pour atténuer ces risques.

Article 36 : Consultation préalable

• L’article 36 impose aux responsables du traitement de consulter l’autorité de contrôle avant de procéder à un traitement de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
• Cette consultation est obligatoire si l’AIPD indique que le traitement envisagé présente un tel risque.

Article 37 : Délégué à la protection des données

• L’article 37 prévoit la désignation obligatoire d’un délégué à la protection des données (DPD) pour certains responsables du traitement et sous-traitants.
• Le DPD doit notamment conseiller le responsable ou le sous-traitant sur les questions relatives à la protection des données, surveiller la conformité au RGPD, coopérer avec l’autorité de contrôle et être le point de contact pour les personnes concernées.

Article 38 : Position du délégué à la protection des données

• L’article 38 précise que le DPD doit exercer ses fonctions de manière indépendante et ne doit pas recevoir d’instructions en ce qui concerne l’exercice de ses missions.
• Le responsable ou le sous-traitant doit garantir que le DPD n’est pas soumis à un conflit d’intérêts dans l’exercice de ses fonctions.

Article 39 : Tâches du délégué à la protection des données

• L’article 39 énumère les tâches du DPD, qui comprennent notamment la surveillance de la conformité au RGPD, la conseil et l’information des responsables et des sous-traitants, la coopération avec l’autorité de contrôle et le point de contact pour les personnes concernées.

Article 40 : Codes de conduite

• L’article 40 prévoit que les responsables du traitement et les sous-traitants peuvent élaborer des codes de conduite pour faciliter la mise en œuvre du RGPD.
• Ces codes de conduite doivent être approuvés par l’autorité de contrôle et peuvent concerner des secteurs spécifiques ou des catégories de traitement de données.

Article 41 : Certifications

• L’article 41 prévoit que les responsables du traitement et les sous-traitants peuvent obtenir une certification délivrée par un organisme accrédité pour prouver leur conformité au RGPD.
• Cette certification peut faciliter la mise en conformité des responsables du traitement et des sous-traitants et permettre de renforcer la confiance des personnes concernées.

Article 42 : Marquages de conformité

• L’article 42 prévoit que les responsables du traitement et les sous-traitants peuvent utiliser des marquages de conformité pour indiquer leur conformité au RGPD.
• Ces marquages doivent être approuvés par l’autorité de contrôle et peuvent faciliter la mise en conformité des responsables du traitement et des sous-traitants.

Article 43 : Communication de violations de données à caractère personnel à la personne concernée

• L’article 43 impose aux responsables du traitement de notifier à la personne concernée toute violation de données à caractère personnel si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne concernée.
• Cette notification doit être effectuée sans délai et doit contenir des informations sur la nature de la violation, les conséquences possibles pour la personne concernée et les mesures prises pour remédier à la violation.