earlegal du 19 et du 24 mai 2017
Jean-François Henrotte, Fanny Coton et Lexing répondent, après une brève introduction aux questions suivantes:
Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
Vidéo du petit déjeuner-débat organisé par Lexing et le Groupe Larcier.
Toutes les vidéos des Earlegal sont accessibles ici : www.earlegal.be
2. www.earlegal.beGroupe Larcier / Lexing
Cadre légal
Aujourd’hui
Directive 95/46 – Loi du 8/12/1992
Rares cas : conseiller en sécurité de l’information
25/05/2018 :
Règlement général 2016/679 du 27/04/16 sur la
protection des données (RGPD/GDPR)
Délégué à la protection des données (DPD/DPO)
Projet de loi belge :
CPVP Autorité de Protection des Données
2
3. www.earlegal.beGroupe Larcier / Lexing
Programme
Dans quel cas une entreprise doit-elle désigner un Délégué à
la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le
quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
3
4. www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général (ex secrétaire communal) se
propose pour veiller à la mise en œuvre du RGPD
• Doit-il y avoir un DPD ?
• Si oui, le Directeur général peut-il être le DPD ?
Commune de
10.000
habitants
• 200 employés
• Responsable IT est pressenti pour veiller à la mise
en œuvre du RGPD
Filiale belge
d’une banque
néerlandaise
5. Groupe Larcier / Lexing www.earlegal.be
1.
Dans quel cas une entreprise
doit-elle désigner un DPD?
5
6. www.earlegal.beGroupe Larcier / Lexing
Enjeux
6
Amendes : maximum
20.000.000 EUR ou 4%
du CA annuel mondial
du groupe de l’exercice
précédent
Réputation
Confiance
7. www.earlegal.beGroupe Larcier / Lexing
Pas une question de taille de l’entreprise :
(abandon du critère des 5.000 personnes concernées)
Obligatoire dans 3 cas :
MAIS l’Union ou un État membre pourront prévoir d’autres cas
obligatoires risque de disparités nationales
À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?)
Quand désigner un DPD ? (Art. 37 RGPD)
8. www.earlegal.beGroupe Larcier / Lexing
1. Traitement par une autorité publique ou un
organisme public
Notion d’autorité publique ?
RGPD : pas de définition droit national
// avec marchés publics ?
Avis 243 G29 au sujet délégué à la protection des données
dès que mission d’intérêt public (// cons. 45)
Devrait se considérer comme autorité publique
Hôpital public = autorité publique
8
9. www.earlegal.beGroupe Larcier / Lexing
1. Suivi
Tracking géolocalisation des véhicules d’entreprise, contrôle utilisation
d’internet, déplacements via transports en commun, objets connectés,
vidéosurveillance
Profilage
Pour prise de décision
solvabilité, prévention des fraudes
Ou pour prédire préférences/comportements
publicité comportementale, programme de fidélité
Pas seulement en ligne
2. Régulier (fréquence)
3. Systématique (méthode)
4. A grande échelle
Pas de nombre précis dans GDPR ou lignes directrices, seulement
exemples (par un hôpital >< cabinet unipersonnel)
facteurs à prendre en compte :
Nombre de données
Étendue géographique
Durée
2. Suivi régulier et systématique à grande échelle
des personnes concernées
10. www.earlegal.beGroupe Larcier / Lexing
1. Données particulières
Art 9 : données à caractère personnel qui révèlent
l'origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques,
l'appartenance syndicale,
des données concernant la santé,
des données génétiques,
des données biométriques,
des données concernant la vie sexuelle
ou l'orientation sexuelle,
Art. 10
relatives aux condamnations pénales et aux infractions ou aux mesures de
sûreté connexes,
2. A grande échelle
3. Traitement de données « particulières » à
grande échelle
12. www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Autorité publique
• DPD obligatoire
Commune de
10.000
habitants
• Examen de solvabilité DPD
obligatoire
• Vidéosurveillance DPD
obligatoire
Filiale belge
d’une banque
néerlandaise
13. www.earlegal.beGroupe Larcier / Lexing
Quelle obligation pour le sous-traitant ?
Mêmes cas obligatoires:
Si le responsable de traitement doit designer un DPD, doit-il
obligatoirement faire appel à un sous-traitant qui a désigné un DPD ?
