Séverine Waterbley. DG «Economic Regulation», SPF Economie Commission pour la Protection de la vie privée

Transcription

1 Séverine Waterbley DG «Economic Regulation», SPF Economie Commission pour la Protection de la vie privée

2 Plan Loi «vie privée» Collecte et utilisation des données à caractère personnel par les autorités publiques Collecte et utilisation des données à caractère personnel par les opérateurs privés Enjeux de la protection de la vie privée

3 I. Loi «vie privée» Loi du 8 décembre 1992 relative à la protection de la vie privée à l égard du traitement des données à caractère personnel = «loi vie privée» Commission vie privée: compétente pour «toute question relative à l application des droits fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l égard des traitements de données à caractère personnel».

4 Aperçu historique Transposition de la Directive 95/46/CE en 1998 Réforme en profondeur en 2003: Nouvelles législations (Registre national, eid, banque-carrefour des entreprises, statistiques publiques, ) Nouveau statut (auprès de la Chambre des représentants)

5 Principes de base - légalité - légitimité - finalité - proportionnalité Puis viennent consentement, droit d opposition, sécurité,

6 Structure et Composition Un organe collégial avec un magistrat comme président et un équilibre socioéconomique entre ses membres Présidence: Président and VicePrésident 8 membres effectifs 8 membres suppléant s

7 Structure et Composition 6 comités sectoriels avec composition mixte: 50% de membres de la Commission vie privée 50% de membres externes avec connaissance du secteur et de sa législation 1.Registre national (3 + 3) 2.Sécurité sociale et Santé (2 + 5) 3.Banque-carrefour des entreprises (3 + 3) 4.Autorités fédérales (3 + 3) 5.Système d information judiciaire Phénix (3 + 3) 6.Statistiques (3 + 3)

8 «Autorités / Comités» régionaux: entités fédérées Administration électronique Vlaamst Toezicht Commissie ( VTC) voor het elektronische bestuurlijke gegevensverkeer: / Commission Wallonie-Bruxelles (Banquecarrefour d échanges de données)

9 Compétences de la Commission vie privée Sensibilisation du public Avis et recommandations Traitement de plaintes Contrôles et inspection Inspection sur place Access indirect: fichiers policiers Autorisations

10 Compétences (I) Sensibilisation du public

11 Compétence (II): avis

12 Avis et recommandations Avis et recommandations: Marketing direct E-ticketing (télébilletique) Cybersurveillance Mobile Mapping (cartographie instantanée) Projets de législation variés Réforme droit européen protection des données (section "Decisions" sur notre site web)

13 Compétences (III): Plaintes Base légale Art Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi. 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense. 3. ( ) Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile.

14 Instruction du dossier: présidence Demande de toute information utile Auprès du plaignant Auprès du responsable de traitement Auprès de tiers Communication des infos au plaignant (commission) Limites de la médiation présidentielle Transmission au collège: rapport Echec de la médiation: Projet d avis + recommandations décision finale au collège Examen complémentaire par le collège

15 Instruction du dossier: Commission Commissaire rapporteur Informations additionnelles peuvent être demandées En amont Examen sur place Audition: droit de la défense Résultat de la médiation Une solution est trouvée: procès-verbal actant l accord Une solution n est pas trouvée: avis de la Commission + recommandations - éventuelle décision annexe sur la publicité de son avis mais pas de pouvoir de décision

16 Compétences (IV): contrôles et inspections Actuellement basés sur des plaintes ou notifications (à l avenir: établissement progressif d un département contrôle et inspection en fonction du budget) Pas de pouvoir de sanctions (financières) Violations de la loi vie privée dénoncées au procureur du Roi

17 Compétences (V): autorisations Art 31bis. 1. La loi institue au sein de la Commission des comités sectoriels compétents pour instruire et statuer sur des demandes relatives au traitement ou à la communication de données faisant l'objet de législations particulières, dans les limites déterminées par celle-ci.

