Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

earlegal #5 - Radiographie du délégué 
à la protection des données


253 views

Published on

earlegal du 19 et du 24 mai 2017
Jean-François Henrotte, Fanny Coton et Lexing répondent, après une brève introduction aux questions suivantes:
Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
Vidéo du petit déjeuner-débat organisé par Lexing et le Groupe Larcier.
Toutes les vidéos des Earlegal sont accessibles ici : www.earlegal.be

Published in: Law
  • Be the first to comment

earlegal #5 - Radiographie du délégué 
à la protection des données


  1. 1. Radiographie du délégué à la protection des données Jean-François HENROTTE Fanny COTON
  2. 2. www.earlegal.beGroupe Larcier / Lexing Cadre légal Aujourd’hui Directive 95/46 – Loi du 8/12/1992 Rares cas : conseiller en sécurité de l’information 25/05/2018 : Règlement général 2016/679 du 27/04/16 sur la protection des données (RGPD/GDPR) Délégué à la protection des données (DPD/DPO) Projet de loi belge : CPVP  Autorité de Protection des Données 2
  3. 3. www.earlegal.beGroupe Larcier / Lexing Programme Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ? Quel DPD désigner ? Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ? Quels aspects doivent être réglés dans le contrat du DPD ? 3
  4. 4. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Directeur général (ex secrétaire communal) se propose pour veiller à la mise en œuvre du RGPD • Doit-il y avoir un DPD ? • Si oui, le Directeur général peut-il être le DPD ? Commune de 10.000 habitants • 200 employés • Responsable IT est pressenti pour veiller à la mise en œuvre du RGPD Filiale belge d’une banque néerlandaise
  5. 5. Groupe Larcier / Lexing www.earlegal.be 1. Dans quel cas une entreprise doit-elle désigner un DPD? 5
  6. 6. www.earlegal.beGroupe Larcier / Lexing Enjeux 6 Amendes : maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent Réputation Confiance
  7. 7. www.earlegal.beGroupe Larcier / Lexing Pas une question de taille de l’entreprise : (abandon du critère des 5.000 personnes concernées) Obligatoire dans 3 cas : MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires  risque de disparités nationales  À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?) Quand désigner un DPD ? (Art. 37 RGPD)
  8. 8. www.earlegal.beGroupe Larcier / Lexing 1. Traitement par une autorité publique ou un organisme public Notion d’autorité publique ? RGPD : pas de définition  droit national // avec marchés publics ? Avis 243 G29 au sujet délégué à la protection des données  dès que mission d’intérêt public (// cons. 45)  Devrait se considérer comme autorité publique Hôpital public = autorité publique 8
  9. 9. www.earlegal.beGroupe Larcier / Lexing 1. Suivi Tracking  géolocalisation des véhicules d’entreprise, contrôle utilisation d’internet, déplacements via transports en commun, objets connectés, vidéosurveillance Profilage Pour prise de décision  solvabilité, prévention des fraudes Ou pour prédire préférences/comportements  publicité comportementale, programme de fidélité Pas seulement en ligne 2. Régulier (fréquence) 3. Systématique (méthode) 4. A grande échelle Pas de nombre précis dans GDPR ou lignes directrices, seulement exemples (par un hôpital >< cabinet unipersonnel) facteurs à prendre en compte : Nombre de données Étendue géographique Durée 2. Suivi régulier et systématique à grande échelle des personnes concernées
  10. 10. www.earlegal.beGroupe Larcier / Lexing 1. Données particulières Art 9 : données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données concernant la santé, des données génétiques, des données biométriques, des données concernant la vie sexuelle ou l'orientation sexuelle, Art. 10 relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, 2. A grande échelle 3. Traitement de données « particulières » à grande échelle
  11. 11. www.earlegal.beGroupe Larcier / Lexing 11