NON
si chacun a un DPD obl. de collaboration
14. www.earlegal.beGroupe Larcier / Lexing
En dehors de ces 3 cas
14
Choix
SOIT :
Désignation facultative
Mission aussi étendue
que si DPD obligatoire
Aucun avantage
pour RT/ST
SOIT :
Ne désigne pas de DPD
Garder trace des éléments de décision
(accountability)
Eviter confusion si un employé en
charge des questions de VP
Evolution des activités et des
traitements pourrait entraîner
désignation obligatoire d’un DPD
15. www.earlegal.beGroupe Larcier / Lexing
Contrôle par APD
possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si
aucune coordonnée reçue en mai 2018
15
Désignation
obligatoire
/
Désignation
facultative
Mission englobe
TOUS les
traitements
(pas seulement
ceux qui
relèvent des 3
cas obligatoires)
Communica-tion
des coordonnées
du DPD à APD
16. Groupe Larcier / Lexing www.earlegal.be
2.
Quel DPD désigner ?
16
17. www.earlegal.beGroupe Larcier / Lexing
Pas de formation minimale
Pas d’approbation préalable (>< Conseiller en sécurité de l’information)
Expertise
EXPERTISE
en droit
de la protection
des données
Connaissance du
secteur d’activités/
des procédures
administratives
COMPREHENSION
des activités de
traitement Capacités
personnelles
18. www.earlegal.beGroupe Larcier / Lexing
Pas en situation de conflits d’intérêts
Peut exécuter d'autres tâches
attention aux conflits d’intérêts !
Interne >< poste de décision
Pas juge et partie
Conseiller en sécurité de l’information ? (Recom. APD)
amende de autorité bavaroise (manager IT)
Examen préalable des postes conflictuels
Documenter le processus
Quid petites structures ?
Externe
Clients en conflit
Peut aussi représenter en justice ou devant APD?
NON Déontologie avocat (>< autre prestataire externe)
18
20. www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général
• Pas le temps de former qqn du
service juridique
• DPD externe
Commune de
10.000
habitants
• Responsable IT
• Qqn du service juridique de la
maison mère aux Pays-Bas ?
Filiale belge
d’une banque
néerlandaise
21. www.earlegal.beGroupe Larcier / Lexing
Un seul DPD pour plusieurs entités ?
Ok pour autant que :
1.Pas surchargé
2.Facilement joignable à partir de chaque lieu
d'établissement
3.Communique avec APD et personnes
concernées dans langue du pays où l’entité est
située :
G29 : toujours dans la langue de l’APD ou de la personne
concernée : excessif si produit/service fourni dans une autre
langue
APD : peut se faire aider de traducteurs
21
22. www.earlegal.beGroupe Larcier / Lexing
G29 : ok pour autant que :
répartition claire des tâches
et 1 personne “en charge”
Équipe multidisciplinaire plus efficace
Langues
Gestion des absences
1 DPD par branche d’activité, possible ?
(ex : marchés publics/privés)
Pas de réponse à ce stade
préférable équipe avec 1 responsable
En équipe ?
23. www.earlegal.beGroupe Larcier / Lexing
Un DPD impliqué
Associé à toutes les questions relatives à la
protection des données à caractère personnel
au plus tôt (privacy by design)
Informer personnel à tous les niveaux
Présenter DPD au management senior et
intermédiaire
Inviter DPD régulièrement aux réunions (au
minimum quand décisions ont un impact sur
la protection des données)
Développer lignes directrices internes %
quand consulter DPD
Coordonnées de contact communiquées à
tous les travailleurs
24. www.earlegal.beGroupe Larcier / Lexing
Un DPD outillé
Ressources nécessaires
Temps
Équipe
Matériel
Accès aux données à
caractère personnel et aux
opérations de traitement
Formation permanente
25. www.earlegal.beGroupe Larcier / Lexing
Un DPD écouté
Support de la
direction
Si son avis n’est
pas suivi :
documenter
pourquoi
Accountability
26. www.earlegal.beGroupe Larcier / Lexing
Un DPD indépendant et protégé
Sanction : amende administrative
(aucune indemnisation spécifique pour DPD)
Quid si n’exécute pas correctement sa mission de DPD ?
• Fait directement rapport au niveau le
plus élevé de la direction
• Aucune instruction, mais
• pas de pouvoir décisionnel
• pas d’obligation de dénonciation
• Ne peut être licencié ou pénalisé (même
simple menace) en raison de l'exercice de
ses missions.
27. Groupe Larcier / Lexing www.earlegal.be
3.
Comment les missions du DPD
s’insèrent-elles dans le quotidien de l’entreprise ?
27
28. www.earlegal.beGroupe Larcier / Lexing
Article 39 : Mission minimale
28
CONSEIL
DECISION
CONSCIENTISATION
INTERMEDIAIRE
VERIFICATION
Informer et
conseiller sur les
obligations qui
leur incombent en
vertu du RGPD et
du droit belge
% réalisation analyse d’impact
Audits
Sensibilisation
Formation du personnel
culture « vie privée »
Point de contact
pour l‘APD et
personnes
concernées
Coopération avec
l’APD
29. www.earlegal.beGroupe Larcier / Lexing
Quelles priorités ?
Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux
opérations de traitement compte tenu de :
la nature,
la portée,
du contexte
et des finalités du traitement,
Pas compliance parfaite immédiatement
autorisation de négliger les “petits” traitements
Détermination des risques
Détermination de l’ampleur du travail à réaliser
Priorités et traitements stratégiques
29
30. www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Traitements des données de la
population
• Traitement des données du personnel
communal
Commune de
10.000
habitants
• Données relatives à la solvabilité
• Vidéosurveillance
• Traitements hors UE
• Données accidents de travail
• Données salariales
Filiale belge
d’une banque
néerlandaise
32. www.earlegal.beGroupe Larcier / Lexing
Conseil documents contractuels
Base juridique
Consentement : explicite + termes
clairs
Enfants âgés de moins de 16 ans
Obligation de transparence renforcée
35. www.earlegal.beGroupe Larcier / Lexing
Formation du personnel
Concepts
Risques
Nouvelle mentalité privacy by
design/privacy by default
Réflexe de consulter le DPD
Délai de 8 semaines nécessaire
pour avis préalable
Procédures mises en place
Simulation d’une brèche de sécurité
Simulation d’une « descente » de la
Commission Vie Privée
37. www.earlegal.beGroupe Larcier / Lexing
Registre des activités de traitement
37
La tenue du registre ne fait pas
partie de la mission de base
Responsabilité du RT/ST
APD : DPD doit être impliqué
dans le processus
Nom et données de contact du
DPD mentionnées dans le
registre
38. www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
38
La réalisation de l’analyse d’impact ne fait pas
partie de la mission de base du DPD
DPD donne son avis sur demande sur :
• Obligation procéder à AIPD
• Méthodologie
• In house/outsourcing ?
• Mesures de sécurité
• Si AIPD correctement réalisée
• Si nécessite un avis préalable de APD
APD : même si DPD chargé de realiser
l’analyse d’impact :
pas une tâche solitaire, mais collective
39. www.earlegal.beGroupe Larcier / Lexing
En cas de violation de données
39
• Conseil sur obligation ou non de notifier
• Respect délai
• Façon dont l’incident est documenté
• Notification contient les données de contact du délégué
40. www.earlegal.beGroupe Larcier / Lexing
Audits
Audits réguliers
Nouveaux traitements
Effacement données plus justifiées
Renouvellement AI tous les 3 ans (G29)
(APD : tous les 2 ans)
DPD interne :
Échéancier de tâches sur l’année
DPO externe :
Audit ponctuel
41. www.earlegal.beGroupe Larcier / Lexing
Obligation de dénonciation ?
DPD doit-il alerter APD si on ne suit pas ses avis?
Pas d’obligation de dénoncer
Mettre fin à la mission
// conseiller en sécurité de l’information
Dénonciation incompatible avec secret professionnel de l’avocat
41
43. www.earlegal.beGroupe Larcier / Lexing
Point de contact pour APD
Pouvoirs APD :
Demande de renseignements
Accès aux locaux
Accès à la documentation
Coopération : faciliter accès aux documents et fournir information
DPD ne doit pas traiter lui-même les demandes, mais s’assurer
qu’on y répond
+ Consultation préalable
+ en cas violation de données
44. www.earlegal.beGroupe Larcier / Lexing
Point de contact pour les personnes concernées
DPD ne doit pas traiter lui-même les demandes, mais
• s’assurer qu’on y répond
• dans les 30 jours
• transmettre les demandes aux destinataires des données
45. www.earlegal.beGroupe Larcier / Lexing
Missions supplémentaires possibles :
Tenue registre
Réalisation analyse d’impact
Collaboration avec DPD de
clients potentiels
Rédaction de clauses
Réponse aux requêtes des
personnes concernées
Rédaction de procedures types
Gestion des litiges en matière de
vie privée
…
45
47. www.earlegal.beGroupe Larcier / Lexing
Responsabilité
DPD pas personnellement
responsable de l’infraction
commise par RT/ST
(pas de pouvoir décisionnel)
Externe
Responsabilité contractuelle
Responsabilité pénale ? Infraction
volontaire ou complicité
Précautions contractuelles
Interne
// droit du travail classique
48. Groupe Larcier / Lexing www.earlegal.be
4.
Quels aspects doivent être réglés
dans le contrat du DPD ?
48
50. www.earlegal.beGroupe Larcier / Lexing
Précisions utiles
Etendue de la mission
(incertitude)
Interne : accord sur
changement de
nature de la fonction
Charge de travail
Période de transition pour la mise
en oeuvre
Temps hebdomadaire
Rapporte au niveau de
décision le plus élevé
Qui ? Organisation concrète ?