18 Comités sectoriels: compétences Comité sectoriel du Registre national autorise l accès à et l utilisation du numéro de registre national, traite les plaintes, mène des enquêtes, Comité sectoriel de la sécurité sociale et de la santé autorise la communication de données sociales, avis, plaintes, enquêtes, Comité sectoriel pour l Autorité fédérale autorise la communication de données personnelles par les autorités fédérales Comité sectoriel Banque Carrefour des entreprises (BCE) autorise l accès et la communication de données contenues dans la BCE, Comité sectoriel Phénix supervise l échange de données devant permettre au système judiciaire de fonctionner correctement, plaintes, Comité sectoriel Statistiques autorise la communication de données recommandations, avis, enquêtes, ) par l Institut des Statistiques,

19 Coopération internationale Union européenne Groupe de l Article 29 sur la protection des données Groupe de coordination de contrôle Schengen (SIS II) Autorité de contrôle commune Europol Autorité de contrôle commune et Groupe de coordination de contrôle des Douanes Groupe de coordination de contrôle EURODAC Groupe de coordination de contrôle VIS Conférence internationale des commissaires à la protection des données et à la vie privée (Spring Conference) Case Handling Workshop Contrôleur européen à la Protection des Données (CEPD EDPS)

20 Obligation de déclaration «Article 17, 1er Préalablement à la mise en œuvre d un traitement entièrement ou partiellement automatisé ou d un ensemble de tels traitements ayant une même finalité ou des finalités liées, le responsable du traitement ou, le cas échéant, son représentant, en fait la déclaration auprès de la Commission pour la protection de la vie privée», Voir exceptions (AR 13/02/2001), exemple BD «salaires»

21 II.Collecte et utilisation des DCP par les autorités publiques exemple du SPF Economie Organigramme SPF

22 Loi relative à la statistique publique Loi du 4 juillet 1962 Modification par la loi du 1er août 1985 afin de l adapter aux exigences et possibilités actuelles (neutralité de l instance qui recueille les données, utilité des statistiques, compétences du personnel statistique, coordination des travaux statistiques dans le secteur public) Modification par la loi du 22 mars 2006 afin : D expliciter les principes qui sont à la base de la méthode utilisée par l Institut national de Statistique; De passer à la collecte secondaire de données à partir de banques de données opérationnelles (simplification administrative) De rendre le traitement des données à caractère personnel par l INS conforme à la législation nationale et européenne en matière de protection de la vie privée Modification par la loi du 22 décembre 2008 afin d introduire des sanctions administratives pour les personnes morales qui ne remplissent pas leurs obligations dans le cadre d investigations obligatoires.

23 Les principes qui régissent les statistiques : Principe de licéité et de loyauté : La collecte et le traitement des données se fondent soit sur une base légale ou réglementaire, soit sur le consentement du déclarant au sens de la loi de la protection sur la vie privée; La collecte loyale suppose la bonne information du déclarant au sujet de la collecte et du traitement des données (fondement juridique, finalité, mesures de protection) Principe de finalité Les données individuelles sont recueillies exclusivement à des fins statistiques à moins que le déclarant n ait donné son consentement pour l utilisation à d autres fins. Les données collectées ne peuvent pas être utilisées pour compléter ou corriger des fichiers de données à finalité non-statistique. Aucune décision pouvant affecter la situation individuelle du déclarant ne peut être prise sur base de données collectées à des fins statistiques.

24 Les principes qui régissent les statistiques (suite): Principe de proportionnalité : Méthode de collecte : priorité à la collecte secondaire par rapport à la collecte primaire sondages plutôt qu enquêtes exhaustives enquêtes volontaires plutôt qu obligatoires ; Les données sont adéquates, pertinentes et non excessives au regard de la finalité statistique déterminée. Principe d impartialité, d objectivité et d indépendance professionnelle : Production et diffusion des statistiques dans le respect de l indépendance scientifique, de manière objective, professionnelle et transparente en plaçant tous les utilisateurs sur un pied d égalité.. L organisme producteur de statistiques doit disposer d une indépendance professionnelle.

25 Le secret statistique (article 1 ter): Le secret statistique signifie que les données relatives à des unités statistiques individuelles sont protégées contre toute violation du droit à la confidentialité. Cela implique que toute utilisation non statistique des données obtenues et toute divulgation illicite sont interdites. Celui qui utilise à des fins non admises par la présente loi les données individuelles ou les données globales mais confidentielles est puni d une amende de 26 EUR à EUR (article 22)

