France Luxembourg Suisse 1

Transcription

1 TABLEAU COMPARATIF DES DELEGUES A LA PROTECTION DES DONNES A CARACTERE PERSONNEL EN EUROPE Version V1.0 à jour au 30 juin Nous invitons les lecteurs à nous communiquer leurs commentaires afin de compléter ce tableau (pg@pascalgelly.com) France Luxembourg Suisse 1 Titre Création / Date d entrée en vigueur Nombre Associations professionnelles Correspondant à la protection des données à caractère personnel Abréviation : CIL («Correspondant Informatique et Libertés») Chargé de la protection des données DP 1.0 : 2009 DP 1.0 : 2005 DP 1.0 : 2002 DP 2.0 : CIL pour Responsable de Traitement - 46 personnes physiques, 9 personnes morales - Liste des RT ayant nommé un DP disponible sur - La liste des DP est disponible sur le site de le site de - AFCDP ~ 300 membres dont une centaine de CIL Pas à ce jour Conseiller à la protection des données (Datenschutzberater / responsabile della protezione dei dati) RT au total - La liste des RT ayant nommé un DP est disponible sur le site de : - Verein Unternehmens-Datenschutz VUD Textes - Article 22.III de la loi n du 6 janvier 1978 modifiée - Articles 42 et suivants du Décret n du 20 octobre Articles 15 et 40 de la loi du 2 août 2002 modifiée - Règlement Grand-Ducal du 27 novembre Articles 11a section 5 lit. E, et 23 de la loi fédérale du 19 juin 1992 modifiée (LPD) - Articles 12a et 12b de l Ordonnance du 14 juin 1993 modifiée (OLPD) Obligatoire / Facultatif Facultatif Facultatif - Facultatif pour le secteur privé et le secteur public, mais - Obligatoire pour les organes fédéraux avec des obligations moins strictes (ne contrôle pas le respect des règles et ne maintient pas un inventaire des bases de données) Avantages liés à la nomination d un DP - Allègement des procédures : Plus de déclaration préalable à, sauf traitements soumis à autorisation de - Allègement des procédures : Plus de déclaration obligatoire de traitement à, sauf traitements soumis à autorisation de - Allègement des procédures : Plus de déclaration obligatoire de traitement à. Pour les transferts internationaux de données basés sur les clauses contractuelles types ou les BCRs,simple information de 1 La Suisse, bien que non membre de l Union Européenne, s est largement inspirée de la Directive.notamment en ce que la nomination d un DP permet de bénéficier d un allègement de formalités de déclaration 2 Fonction dans un premier temps réservée aux consultants extérieurs puis étendue en 2002 aux salariés Page 1 sur 6

2 Rôle Général - Veille au respect des obligations prévues par la loi - Peut ne couvrir qu un secteur d activité défini (ex. Ressources Humaines) - Surveille le respect des obligations prévues par la loi - peut ne couvrir qu un secteur d activité défini (ex. Ressources Humaines) - Contrôle les traitements - Propose des mesures correctives - Devrait couvrir tous les traitements du RT sauf si sectorisation est acceptée par. Tenue d une liste de traitements Missions obligatoires (liste) - A faire dans les 3 mois de la désignation - Accessible à toute personne qui en fait la demande - Emet des recommandations auprès du RT - Consulté préalablement sur l ensemble des nouveaux traitements - Reçoit les demandes et réclamations des personnes concernées (registre) - Communication du registre à avec une description des opérations tous les 4 mois - Informe le RT des formalités à accomplir pour être en conformité avec la loi (inventaire) - Tenu à la disposition de - Accessible aux personnes concernées qui en font la demande De manière générale, le DP : - Prend les mesures nécessaires à l accomplissement de sa tâche - Conseille et forme le RT et son personnel en édictant des directives - Donne son avis sur les projets concernant la protection des données Rapport d activités Missions facultatives - bilan annuel - présenté au RT - tenu à la disposition de Rédaction de mentions informatiques et libertés, de politiques, codes de conduite internes,de dossiers de formalités CNIL, formation, etc. Nomination Qualifications - Définies de façon générale : «qualifications requises pour exercer ses missions» - Certification : non - Compétences adaptées à la taille et à l activité du RT : informatique et droit, conseil et management, médiation et pédagogie, connaissance du secteur d activité du RT - Formation :. soit justification d une formation universitaire en droit, économie, gestion d entreprise, sciences de la nature ou informatique + assise financière d une valeur de euros. soit avocat, réviseur d entreprises, expertcomptable ou médecin. Page 2 sur 6 Pour les organes fédéraux, le DP : - Conseille les organes responsables et les utilisateurs - Promeut l information et la formation des collaborateurs - Concourt à l application des prescriptions relatives à la protection des données - Sert d intermédiaire de communication entre le RT et - le DP doit régulièrement faire un rapport de ses activités au RT - Définies de façon générale : «connaissances professionnelles nécessaires» - Certification : non - Compétences sur la législation sur la protection des données, les normes techniques, l organisation du RT et ses traitements