  12. 12. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Autorité publique •  DPD obligatoire Commune de 10.000 habitants • Examen de solvabilité  DPD obligatoire • Vidéosurveillance  DPD obligatoire Filiale belge d’une banque néerlandaise
  13. 13. www.earlegal.beGroupe Larcier / Lexing Quelle obligation pour le sous-traitant ? Mêmes cas obligatoires: Si le responsable de traitement doit designer un DPD, doit-il obligatoirement faire appel à un sous-traitant qui a désigné un DPD ?  NON  si chacun a un DPD  obl. de collaboration
  14. 14. www.earlegal.beGroupe Larcier / Lexing En dehors de ces 3 cas 14 Choix SOIT : Désignation facultative Mission aussi étendue que si DPD obligatoire Aucun avantage pour RT/ST SOIT : Ne désigne pas de DPD Garder trace des éléments de décision (accountability) Eviter confusion si un employé en charge des questions de VP Evolution des activités et des traitements pourrait entraîner désignation obligatoire d’un DPD
  15. 15. www.earlegal.beGroupe Larcier / Lexing Contrôle par APD  possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si aucune coordonnée reçue en mai 2018 15 Désignation obligatoire / Désignation facultative Mission englobe TOUS les traitements (pas seulement ceux qui relèvent des 3 cas obligatoires) Communica-tion des coordonnées du DPD à APD
  16. 16. Groupe Larcier / Lexing www.earlegal.be 2. Quel DPD désigner ? 16
  17. 17. www.earlegal.beGroupe Larcier / Lexing Pas de formation minimale Pas d’approbation préalable (>< Conseiller en sécurité de l’information) Expertise EXPERTISE en droit de la protection des données Connaissance du secteur d’activités/ des procédures administratives COMPREHENSION des activités de traitement Capacités personnelles
  18. 18. www.earlegal.beGroupe Larcier / Lexing Pas en situation de conflits d’intérêts Peut exécuter d'autres tâches  attention aux conflits d’intérêts ! Interne >< poste de décision Pas juge et partie Conseiller en sécurité de l’information ? (Recom. APD)  amende de autorité bavaroise (manager IT) Examen préalable des postes conflictuels Documenter le processus Quid petites structures ? Externe Clients en conflit Peut aussi représenter en justice ou devant APD? NON  Déontologie avocat (>< autre prestataire externe) 18
  19. 19. www.earlegal.beGroupe Larcier / Lexing Aucun impact sur les tâches, ni pour les personnes concernées Interne ou externe
  20. 20. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Directeur général • Pas le temps de former qqn du service juridique • DPD externe Commune de 10.000 habitants • Responsable IT • Qqn du service juridique de la maison mère aux Pays-Bas ? Filiale belge d’une banque néerlandaise
  21. 21. www.earlegal.beGroupe Larcier / Lexing Un seul DPD pour plusieurs entités ? Ok pour autant que : 1.Pas surchargé 2.Facilement joignable à partir de chaque lieu d'établissement 3.Communique avec APD et personnes concernées dans langue du pays où l’entité est située : G29 : toujours dans la langue de l’APD ou de la personne concernée : excessif si produit/service fourni dans une autre langue APD : peut se faire aider de traducteurs 21
  22. 22. www.earlegal.beGroupe Larcier / Lexing G29 : ok pour autant que : répartition claire des tâches et 1 personne “en charge” Équipe multidisciplinaire plus efficace Langues Gestion des absences 1 DPD par branche d’activité, possible ? (ex : marchés publics/privés) Pas de réponse à ce stade  préférable équipe avec 1 responsable En équipe ?
  23. 23. www.earlegal.beGroupe Larcier / Lexing Un DPD impliqué Associé à toutes les questions relatives à la protection des données à caractère personnel au plus tôt (privacy by design) Informer personnel à tous les niveaux Présenter DPD au management senior et intermédiaire Inviter DPD régulièrement aux réunions (au minimum quand décisions ont un impact sur la protection des données) Développer lignes directrices internes % quand consulter DPD Coordonnées de contact communiquées à tous les travailleurs
