earlegal #5 - radiographie du délégué à la protection des données

Radiographie du délégué à la protection des données

Jean-François HENROTTE

Fanny COTON

www.earlegal.beGroupe Larcier / Lexing

Cadre légal

Aujourd’huiDirective 95/46 – Loi du 8/12/1992

Rares cas : conseiller en sécurité de l’information

25/05/2018 : Règlement général 2016/679 du 27/04/16 sur la

protection des données (RGPD/GDPR) Délégué à la protection des données (DPD/DPO)

Projet de loi belge :

CPVP Autorité de Protection des Données

2


Programme

Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?

Quel DPD désigner ?

Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?

Quels aspects doivent être réglés dans le contrat du DPD ?

3


Nos fils conducteurs

• Directeur général (ex secrétaire communal) se

propose pour veiller à la mise en œuvre du RGPD

• Doit-il y avoir un DPD ?

• Si oui, le Directeur général peut-il être le DPD ?

Commune de

10.000

habitants

• 200 employés

• Responsable IT est pressenti pour veiller à la mise

en œuvre du RGPD

Filiale belge

d’une banque

néerlandaise

Groupe Larcier / Lexing www.earlegal.be

1.

Dans quel cas une entreprise doit-elle désigner un DPD?

5


Enjeux

6

Amendes : maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice

précédent

RéputationConfiance


Pas une question de taille de l’entreprise :

(abandon du critère des 5.000 personnes concernées)

Obligatoire dans 3 cas :

MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires risque de disparités nationales

À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?)

Quand désigner un DPD ? (Art. 37 RGPD)


1. Traitement par une autorité publique ou un organisme public

Notion d’autorité publique ?

RGPD : pas de définition droit national

// avec marchés publics ?

Avis 243 G29 au sujet délégué à la protection des données

dès que mission d’intérêt public (// cons. 45)

Devrait se considérer comme autorité publiqueHôpital public = autorité publique

8


1. Suivi

Tracking géolocalisation des véhicules d’entreprise, contrôle utilisation d’internet, déplacements via transports en commun, objets connectés, vidéosurveillance

Profilage

Pour prise de décision

solvabilité, prévention des fraudes

Ou pour prédire préférences/comportements

publicité comportementale, programme de fidélité

Pas seulement en ligne

2. Régulier (fréquence)

3. Systématique (méthode)

4. A grande échelle Pas de nombre précis dans GDPR ou lignes directrices, seulement

exemples (par un hôpital >< cabinet unipersonnel)

facteurs à prendre en compte :Nombre de données

Étendue géographique

Durée

2. Suivi régulier et systématique à grande échelle des personnes concernées


1. Données particulièresArt 9 : données à caractère personnel qui révèlent

l'origine raciale ou ethnique,

les opinions politiques,

les convictions religieuses ou philosophiques,

l'appartenance syndicale,

des données concernant la santé,

des données génétiques,

des données biométriques,

des données concernant la vie sexuelle

ou l'orientation sexuelle,

Art. 10relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes,

2. A grande échelle

3. Traitement de données « particulières » à grande échelle

www.earlegal.beGroupe Larcier / Lexing 11



• Autorité publique

• DPD obligatoire

Commune de

10.000

habitants

• Examen de solvabilité DPD

obligatoire

• Vidéosurveillance DPD

obligatoire

Filiale belge

d’une banque

néerlandaise


Quelle obligation pour le sous-traitant ?

Mêmes cas obligatoires:

Si le responsable de traitement doit designer un DPD, doit-ilobligatoirement faire appel à un sous-traitant qui a désigné un DPD ?

NON

si chacun a un DPD obl. de collaboration


En dehors de ces 3 cas

14

Choix

SOIT :

Désignation facultative

Mission aussi étendue

que si DPD obligatoire

Aucun avantage

pour RT/ST

SOIT :

Ne désigne pas de DPD

Garder trace des éléments de décision

(accountability)

Eviter confusion si un employé en

charge des questions de VP

Evolution des activités et des

traitements pourrait entraîner

désignation obligatoire d’un DPD


Contrôle par APD

possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si aucune coordonnée reçue en mai 2018

15

Désignation

obligatoire

/

Désignation

facultative

Mission englobe

TOUS les

traitements

(pas seulement

ceux qui

relèvent des 3

cas obligatoires)

Communica-tion

des coordonnées

du DPD à APD


2.

Quel DPD désigner ?