26 Obligation de répondre : Si l investigation statistique se fait sur base volontaire, la participation n est pas obligatoire. Les formulaires d enquêtes doivent faire mention du caractère volontaire du concours (article 12). Si l enquête est obligatoire (arrêté royal ou règlement européen), les personnes physiques ou morales qui correspondent aux critères définis doivent répondre. S ils ne répondent pas : Personnes physiques : passibles d une sanction pénale (article 22) Personnes morales : passibles d une sanction pénale (article 22) ou administrative (article 21bis) Protection de la confidentialité : Les déclarants ont la garantie que les renseignements individuels qu ils ont communiqués ne pourront pas être utilisés à d autres fin que des fins statistiques et ne pourront pas être communiqués à des tiers (article 1ter). La publication de statistiques permettant la divulgation de situations individuelles par suite d un nombre réduit de déclarant n est pas autorisée sans l autorisation préalable du déclarant (article 2).

27 Traitement des données : Prescriptions relatives à la protection des données (Articles 17 à 17 sexies, entrés en vigueur le 24/06/14, AR 13/06/14) : Les données individuelles d identification directe (nom, adresse, numéro d entreprise, ) doivent être séparées le plus rapidement possible des données d étude; Les données d étude sont codées : octroi d un numéro aléatoire à une unité statistique susceptible d être identifiable. Seul le délégué à la protection des données peut faire le lien, entre ce numéro aléatoire et les données d identification d un déclarant (clé de concordance). Les données individuelles collectées et traitées à des fins statistiques sont détruites ou effacées lorsqu elles ne sont plus nécessaires à ces fins L INS prend toutes les mesures nécessaires pour assurer la protection physique et logique des données individuelles en prévenant tout risque de divulgation illicite ou d utilisation à des fins autres que statistiques.

28 Diffusion : L INS ne peut publier que des statistiques globales et anonymes (article 2). Si suite à un nombre réduit de déclarants des situations individuelles peuvent être divulguées, les statistiques ne peuvent être publiées ou communiquées à un tiers que moyennant l autorisation des déclarants concernés (article 2). Les statistiques doivent être diffusées en plaçant tous les utilisateurs sur un plan d égalité (article 1bis). La publication par l INS des résultats globaux et anonymes peut être soumise à des conditions à déterminer par le Roi, le Conseil supérieur de Statistique préalablement entendu (article 24).

29 Banque-carrefour des entreprises (BCE/KBO) Loi du 16 janvier 2003: intégration du registre de commerce Livre III du Code de droit économique, entré en vigueur le 9 mai 2014: la diffusion des données BCE/KBO est entrée dans une nouvelle phase. BCE Public Search: recherche en fonction de l activité de l entreprise, forme juridique (SA, SPRL, ), situation juridique, agréments, licences, montant du capital social, liste des titulaires de fonction officiels d une entreprise (soumis à publicité),... Plus d autorisation pour l utilisation des données de la «Public search», données considérées comme publiques

30 14/06/ E-health soins à distance (monitoring, aide, consultation, diagnostic, opération,...), e.a. soins à domicile soins mobiles soins multidisciplinaires patient au centre des soins et autonomisation du patient évolution rapide des connaissances => besoin d'une gestion et d'une valorisation fiables et coordonnées des connaissances danger de processus administratifs qui prennent trop de temps mobilité transfrontalière

31 14/06/ Les évolutions précitées requièrent communication électronique sécurisée et efficace entre tous les acteurs des soins de santé dossiers de patients électroniques, de qualité et dépassant le niveau de la spécialité plans de soins et trajets de soins processus administratifs optimalisés interopérabilité technique et sémantique garanties en matière de sécurité de l information protection de la vie privée respect du secret professionnel des prestataires de soins

32 32 14/06/2014 Plate-forme ehealth En pratique Recherche des antécédents médicaux via le SumEHR Schéma de médication Consultation des résultats de laboratoire Guidelines et avis disponibles online Avantages médicaux Prescriptions électroniques Lettres de transfert électronique

33 33 14/06/ services de base Coordination de processus partiels électroniques Portail Gestion intégrée des utilisateurs et des accès Gestion de loggings Système de cryptage endto-end ehealthbox Timestamping Codage et anonymisation Consultation du Registre national et des registres Banque Carrefour Répertoire des références (Metahub)