  24. 24. www.earlegal.beGroupe Larcier / Lexing Un DPD outillé  Ressources nécessaires  Temps  Équipe  Matériel  Accès aux données à caractère personnel et aux opérations de traitement  Formation permanente
  25. 25. www.earlegal.beGroupe Larcier / Lexing Un DPD écouté Support de la direction Si son avis n’est pas suivi : documenter pourquoi  Accountability
  26. 26. www.earlegal.beGroupe Larcier / Lexing Un DPD indépendant et protégé Sanction : amende administrative (aucune indemnisation spécifique pour DPD) Quid si n’exécute pas correctement sa mission de DPD ? • Fait directement rapport au niveau le plus élevé de la direction • Aucune instruction, mais • pas de pouvoir décisionnel • pas d’obligation de dénonciation • Ne peut être licencié ou pénalisé (même simple menace) en raison de l'exercice de ses missions.
  27. 27. Groupe Larcier / Lexing www.earlegal.be 3. Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ? 27
  28. 28. www.earlegal.beGroupe Larcier / Lexing Article 39 : Mission minimale 28 CONSEIL DECISION CONSCIENTISATION INTERMEDIAIRE VERIFICATION Informer et conseiller sur les obligations qui leur incombent en vertu du RGPD et du droit belge % réalisation analyse d’impact Audits Sensibilisation Formation du personnel culture « vie privée » Point de contact pour l‘APD et personnes concernées Coopération avec l’APD
  29. 29. www.earlegal.beGroupe Larcier / Lexing Quelles priorités ? Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux opérations de traitement compte tenu de : la nature, la portée, du contexte et des finalités du traitement, Pas compliance parfaite immédiatement autorisation de négliger les “petits” traitements Détermination des risques Détermination de l’ampleur du travail à réaliser Priorités et traitements stratégiques 29
  30. 30. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs • Traitements des données de la population • Traitement des données du personnel communal Commune de 10.000 habitants • Données relatives à la solvabilité • Vidéosurveillance • Traitements hors UE • Données accidents de travail • Données salariales Filiale belge d’une banque néerlandaise
  31. 31. www.earlegal.beGroupe Larcier / Lexing Conseil 31 CONSEIL
  32. 32. www.earlegal.beGroupe Larcier / Lexing Conseil documents contractuels Base juridique Consentement : explicite + termes clairs Enfants âgés de moins de 16 ans Obligation de transparence renforcée
  33. 33. www.earlegal.beGroupe Larcier / Lexing Protection des données dès la conception Protection des données par défaut
  34. 34. www.earlegal.beGroupe Larcier / Lexing Conscientisation 34 CONSCIENTISATION
  35. 35. www.earlegal.beGroupe Larcier / Lexing Formation du personnel  Concepts  Risques  Nouvelle mentalité privacy by design/privacy by default  Réflexe de consulter le DPD  Délai de 8 semaines nécessaire pour avis préalable  Procédures mises en place  Simulation d’une brèche de sécurité  Simulation d’une « descente » de la Commission Vie Privée
  36. 36. www.earlegal.beGroupe Larcier / Lexing Vérification 36 VERIFICATION
  37. 37. www.earlegal.beGroupe Larcier / Lexing Registre des activités de traitement 37 La tenue du registre ne fait pas partie de la mission de base Responsabilité du RT/ST APD : DPD doit être impliqué dans le processus Nom et données de contact du DPD mentionnées dans le registre
  38. 38. www.earlegal.beGroupe Larcier / Lexing Analyse d’impact 38 La réalisation de l’analyse d’impact ne fait pas partie de la mission de base du DPD DPD donne son avis sur demande sur : • Obligation procéder à AIPD • Méthodologie • In house/outsourcing ? • Mesures de sécurité • Si AIPD correctement réalisée • Si nécessite un avis préalable de APD APD : même si DPD chargé de realiser l’analyse d’impact : pas une tâche solitaire, mais collective
  39. 39. www.earlegal.beGroupe Larcier / Lexing En cas de violation de données 39 • Conseil sur obligation ou non de notifier • Respect délai • Façon dont l’incident est documenté • Notification contient les données de contact du délégué