3 Conditions d exercice Interne / externe... Formalités Indépendance Statut - Interne : possible (de préférence) - Externe : possible si moins de 50 personnes sont chargées de la mise en œuvre du traitement (limitation pas applicable aux groupes de sociétés, GIE, organismes professionnels ou groupements de RT) - Partagé : possible - Avocat : possible 3 - Personne morale : possible mais un individu doit être désigné - Notification au Comité d Entreprise - Puis notification à selon un contenu obligatoire (prise d effet 1 mois après) - Aucune instruction du RT pour l exercice de la mission - Pas de conflit d intérêts (incompatibilité avec des fonctions décidant de la finalité et des moyens de traitement) - DP ne peut être le RT ou son représentant légal - Pas de système de salarié protégé mais le DP ne peut être sanctionné par l employeur du fait de l accomplissement de ses missions - vérifie les «qualités» du DP - Mise à jour des connaissances au moins une fois par an. Contrôle continu défini par. - Certification : personne physique ou morale agréée préalablement par - Interne : possible - Externe : possible - Partagé : possible (pour les consultants externes ou au sein d un même groupe) - Avocat : possible - Personne morale : possible - Notification obligatoire à qui peut s opposer à la désignation pour défaut de qualités requises ou conflit d intérêts - notification du Comité d Entreprise pas obligatoire - Aucune instruction du RT - Pas de conflit d intérêts - Pas de système de salarié protégé mais le DP ne peut faire l objet de représailles de l employeur du fait de ses missions - Interne : possible (de préférence en lien hiérarchique direct avec la direction) - Externe : possible - Partagé : possible - Avocat : possible - Personne morale : possible - la fonction peut être attribuée à une équipe aux tâches clairement définies - Notification obligatoire à. (Il est souhaitable d informer de l identité du DP, mais ce n est pas requis par la loi) - notification du Comité d Entreprise pas obligatoire - Aucune instruction du RT - Pas de conflits d intérêts. Incompatibilité : un membre de la direction, fonction dans les Ressources Humaines ou l administration des systèmes d information, les technologies de l information ou le traitement de données sensibles. Compatibilité : sécurité informatique, direction juridique - Pas de système de salarié protégé mais le DP ne peut être sanctionné du fait de l accomplissement de sa tâche 3 Décision à caractère normatif n portant réforme du règlement intérieur national (R.I.N.) de la profession d avocat (JO du 11 juin 2009) Page 3 sur 6

4 Relations avec Révocation / Démission du DP Moyens - Le RT fournit au DP les informations nécessaires pour tenir à jour la liste des traitements - Le DP doit être consulté sur les projets de traitements -Le RT doit définir avec le DP les formations nécessaires pour qu il ait les qualifications requises - Pouvoir d investigation - Droit d information auprès du RT Disponibilité Le DP doit disposer d un temps approprié pour ses missions Notification de la nomination du DP Selon un contenu défini (par courrier ou directement sur le site Web de la CNIL) - L identité du DP est communiquée à par le RT Saisine de par le DP Saisine du DP par A la demande de Par le RT A l initiative de l intéressé - En cas de manquement par le RT ou de difficultés dans l exercice de ses missions, le DP peut saisir après information du RT - L Autorité peut à tout moment solliciter les observations du DP (si manquement à sa mission de DP) - Après demande d avis à si manquement à la mission du DP - Pour tout autre motif avec information de - Après notification à - En cas de doute de conformité, le DP consulte - L Autorité peut demander des informations au DP retrait de l agrément en cas de violation de la loi Remplacement dans le mois suivant si le RT décide de conserver un DP remplacement dans le mois suivant si le RT décide de conserver un DP remplacement dans le mois suivant si le RT décide de conserver un DP - A accès aux fichiers, aux traitements et aux informations nécessaires à l accomplissement de sa tâche - Dispose des ressources nécessaires à l accomplissement de sa tâche (moyens humains, infrastructures, équipements indispensables...) - Doit être consulté par le RT avant la mise en œuvre de traitement -Le DP ne s est pas vu conférer le droit de saisir si ses recommandations ne sont pas suivies. - Il peut cependant demander conseil à. - L Autorité peut demander d accéder à la liste des traitements Non (mais si les conditions ne sont plus remplies par le DP, le RT se voit dans l obligation de déclarer à ses traitements, sous peine de violer la loi) - le DP peut être remplacé à tout moment - si le DP est mandataire - si le DP est salarié : - en cas de démission de son travail au sein de l entreprise - si la poursuite de ses missions est devenue inacceptable Page 4 sur 6