16


Pas de formation minimale

Pas d’approbation préalable (>< Conseiller en sécurité de l’information)

Expertise

EXPERTISE

en droit

de la protection

des données

Connaissance du

secteur d’activités/

des procédures

administratives

COMPREHENSION

des activités de

traitement Capacités

personnelles


Pas en situation de conflits d’intérêts

Peut exécuter d'autres tâches

attention aux conflits d’intérêts !

Interne >< poste de décision

Pas juge et partie

Conseiller en sécurité de l’information ? (Recom. APD)

amende de autorité bavaroise (manager IT)

Examen préalable des postes conflictuels

Documenter le processus

Quid petites structures ?

Externe

Clients en conflit

Peut aussi représenter en justice ou devant APD?

NON Déontologie avocat (>< autre prestataire externe)18


Aucun impact sur les tâches,

ni pour les personnes concernées

Interne ou externe



• Directeur général

• Pas le temps de former qqn du

service juridique

• DPD externe

Commune de

10.000

habitants

• Responsable IT

• Qqn du service juridique de la

maison mère aux Pays-Bas ?

Filiale belge

d’une banque

néerlandaise


Un seul DPD pour plusieurs entités ?

Ok pour autant que :

1.Pas surchargé

2.Facilement joignable à partir de chaque lieu d'établissement

3.Communique avec APD et personnes concernées dans langue du pays où l’entité est située :

G29 : toujours dans la langue de l’APD ou de la personne concernée : excessif si produit/service fourni dans une autre langue

APD : peut se faire aider de traducteurs

21


G29 : ok pour autant que :

répartition claire des tâches

et 1 personne “en charge”

Équipe multidisciplinaire plus efficace

Langues

Gestion des absences

1 DPD par branche d’activité, possible ?

(ex : marchés publics/privés)

Pas de réponse à ce stade

préférable équipe avec 1 responsable

En équipe ?


Un DPD impliqué

Associé à toutes les questions relatives à la protection des données à caractère personnel

au plus tôt (privacy by design)

Informer personnel à tous les niveaux

Présenter DPD au management senior et intermédiaire

Inviter DPD régulièrement aux réunions (au minimum quand décisions ont un impact sur la protection des données)

Développer lignes directrices internes % quand consulter DPD

Coordonnées de contact communiquées à tous les travailleurs


Un DPD outillé

Ressources nécessaires Temps

Équipe

Matériel

Accès aux données à caractère personnel et aux opérations de traitement

Formation permanente


Un DPD écouté

Support de la direction

Si son avis n’estpas suivi :

documenter pourquoi

Accountability


Un DPD indépendant et protégé

Sanction : amende administrative

(aucune indemnisation spécifique pour DPD)

Quid si n’exécute pas correctement sa mission de DPD ?

• Fait directement rapport au niveau le plus élevé de la direction

• Aucune instruction, mais • pas de pouvoir décisionnel• pas d’obligation de dénonciation

• Ne peut être licencié ou pénalisé (même simple menace) en raison de l'exercice de ses missions.


3.

Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?

27


Article 39 : Mission minimale

28

CONSEIL

DECISION

CONSCIENTISATION

INTERMEDIAIRE

VERIFICATION

Informer et conseiller sur les obligations qui leur incombent en vertu du RGPD et du droit belge

% réalisation analyse d’impactAudits

Sensibilisation Formation du personnel

culture « vie privée »

Point de contact pour l‘APD et personnes concernéesCoopération avec l’APD


Quelles priorités ?

Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux opérations de traitement compte tenu de :

la nature,

la portée,

du contexte

et des finalités du traitement,

Pas compliance parfaite immédiatement

autorisation de négliger les “petits” traitements

Détermination des risques

Détermination de l’ampleur du travail à réaliser

Priorités et traitements stratégiques

29



• Traitements des données de la

population

• Traitement des données du personnel

communal

Commune de

10.000

habitants

• Données relatives à la solvabilité

• Vidéosurveillance

• Traitements hors UE

• Données accidents de travail

• Données salariales

Filiale belge

d’une banque

néerlandaise


Conseil

31

CONSEIL


Conseil documents contractuels

Base juridique

Consentement : explicite + termes clairs

Enfants âgés de moins de 16 ans

Obligation de transparence renforcée


Protection des données dès la conception Protection des données par défaut


Conscientisation

34

CONSCIENTISATION


Formation du personnel

Concepts

Risques

Nouvelle mentalité privacy bydesign/privacy by default

Réflexe de consulter le DPD

Délai de 8 semaines nécessairepour avis préalable

Procédures mises en place

Simulation d’une brèche de sécurité

Simulation d’une « descente » de laCommission Vie Privée


Vérification

36

VERIFICATION


Registre des activités de traitement

37

La tenue du registre ne fait pas partie de la mission de base

Responsabilité du RT/ST

APD : DPD doit être impliquédans le processus

Nom et données de contact du DPD mentionnées dans le registre


Analyse d’impact

38

La réalisation de l’analyse d’impact ne fait pas partie de la mission de base du DPD

