Règlement général sur la protection des données (RGPD) Le Délégué à la protection des données (DPO) Rôle des autorités de protection des données (DPA) Secrétariat de la Commission de la protection de la vie privée Valérie Verbruggen Créobis, 7 février 2017
Le RGPD, un règlement mais Désignation du délégué (article 37) [«Fonction» du délégué (article 38)] Missions du délégué (article 39) 2
Réforme de la Commission de la protection de la vie privée Mesures d exécution nationales obligatoires Mesures d exécution nationales autorisées Liste des traitements soumis à DPIA (art.35) Mesures obligatoires à adopter par la DPA Exercice de ses missions par la DPA De la sensibilisation à la sanction 3
Spécification Options and choices Limitations and exceptions Secteur public (art. 6.2. et 6.3) Santé (art. 9.4.) DPO obligatoire dans d autres cas (art.37.4.)? Autorisations des Comités sectoriels (art.36.5.)? Amendes adm. pour le secteur public (art. 83.7)? Droits des personnes concernées (art. 23) Contexte de la recherche scientifique (art. 89 (2) et (3)) 4
5
6
7
Groupe de l Article 29 28 autorités de protection des données (et EDPS) 5 réunions plénières annuelles Groupes de travail (préparation) Rapporteurs Interprétation harmonisée Echange d informations et de bonnes pratiques 8
9
Guidance aux RT et ST Data Protection Impact Assessment (DPIA) Certification Profilage Consentement Transparence Outils de transferts internationaux Notification des data breach «Interne DPA» EDPB ( European Data protection Board) One Stop shop /guichet unique Consistency mechanism 10
GDPR explained et best practice Désignation du délégué (article 37) [«Fonction» du délégué (article 38)] Missions du délégué (article 39) Lignes directrices du Groupe 29 FAQ et autres outils d information de la DPA belge (CPVP) 11
Par qui? Obligation des responsables de traitement (RT) Et des sous-traitants (ST) Champ d application matériel Champ d application territorial Application extraterritoriale du RGPD (article 3.2) 12
Distinguer le vrai du faux.. 13
Dans quels cas? Obligatoire dans 3 cas Renvoi au législateur national pour des cas obligatoires supplémentaires possibles Quid? Sur base volontaire 14
Cas obligatoires (art. 37.1.) Le traitement est opéré par une autorité publique ou un organisme public ( sauf cours et tribunaux dans l exercice de leur fonction juridictionnelle) a) 15
Cas obligatoires (art. 37.1.) Les activités de base du RT ou du ST consistent en des traitements qui du fait de leur nature, de leur portée ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées b) 16
Cas obligatoires (art. 37.1.) Les activités de base du RT ou du ST consistent en un traitement à grande échelle de catégories particulières de données visées à l article 9 et de données personnelles relatives à des condamnations pénales et à des infractions visées à l article 10 c) 17
Activités de base Activité accessoire (considérant 97) G29: key operations necessary to achieve the controller s or processor s goals / Large échelle: facteurs recommandés (considérant 91) Nombre de personnes concernées Volume de données traitées Durée, caractère permanent de l activité Portée géographique du traitement 18
Suivi régulier et systématique (art. 37.1.b)) Suivi: on line et off line Régulier Systématique 19
Catégories particulières de données Article 9 (sensibles et santé): + génétiques, biométriques et orientation sexuelle dans le RGPD Article 10 (judiciaires) Non cumulatif: «et» devra se lire «ou» 20
Recommandations best practice Encouragement à la désignation volontaire Distinguer l obligatoire des «best practice» Respect de la lettre et de l esprit du GDPR (approche par le risque) En cas de doute: conservation par écrit de la justification de désigner ou non un DPO Un outil de l accountability (responsabilité) Flexibilité laissée aux entreprises Couvrir TOUS les traitements opérés, au-delà des seuls traitements emportant la désignation obligatoire Renforcer de manière effective la protection des données 21
Obligatoire? COM (proposition): Obligatoire et se substituant au droit national existant, en ce compris lorsque celui-ci est plus strict CONSEIL Exclusivement volontaire Seuil? COM Seuil élevé: 250 employés PARLEMENT EUROPEEN Données de 500 data subjects notamment RGPD adopté: une désignation obligatoire dans certains cas qui ne supplante pas les dispositions nationales (existantes et plus strictes) RGPD adopté Pas de seuil lié aux nombre d employés ni au nombre de data subjects mais des critères matériels 22
Qui désigner? Interne (membre du personnel 37.6) Externe (contrat de service 37.6.) Un pour plusieurs RT et ST (groupe d entreprises PME 37.2. ) Un pour plusieurs autorités publiques ou organismes publics (37.3.) Compétence et qualités requises (37.5): Connaissances spécialisées du droit et des pratiques en protection des données et capacité à exercer ses missions Personne physique et/ou personne morale? 23
24
http://www.cidj.com/article-metier/data-protection-officer 25
«Fonction» du délégué (art. 38) Etre indépendant Ne pas recevoir d instruction en ce qui concerne l exercice de ses missions (38.3.) Ne pas être relevé de ses fonctions ou pénalisé pour l exercice de ses misions (38.3.) Faire rapport directement au niveau le plus élevé de la direction (38.3.) Etre soumis au secret professionnel ou à une obligation de confidentialité (38.5.) Ne pas avoir de conflit d intérêt (38.6.) 26
«Fonction» du délégué (art. 38) Etre en mesure d exercer effectivement ses missions Etre associé de manière appropriée et en temps utile à toutes les questions relatives à la protection des données (38.1.) Bénéficier des ressources nécessaires (38.2.) Accéder aux données et opérations de traitement (38.2.) Entretenir sa formation spécialisée (38.2.) Durée minimale? 27
Etre accessible «Facilement joignable au départ de chaque établissement» : localisation (37.2.) Connu de la DPA: obligation de notification des coordonnées du DPO (37.7.) Connu des personnes concernées (PC) Publication des coordonnées du DPO (37.7.) Droit à l information de la PC ( 13.1.b) et 14.1.b)) Connu en interne 28
29
Missions du délégué (art. 39) (I) Informer et conseiller le RT et le ST ainsi que les employés sur les obligations qui leur incombent en vertu du RGPD et d autres dispositions en matière de protection des données Tasks (at least) Dispenser des conseils, sur demande, en ce qui concerne l analyse d impact relative à la protection des données et verifier l exécution de celle-ci en vertu de l article 35 Contrôler le respect du RGPD (monitor compliance), d autres normes et règles internes en matière de protection des données, en ce compris la formation du personnel et les audits 30
Missions du délégué (art. 39) (II) Coopérer avec l autorité de contrôle Tasks (at least) Faire office de point de contact pour l autorité de contrôle et les personnes concernées (art. 38.4) + Registre des traitements 31
http://www.cidj.com/article-metier/data-protection-officer 32
Merci pour votre attention http://www.privacycommision.be valerie.verbruggen@privacycommission.be 33