5 Responsabilités - Ne peut être sanctionné pour avoir accompli sa mission correctement - Ne peut être tenu responsable du non respect de la loi par le RT - Peut être responsable civilement / pénalement - Tenu au secret professionnel - Ne peut être sanctionné pour avoir accompli sa mission correctement - Peut être tenu responsable du non respect de la loi par le RT (retrait de l agrément) - Tenu au secret professionnel - Le DP ne peut être sanctionné du fait de l accomplissement de sa tâche - Ne peut être tenu responsable d une violation de la loi par le RT Légende Les mentions en italique ne résultent pas des textes législatifs et règlementaires, mais d une interprétation issue des éléments bibliographiques ou des contributions des personnes sollicitées pour la revue du tableau. * Informations provenant des sources indiquées par des * ci-dessous Glossaire Autorité : DP : RT : Autorité de protection des données personnelles Délégué à la protection des données personnelles Responsable de traitement Crédits Nous remercions Pascale Gelly et Elisabeth Quillatre du Cabinet Gelly pour leur travail d élaboration et de rédaction de ce tableau. Pour leurs revue et contribution au contenu de ce tableau, nous remercions : - Daniela F bi n Masoch, Conseiller à la protection des données personnelles et CPO monde de Novartis -Suisse - Patricia Jonason, Université de Södertörns Högskola (Stockholm) - Suède - Christoph Klug, Managing Director GDD - Allemagne - Gérard Lommel, Président de la CNPD (Autorité de contrôle luxembourgeoise) - Luxembourg Bibliographie Général: - * Etude de droit comparé sur les correspondants à la protection des données ( - Rapport du groupe du travail "Article 29" sur l'obligation de notification aux autorités de contrôle, la meilleure utilisation des exceptions et la simplification, et le rôle des détachés à la protection des données à caractère personnel dans l'union Européenne. WP 106 du 18 janvier 2005 Allemagne: - **Improving self-regulation through (law-based) Corporate Data Protection Officials Report by Christoph Klug, published in Privacy Laws & Business International Newsletter, June 2002 issue n 6 (revised version at Page 5 sur 6

6 France - Le correspondant à la protection des données à caractère personnel : un maillon important de la réforme, par Maître Bensoussan, Gazette du Palais 10 au 12 octobre Le correspondant : questions réponses, site de la CNIL - Guide du Correspondant Informatique et Libertés Janvier Luxembourg: Pays-Bas: Suède: Suisse: - Le chargé de la protection des données ( - The Data Protection Officer ( ( - Guide to the Personal Data Protection (section 6.2 «The data protection official» p. 44) (english.justitie.nl/images/handleidingwbpuk_tcm _tcm pdf) - What on earth does the data inspection board do? A portrait of the Swedish Data Inspection Board (Please tell us what a personal information representative is? p.24) ( - Personal Data Representative Information on the Personal Data Act (Section 3.4 Personal data representative p.10 + Section 14 Notification of processing of personal data p.26) ( - We protect your privacy in the information society (The Personal Data Representative Your Representative p.8s) ( - Liste des maîtres de fichiers qui sont déliés du devoir de déclarer leurs fichiers ( - Commentaire à l appui de l ordonnance du 14 juin 1993 (état au 1 er janvier 2008) relative à la loi fédérale sur la protection des données ( Page 6 sur 6