51. www.earlegal.beGroupe Larcier / Lexing
Quant à la fin du contrat
Pas de durée minimale
G29 : importance de la stabilité du DPD
APD sera informée d’un changement de DPD
(externe) : mode de communication des infos
au nouveau prestataire
Licenciement : à ce stade, pas de dérogation à CCT 109
Rester attentif à future loi : charge de la preuve des motifs
Mode de calcul des avantages et d’obtention des promotions
(dans le règlement de travail) Pour éviter que refus soit considéré
comme une sanction déguisée
(externe) indemnisation forfaitaire en cas de résiliation injustifiée
52. www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
Commune :
DPD externe
Filiale:
DPD interne
pour plusieurs
sociétés du
groupe
Confidentialité
Étendue mission
Modalités de
rapport avec la
direction
Durée contrat
Formalisme ST
Pers. phys. en charge
Communication au
nouveau prest.
Indemnisation forfaitaire
Responsabilité
Motifs possibles de fin
contrat + charge preuve
Changement de
fonction
Charge de travail
(Motifs
raisonnables de
licenciement)
53. www.earlegal.beGroupe Larcier / Lexing
Plan d’action
Obligation/o
pportunité de
désigner un
DPD
Procédure de
recrutement
interne
/externe
Adaptation
du contrat de
travail actuel
/ contrat de
service
Signaler à
APD
Notes de l'éditeur
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent
Certification = pas de diminution de la responsabilité mais un des facteurs à prendre en compte lors fixation amende (art. 83.2.j)
Art 9 : données à caractère personnel qui révèlent
l'origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques
l'appartenance syndicale,
des données concernant la santé
des données génétiques,
des données biométriques
des données concernant la vie sexuelle
ou l'orientation sexuelle
Art. 10
relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
Art 9 : données à caractère personnel qui révèlent
l'origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques
l'appartenance syndicale,
des données concernant la santé
des données génétiques,
des données biométriques
des données concernant la vie sexuelle
ou l'orientation sexuelle
Art. 10
relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
Projet de loi et articulation avec dia 27
every form, direct or indirect, of penalty: absence or delay of promotion, prevention from career advancement, denial from benefits that other employees receive, transfer to another function or office
In Belgium, the Flemish Control Commission for Data Transmission between Administrations states that the Security Counsellor for the Information System must dedicate, as a minimum, 4 hours a week per organisation. GDPR, art. 39(2).
Nouvelles informations à fournir :
Base juridique du traitement
Délai de conservation ou les paramètres permettant de déterminer le délai de conservation
Coordonnées du DPD
Le droit de retirer son consentement
Le droit d'introduire une réclamation auprès de l'autorité de contrôle
La finalité du traitement ultérieur et les éléments d'information pertinents relatifs à ce traitement ultérieur
L'existence d'une prise de décision automatisée
Des informations sur les nouveaux droits et le droit d'opposition
La notion de privacy by design signifie la prise en compte, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des exigences en matières de protection des données et de mettre en œuvre les mesures techniques et organisationnelles appropriées.
La notion de privacy by default consiste à s’assurer que, par défaut, seules les données nécessaires au regard de chaque finalité déterminée sont traitées.
La mise en œuvre de ces principes requiert que soient prises des mesures consistant notamment à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de superviser le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
pas obligatoire pour les organisations comptant moins de 250 employés,
sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données « particulières »
Mais 1ère pierre de l’accountability
Prérequis obligatoire dès que le traitement présente un risque élevé pour les droits et libertés des personnes concernées si l’on ne prévoit pas de mesures de protection adéquate (projet de recommandation CPVP + cons. 75)
Notamment :
l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;
ex: publicité envoyée par la compagnie
le traitement à grande échelle de données particulières
Les autorités de contrôle nationales doivent/peuvent établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est/n’est pas requise (cfr. projet de recommandation CPVP)
AIPD doit contenir:
description systématique des opérations de traitement envisagées et des finalités du traitement;
évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
évaluation des risques pour les droits et libertés des personnes concernées Consultation de la CPVP ;
mesures envisagées pour faire face aux risques
Si risque subsiste : Consultation CPVP qui rend un avis dans un délai de 8 semaines
Si avis négatif revoir le traitement projeté et soumettre à nouveau à l’avis de la CPVP.
Prendre en compte ce délai dans le développement de nouveaux produits/services.
Signaler fuite de données à la Commission Vie Privée et à la personne concernée
Décrire la nature de la violation de données, les catégories et le nb de personnes concernées, décrire les csq probables et les mesures prises pour y remédier, communiquer les coordonnées du DPO
Brefs délais (si possible, dans les 72h de la prise de connaissance)
Limiter les conséquences négatives d’une fuite de données (chiffrement de données par exemple)
réagir vite :
procédure à préparer
former le personnel
mécanismes de certification approuvés ont influence sur amende