34 34 14/06/ services de base 6.1. Gestion intégrée des utilisateurs et des accès: cette gestion garantit que seuls les prestataires de soins/établissements de soins autorisés puissent accéder aux données à caractère personnel auxquelles ils peuvent avoir accès les règles d'accès sont notamment imposées par la loi ou par les autorisations de la section Santé du Comité sectoriel (instituée au sein de la Commission de la protection de la vie privée) chaque application fait l'objet de règles d'accès spécifiques lorsque l'utilisateur authentifie son identité (au moyen de la carte d'identité électronique ou du token), le modèle de vérification générique de l'outil est lancé: le modèle consulte les règles qui ont été fixées pour l'application, vérifie si l'utilisateur satisfait effectivement à ces règles et accorde ou n accorde pas l'accès à l'application

35 14/06/ services de base 6.2. Coordination de sous-processus électroniques garantit une intégration souple et harmonieuse des différents processus relatifs à la mise en œuvre des différents services de base au sein d'une seule et même application 6.3. Environnement portail: fenêtre sur le web qui offre aux acteurs des soins de santé plusieurs services en ligne pour les aider à fournir les meilleurs soins possibles; offre toutes les informations utiles relatives aux services offerts par la Plate-forme ehealth, à ses missions, à ses standards, etc.

36 36 14/06/ services de base 6.4. Gestion de loggings: gestion d'un registre des accès au système de gestion des données: tous les accès en lecture et en écriture et toutes les suppressions sont enregistrés et servent de preuve en cas d introduction d une plainte à ce propos 6.5. Système de chiffrement end-to-end: transmission de données complètes, non altérées d'un point à l'autre en les rendant illisibles au moyen d'une clé (chiffrement) aussi longtemps qu'elles n'ont pas été déchiffrées au moyen d'une clé 2 méthodes: lorsque le destinataire est connu: utilisation d'un système de chiffrement asymétrique (2 clés) lorsque le destinataire n'est pas connu par e-health: utilisation d'un chiffrement symétrique (la clé de déchiffrement peut uniquement être obtenue via la Plate-forme ehealth, exemple médecin

37 37 14/06/ services de base 6.6. Codage et anonymisation: possibilité de cacher l'identité de personnes sous un code de sorte que les informations utiles de ces personnes puissent être utilisées sans violation de leur vie privée et possibilité d'anonymiser des données en remplaçant les caractéristiques détaillées par des caractéristiques générales; une fois codées ou anonymisées, ces données conservent leur utilité, mais il n'est plus possible de déduire directement ou indirectement l'identité de la personne 6.7. Horodatage électronique (timestamping): possibilité de dater tout document créé dans le secteur des soins de santé, à la seconde près et donc de garantir la validité du contenu dans le temps au moyen de l'apposition d'une signature ehealth

38 38 14/06/ services de base 6.8. Consultation du Registre national et des registres BCSS: accès au registre national et aux registres Banque Carrefour par les acteurs des soins de santé autorisés, sous de strictes conditions 6.9. ehealthbox: boîte aux lettres électronique sécurisée pour l'échange de données médicales Répertoire des références: indique, moyennant l'accord des patients concernés, quels types de données sont conservés auprès de quels acteurs des soins de santé et concernant quels patients

39 14/06/ Services à valeur ajoutée PROCARE RX qui permet aux radiologues de charger et d'envoyer des radiographies et des informations y afférentes, de manière anonyme, à des experts, en vue d'une révision ou d une seconde opinion Gestion de services de garde de médecins généralistes et de dentistes (Medega) Consultation électronique de l'assurabilité dans l'assurance maladie par les (groupements d')infirmiers Déclaration de naissance électronique ebirth Consultation des déclarations anticipées en matière d'euthanasie

40 40 14/06/2014 Transmission de données: ehealthbox Fonctionnalités standard d'un système de messagerie électronique avec en prime un niveau de sécurité élevé > accès au système via eid (application web) ou certificat ehealth concerne Tout tous les prestataires (pas seulement les médecins) message est entièrement crypté Présence de métadonnées à configurer au choix, qui peuvent être transmises avec le message afin de permettre p.ex. le routage de messages au sein d'organisations telles que des hôpitaux Utilisation de l ehealthbox par une quarantaine de laboratoires et d hôpitaux et près de médecins généralistes Mai 2014: messages envoyés messages consultés