  40. 40. www.earlegal.beGroupe Larcier / Lexing Audits Audits réguliers Nouveaux traitements Effacement données plus justifiées Renouvellement AI tous les 3 ans (G29) (APD : tous les 2 ans) DPD interne : Échéancier de tâches sur l’année DPO externe : Audit ponctuel
  41. 41. www.earlegal.beGroupe Larcier / Lexing Obligation de dénonciation ? DPD doit-il alerter APD si on ne suit pas ses avis?  Pas d’obligation de dénoncer  Mettre fin à la mission // conseiller en sécurité de l’information Dénonciation incompatible avec secret professionnel de l’avocat 41
  42. 42. www.earlegal.beGroupe Larcier / Lexing Intermédiaire 42 INTERMEDIAIRE
  43. 43. www.earlegal.beGroupe Larcier / Lexing Point de contact pour APD Pouvoirs APD : Demande de renseignements Accès aux locaux Accès à la documentation Coopération : faciliter accès aux documents et fournir information  DPD ne doit pas traiter lui-même les demandes, mais s’assurer qu’on y répond + Consultation préalable + en cas violation de données
  44. 44. www.earlegal.beGroupe Larcier / Lexing Point de contact pour les personnes concernées DPD ne doit pas traiter lui-même les demandes, mais • s’assurer qu’on y répond • dans les 30 jours • transmettre les demandes aux destinataires des données
  45. 45. www.earlegal.beGroupe Larcier / Lexing Missions supplémentaires possibles : Tenue registre Réalisation analyse d’impact Collaboration avec DPD de clients potentiels Rédaction de clauses Réponse aux requêtes des personnes concernées Rédaction de procedures types Gestion des litiges en matière de vie privée … 45
  46. 46. www.earlegal.beGroupe Larcier / Lexing Pas de pouvoir décisionnel 46 DECISION
  47. 47. www.earlegal.beGroupe Larcier / Lexing Responsabilité DPD pas personnellement responsable de l’infraction commise par RT/ST (pas de pouvoir décisionnel) Externe Responsabilité contractuelle Responsabilité pénale ? Infraction volontaire ou complicité  Précautions contractuelles Interne // droit du travail classique
  48. 48. Groupe Larcier / Lexing www.earlegal.be 4. Quels aspects doivent être réglés dans le contrat du DPD ? 48
  49. 49. www.earlegal.beGroupe Larcier / Lexing Formalisme obligatoire ? Confidentialité (Article 38 (5)) Externe : DPD = sous-traitant ? ( Mentions obligatoires ?)  pas clair Parfois mission mixte (DPD+ plateforme IT)  prudent (amende et avenant ultérieurs)
  50. 50. www.earlegal.beGroupe Larcier / Lexing Précisions utiles Etendue de la mission (incertitude) Interne : accord sur changement de nature de la fonction Charge de travail Période de transition pour la mise en oeuvre Temps hebdomadaire Rapporte au niveau de décision le plus élevé Qui ? Organisation concrète ?
  51. 51. www.earlegal.beGroupe Larcier / Lexing Quant à la fin du contrat Pas de durée minimale G29 : importance de la stabilité du DPD APD sera informée d’un changement de DPD (externe) : mode de communication des infos au nouveau prestataire Licenciement : à ce stade, pas de dérogation à CCT 109 Rester attentif à future loi : charge de la preuve des motifs Mode de calcul des avantages et d’obtention des promotions (dans le règlement de travail) Pour éviter que refus soit considéré comme une sanction déguisée (externe) indemnisation forfaitaire en cas de résiliation injustifiée
  52. 52. www.earlegal.beGroupe Larcier / Lexing Nos fils conducteurs Commune : DPD externe Filiale: DPD interne pour plusieurs sociétés du groupe Confidentialité Étendue mission Modalités de rapport avec la direction Durée contrat Formalisme ST Pers. phys. en charge Communication au nouveau prest. Indemnisation forfaitaire Responsabilité Motifs possibles de fin contrat + charge preuve Changement de fonction Charge de travail (Motifs raisonnables de licenciement)
  53. 53. www.earlegal.beGroupe Larcier / Lexing Plan d’action Obligation/o pportunité de désigner un DPD Procédure de recrutement interne /externe Adaptation du contrat de travail actuel / contrat de service Signaler à APD

×