Signer
Signer
Retour aux actualités

Autour de la figure de la personne responsable du traitement dans les canaux de plainte.

"L'article 5 de la loi 2/2023, du 20 février, réglementant la protection des personnes qui signalent des infractions à la réglementation et la lutte contre la corruption, stipule que l'organe administratif ou l'organe directeur de chaque entité ou organe obligé par la loi"
  • Actualités

Cet article est le résultat du débat produit dans la Session : «Questions relatives au travail et à la protection des données dans la loi 2/2023 du 20 février sur la protection de l'informateure »

L'article 5 de la loi 2/2023, du 20 février, réglementant la protection des personnes qui signalent des violations de la réglementation et la lutte contre la corruption, stipule que le organe administratif ou organe directeur de chaque entité ou organisme requis par la loi, en plus d'être responsable de la mise en œuvre du système d'information interne, aura le statut de responsable du traitement des données personnelles conformément aux dispositions de la réglementation sur la protection des données personnelles. Elle suppose alors une attribution ancien legem de la condition de responsable du traitement.

Il n'est pas inutile de rappeler que ce chiffre est défini par le Règlement Général sur la Protection des Données avec des contours très précis. « Responsable du traitement » ou « responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; si le droit de l'Union ou d'un État membre détermine les finalités et les moyens du traitement, le responsable du traitement ou les critères spécifiques de sa nomination peuvent être établis par le droit de l'Union ou d'un État membre ;

D'une part, il y a une attribution de rôles de nature matérielle basée sur la identification de l'entité ou du sujet ayant la capacité matérielle de décision. D'autre part, lorsque la loi prend ces décisions, elle peut également attribuer à un sujet spécifique la condition de responsable. Ce n'est pas une question controversée. Ce qui est discutable sera de savoir si le choix du législateur est correct. À de nombreuses reprises, avec la liberté que nous accorde le milieu universitaire, nous avons critiqué les solutions de laboratoire. Et c'est sans doute parce qu'il peut devenir inefficace ou problématique pour différentes raisons.

La première, et la plus élémentaire, nous renvoie à l'approche matérielle. La loi ne définit pas seulement les fins et les moyens, elle promeut également une certain modèle de gestion. Son article 8, en réglementant la désignation et les fonctions du responsable du système d'information interne, identifie la personne ou l'organe collégial qui, sur la base d'un statut d'indépendance, prendra les décisions de gestion ordinaire. Statut qui, loin d'être touché, aurait été enrichi en se voyant attribuer le statut de responsable de traitement. Et cela pour de nombreuses raisons différentes.

Le premier depuis le la transparence et la fiabilité du système, ainsi que son accessibilité. Compte tenu de l'importance de sa décision, il sera généralement le plaignant vérifie attentivement les informations légales, y compris les politiques de confidentialité: Qu'allez-vous comprendre en lisant que la personne responsable du traitement est un "Conseil d'Administration", vis-à-vis duquel vous élèverez tout type de communication ? L'appelant n'a pas obtenu la certification de confidentialité de l'AEPD et a pu comprendre que le "système d'information" qui allait protéger son identité est dirigé par ceux qu'il entendait dénoncer. Si c'est le cas, personne de sensé ne porterait plainte. Et même si l'on affirmera que ce « bon sens » a peu de valeur légale ou rationnelle, lorsqu'il est réglementé cela vaut la peine de se mettre à la place des gens qui ne remarqueront pas ces délicatesses dogmatiques.

Plus absurde encore est la nécessité de concevoir un ensemble de mesures de mise en conformité destinées à garantir l'intégrité du système d'information. Pas une seule règle de protection des données n'indique que l'accès à un système d'information peut faire l'objet d'un veto de la part de l'organisme auquel le statut de responsable du traitement est attribué. et c'est le principale conséquence de cette construction juridique. Aucun des membres du conseil d'administration ou des personnes de votre équipe ne doit avoir accès au système d'information. Et cela soulève un paradoxe lorsque, conformément à l'article 36.4 LOPDGDD, la personne déléguée à la protection des données notifie "aux organes d'administration et de gestion du responsable" une infraction potentielle à ce système d'information. Le DPD ne prend pas de décisions, il ne fait que superviser, et la personne responsable doit enquêter et corriger les problèmes. Cette action peut impliquer l'accès au système d'information et à ses informations. La décision technique que la loi incorpore confie la capacité de décider du traitement des données à une instance à laquelle, sous certaines conditions, l'accès à l'information devrait être interdit.

La la protection des données dès la conception et par défaut n'est pas seulement une tâche de laboratoire juridique. Il faut connaître, ou du moins émuler les processus de gestion, même si c'était dans un modèle de conception, ça ne marche pas. Si une carte de processus avait été configurée avec un schéma clair, il serait difficile d'attribuer une telle responsabilité à l'organe directeur. L'espace naturel pour une telle tâche correspond, naturellement, à la organisme de conformité.

Cela oblige les délégués à la protection des données à envisager au moins deux politiques. Tout d'abord, assurez-vous que les informations sur le traitement remplissent une fonction requise de transparence, d'accessibilité dans sa dimension d'intelligibilité. Le communicant doit comprendre que le "Conseil", même s'il est responsable du traitement, lorsqu'il est "signalé", n'aura pas accès à l'information. Le second est de concevoir la méthodologie interne et façonner la conception du système d'information qui assure que, pour se conformer au RGPD, nous n'affectons pas la devoir defidencialité de la loi 2/2023.

Ricardo Martinez Martinez

Professeur de droit constitutionnel à l'Université de Valence, directeur de la chaire Microsoft-Universitat de Valencia de confidentialité et de transformation numérique et conseiller académique de FIDE

Si l'article vous a intéressé,

Nous vous invitons à le partager sur les réseaux sociaux

Twitter
LinkedIn
Facebook
Email
Whatsapp

Laisser un commentaire

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.

Retour aux actualités

Contact

Remplissez le formulaire et une personne de notre équipe vous contactera sous peu.

Facebook Twitter Youtube