41 41 14/06/2014 Consentement éclairé et relation thérapeutique Enregistrement du consentement éclairé patient informé sur le système procédure spécifique approuvée par le Comité de gestion et le Comité sectoriel enregistrement du consentement via le ehealth-consent possible par la personne concernée même un médecin, un pharmacien, un hôpital ou une mutualité ealthconsent Relation thérapeutique seuls les prestataires de soins qui ont une relation thérapeutique avec le patient (1) ont accès aux informations dont ils ont besoin pour l'accomplissement de leur tâche (2) (1) la preuve d'une relation thérapeutique détermine l'accès relatif à un patient (2) le rôle détermine l'accès aux types de données

42 Loi «only once»: Loi du 5 mai 2014 garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l'autorité et portant simplification et harmonisation des formulaires électroniques et papier La loi a pour objectif d imposer la collecte unique des données et d ancrer la réutilisation des données déjà disponibles dans des sources authentiques dans le fonctionnement des services publics fédéraux. Le but est d éviter que les citoyens et les entreprises ne doivent communiquer à plusieurs reprises les mêmes données aux autorités publiques.

43 Loi «only once» Conséquence pour la vie privée: Les instances fédérales sont toujours obligées de demander une autorisation avant de faire usage du numéro du registre national. En ce qui concerne l utilisation du numéro d inscription à la sécurité sociale et du numéro d entreprise, aucune autorisation n est exigée à cet effet. Les citoyens et les entreprises peuvent vérifier les données qui peuvent être réutilisées.

44 Data Retention Directive 2006/24/CE sur la conservation des données («Data Retention») Loi du 30 juillet 2013 modifiant l'article 126 de la loi du 13 juin 2005 relative aux communications électroniques: loi contraignant les opérateurs de télécommunication et les fournisseurs d accès à Internet à conserver les méta-données de communication de leurs usagers pendant un an Arrêt de la CJUE du 8 avril 2014: invalide la Directive Recours devant la Cour constitutionnelle par la Ligue des droits de l Homme et l ordre des avocats

45 III. Collecte et utilisation des DCP par les opérateurs privés - Pas neuf: marketing direct (recommandation CVPV 30/01/13) - Le cas Facebook: - Modification unilatérale des conditions générales Clauses abusives Rôle de la CPVP Coopération européenne

46 L arrêt Google de la CJUE du 13 mai 2014 Plainte de M. Costeja Gonzalez auprès de la «CPVP espagnole» (Agencia espanola de proteccion de datos) La Vanguardia : rejet de la demande de suppression ou de modification des pages (cf. Ministère sécu sociale) Google Inc. et Google Spain SL: retrait de l index Recours de Google devant le tribunal administratif espagnol (Audiencia Nacional) Questions préjudicielles posées à la CJUE

47 Les enjeux et éléments clé de l arrêt Applicabilité territoriale des législations européennes dérivées de la directive 95/46/CE Droit européen v. droit américain? Les moteurs de recherche dans la société Responsable de traitement ou seul «intermédiaire»? Le droit à l oubli Protection de la vie privée, censure et liberté d expression? Le rôle des autorités de protection des données sur fond de réforme UE de la protection des données

48 Application territoriale : étapes du raisonnement de la CJUE La présence d un traitement de données personnelles (article 2 b) dir. 95/46/CE) La qualification de Google comme responsable de traitement (article 2 d) dir. 95/46/CE) La détermination de la législation applicable sur la base de l établissement dans l exercice des activités duquel le dit traitement de données personnelles est opéré

49 Le résultat A priori, primauté du droit à la vie privée et protection des données ( articles 7 et 8 Charte UE) Suppression des liens de la page de résultat SAUF circonstances particulières Rôle de la PC dans la vie publique Intérêt prépondérant du public à l information

50 En Belgique?

51 Portée La Cour n a PAS créé un droit à l oubli mais confirmé que des moteurs de recherche comme Google sont soumis aux articles 12 et 14 de la directive 95/46/CE Dès lors, le moteur de recherche doit le mettre en oeuvre (Google, bientôt Bing,..) Exercice non nouveau pour les médias Ce qui est nouveau est sans doute l échelle de la mise en oeuvre

52 Portée : rôle des DPA s? Article 28 de la directive prévoit que les EM se dotent de DPAs en mesure d ordonner la destruction ou l effacement de données La Cour ( 77) confirme que la demande vient au RT, puis en cas de refus aux DPA s ou autorités judiciaires Coordination nécessaire entre DPA s Contacts déjà établis avec Google Injonctions déjà données à Google Discussions au Groupe 29