DPD donne son avis sur demande sur :• Obligation procéder à AIPD• Méthodologie• In house/outsourcing ?• Mesures de sécurité• Si AIPD correctement réalisée• Si nécessite un avis préalable de APD

APD : même si DPD chargé de realiser l’analyse d’impact : pas une tâche solitaire, mais collective


En cas de violation de données

39

• Conseil sur obligation ou non de notifier

• Respect délai

• Façon dont l’incident est documenté

• Notification contient les données de contact du délégué


Audits

Audits réguliersNouveaux traitementsEffacement données plus justifiéesRenouvellement AI tous les 3 ans (G29)

(APD : tous les 2 ans)

DPD interne : Échéancier de tâches sur l’année

DPO externe : Audit ponctuel


Obligation de dénonciation ?

DPD doit-il alerter APD si on ne suit pas ses avis?

Pas d’obligation de dénoncer

Mettre fin à la mission

// conseiller en sécurité de l’information

Dénonciation incompatible avec secret professionnel de l’avocat

41


Intermédiaire

42

INTERMEDIAIRE


Point de contact pour APD

Pouvoirs APD :

Demande de renseignements

Accès aux locaux

Accès à la documentation

Coopération : faciliter accès aux documents et fournir information

DPD ne doit pas traiter lui-même les demandes, mais s’assurerqu’on y répond

+ Consultation préalable

+ en cas violation de données


Point de contact pour les personnes concernées

DPD ne doit pas traiter lui-même les demandes, mais• s’assurer qu’on y répond• dans les 30 jours• transmettre les demandes aux destinataires des données


Missions supplémentaires possibles :

Tenue registre

Réalisation analyse d’impact

Collaboration avec DPD de clients potentiels

Rédaction de clauses

Réponse aux requêtes des personnes concernées

Rédaction de procedures types

Gestion des litiges en matière de vie privée…

45


Pas de pouvoir décisionnel

46

DECISION


Responsabilité

DPD pas personnellementresponsable de l’infraction

commise par RT/ST

(pas de pouvoir décisionnel)

Externe

Responsabilité contractuelle

Responsabilité pénale ? Infraction

volontaire ou complicité

Précautions contractuelles

Interne

// droit du travail classique


4.

Quels aspects doivent être réglés dans le contrat du DPD ?

48


Formalisme obligatoire ?

Confidentialité (Article 38 (5))

Externe : DPD = sous-traitant ?

( Mentions obligatoires ?) pas clairParfois mission mixte (DPD+ plateforme IT)

prudent (amende et avenant ultérieurs)


Précisions utiles

Etendue de la mission (incertitude)

Interne : accord sur changement de

nature de la fonction

Charge de travail Période de transition pour la miseen oeuvre

Temps hebdomadaire

Rapporte au niveau de décision le plus élevé

Qui ? Organisation concrète ?


Quant à la fin du contrat

Pas de durée minimale

G29 : importance de la stabilité du DPD

APD sera informée d’un changement de DPD

(externe) : mode de communication des infos

au nouveau prestataire

Licenciement : à ce stade, pas de dérogation à CCT 109

Rester attentif à future loi : charge de la preuve des motifs

Mode de calcul des avantages et d’obtention des promotions

(dans le règlement de travail) Pour éviter que refus soit considéré

comme une sanction déguisée

(externe) indemnisation forfaitaire en cas de résiliation injustifiée



Commune :

DPD externe

Filiale:

DPD interne

pour plusieurs

sociétés du

groupe

Confidentialité

Étendue mission

Modalités de rapport avec la

direction

Durée contrat

Formalisme ST

Pers. phys. en charge

Communication au nouveau prest.

Indemnisation forfaitaire

ResponsabilitéMotifs possibles de fin

contrat + charge preuve

Changement de fonction

Charge de travail

(Motifs raisonnables de licenciement)


Plan d’action

Obligation/o

pportunité de

désigner un

DPD

Procédure de

recrutement

interne

/externe

Adaptation

du contrat de

travail actuel

/ contrat de

service

Signaler à

APD

earlegal #5 - radiographie du délégué à la protection des données

Law