La responsabilisation au sens du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen qui entrera directement en vigueur le 25 mai 2018 dans l’ensemble des 28 États membres de l’UE. En s’appliquant à toutes les activités de traitement des données à caractère personnel, le règlement vise à renforcer et à harmoniser la protection des données pour tous les individus au sein de l’Union européenne.

En vertu de ce nouveau règlement, les Autorités de protection des données (DPA) des États membres, telles que la CNPD au Luxembourg, disposent de pouvoirs d’enquête, d’adoption de mesures correctrices, ainsi que de pouvoirs de consultation et d’autorisation. Elles sont en droit d’infliger des amendes administratives allant de 2 à 4% du chiffre d'affaires annuel mondial réalisé par les groupes au cours de l'exercice précédent, ou de 10 à 20 millions d’euros, le montant le plus élevé étant retenu. Les institutions des secteurs public et privé, y compris les Fonds d’investissement, recevront ces amendes en cas de violation des droits des personnes concernées, de non-respect d’une injonction de la DPA, ou même en cas de violation de leurs obligations en qualité de responsable du traitement ou de sous-traitant, selon la définition qui en est donnée dans le règlement, et pas nécessairement en rapport avec une violation de données. Les Professionnels du Secteur Financier au Luxembourg, ci-après dénommés PSF, sont de formes et de tailles très diverses. Ils opèrent généralement selon les instructions de leurs clients respectifs, mais sont également supervisés par le régulateur financier local, la CSSF. En tant que tels, ils effectuent des activités de traitement liées à leurs propres obligations légales (AML, KYC, etc.) ou à leurs finalités, ainsi que des activités de traitement dans le but de servir leurs clients. Selon la terminologie relative à la protection des données, un PSF peut être considéré à la fois comme responsable du traitement¹ et comme sous-traitant², suivant les activités de traitement qu’il effectue et les finalités qu’il cherche à atteindre.

¹ « Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre [Art. 4(7)],
² « Sous-traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement [Art. 4(8)], http://ec.europa.eu