53 Réaction de Google Google a réagi en plusieurs étapes Déception face à cet arrêt Confirme qu il s y conformera Demande de l aide aux DPA s A mis en ligne un formulaire A mis en place un groupe d experts qui rendra un rapport début 2015 A reçu déjà plus de demandes

54 Les enjeux de la vie privée Protection de ma vie privée, réel besoin? Big data Le projet de Règlement UE

55 Big Data Conseil «compétitivité» européen «Le Conseil Compétitivité a tenu, mardi 3 mars 2015, un débat d'orientation sur les moyens de stimuler l'innovation grâce à une recherche ouverte, en réseau et à forte intensité de données. Les ministres ont partagé leur vision sur la manière dont l'europe peut mieux soutenir et accélérer sa transition vers une «économie de la donnée», dans le contexte de l'agenda numérique pour l'europe. Le Conseil a désigné les deux domaines où une recherche ouverte, en réseau et à forte intensité de données peut stimuler l'innovation: les infrastructures numériques paneuropéennes et les politiques et cadres pour un meilleur usage des données massives («big data») et du cloud computing». (Agence Europe)

56 Big Data Volume Volatilité Variété de formats Variabilité dans le temps avec par exemple des pics complexité

57 croissance IBM (2013)

58 Big Data Collecte des données: utilisation ne correspond pas au but prédéfini de la collecte - problème de finalité Consentement, opt out, - problème de légalité Utilisation maximale des DCP - problème de proportionnalité Analyse des données: corrélation entre certains comportements et certains événements (exemple PRISM, «Google flu Trends», ) Avantages: diminution du coût, nouveaux produits

59 Big Data Privacy by design Privacy impact assesment

60 Projet de règlement européen Janvier 2012: proposition de règlement déposée par la COM (V. Reding) Mars 2014: vote de projets amendés en séance plénière du Parlement européen (Octobre 2013: vote d un projet de règlement (et de directive) amendé par la Commission LIBE) Janvier décembre 2014: négociations au Conseil: adoption approche générale partielle de certains chapitres Mai 2014: Elections européennes (+belges)

61 Commission de la protection de la vie privée Novembre 2012: avis de la CPVP sur le texte proposé par la Commission européenne (COM) ts/avis_35_2012_0.pdf Février 2014: avis 10/2014 de la CPVP sur le texte voté par la Commission LIBE (chef de file) du Parlement européen(pe) avis_10_2014.pdf Assistance au SPF Justice dans le cadre des travaux du DAPIX ( niveau technique)

62 Responsable de traitement et sous-traitant 1. Obligations générales 2. Sécurité des données 3. Évaluation de la protection des données et autorisation préalable 4. Délégué à la protection des données (DPO) 5. Codes de conduite et certification

63 Délégué à la protection des données (DPO) Désignation facultative Peut être imposée par le droit UE ou par un État membre Possibilité de désignation par groupe ou ensemble Employé ou externe Cadre de travail du délégué à la protection des données Prévoir les moyens nécessaires Associer correctement et en temps opportun le délégué à toutes les activités liées au traitement de données à caractère personnel Indépendance Rapport au niveau de gestion le plus élevé

64 Sous-traitants Contrat entre RT et ST: Plus détaillé Finalité, durée, assiste le RT pour le respect des obligations légales y compris l exercice des droits des individus, obligation de détruire ou de restituer les données à la fin Réglementation de la sous-traitance ultérieure Accord préalable du RT (spécifique ou général avec opt out) Transparence Obligations contractuelles entre RT et ST doivent être reportées sur le ST ultérieur Responsabilité du ST principal pour les fautes commises par les ST ultérieurs

65 Coopération internationale DPAs doivent développer des mécanismes de coopération pour permettre la supervision de la législation DPAs doivent s apporter de l assistance mutuelle (dans le cadre des investigations, échanges d informations)

66 One-stop-shop (OSS) schéma Affaires locales DPA locale Application OSS dans 2 cas Traitement dans le cadre d activités de plusieurs établissements dans plusieurs États membres Traitement dans le cadre d activités d un ou de plusieurs établissement(s) dans un seul État membre ayant un impact sur des personnes concernées dans plusieurs États membres En cas de OSS, Système de co-décision Projet par Lead DPA Soumettre à la DPA concernée Si pas d accord, soumettre à l EDPB

67 Questions?