Embed Size (px)
Citation preview
Principes du Règlement général sur la protection des données (RGPD)
Juin 2018
Un nouveau vent, pas un ouragan!
Introduction
Pourquoi le RGPD est-il nécessaire ?
Besoin d'une harmonisation des
législations nationales en matière de
protection de la vie privée au sein
de l'Europe
Adaptation des règles à la nouvelle
réalité numérique
Offrir au citoyen plus de contrôle sur
ses données.
Quels sont les avantages ?
Les mêmes règles pour tout le monde
Moins de charges et de coûts
administratifs
Plus de sécurité juridique
Une obligation de documentation à
remplir librement
Un traitement plus facile des données
au-delà des frontières
1 autorité de contrôle compétente
PARTIE I -
CHAMP D'APPLICATION
Champ d’application matériel
Le RGPD s'applique
au traitement de données à caractère personnel, automatisé en tout ou en
partie, ainsi qu'au traitement de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
Le RGPD ne s'applique
pas
Institutions européennes
Police, Justice & sécurité nationale
Usage domestique
Champ d'application matériel (article 2)
Champ d'application territorial (article 3)
Responsable du traitement ou sous-traitant établis au
sein de l'UE
• Que le traitement ait lieu ou non dans l'UE
Responsable du traitement ou sous-traitant non établis
au sein de l'UE
• La personne concernée se trouve au sein de l'UE, et
• Le traitement est lié :
• à l'offre de biens ou de services à la personne concernée dans l'UE
• Au suivi du comportement de la personne concernée, dans la mesure où il a lieu au sein de l'UE
Définitions (article 4)
traitement
données à caractère personnel
profilage fichier
tiers …sous-traitant
Le bon réflexe : vérifier les définitions lors de l’application du règlement
PARTIE II - PRINCIPES
Principes relatifs au traitement des données à caractère personnel
(article 5)
Responsabilité ("accountability")
Exactitude
Licite, loyal et transparent
Limitation des finalités
Intégrité et confidentialité
Minimisation des données
Limitation de la conservation
Licite, loyal et transparent
• Motif de traitement légitime
• Traitement loyal
• Information de la personne concernée
o Termes clairs
o Règles, risques et droits
Licéité du traitement (article 6)
Consentement de la personne concernée
Contrat
Obligation légale
Intérêt vital de la personne concernée ou d’une autre personne
Intérêt public
Intérêt légitime
Pour être licite, le traitement doit se fonder sur 1 des 6 fondements suivants :
Conditions applicables au consentement (article 7)
La personne concernée donne son consentement pour le traitement de données en vue d’une ou plusieurs finalités spécifiques
- Libre
- Spécifique
- Informé
- Indubitable
- Acte positif
- Démontrable
- La personne concernée a le droit de retirer son consentement à tout moment (sans incidence sur la licéité du traitement qui précède ce retrait)
Limitation des finalités
• Finalités déterminées, explicites
et légitimes
• Pas de traitement ultérieur d’une
manière incompatible avec ces
finalités (voir également l’article 6.4)
Minimisation des données & exactitude
• Les données doivent être adéquates,
pertinentes et limitées à ce qui est
nécessaire pour la finalité pour
laquelle elles sont traitées
• Ne traitez donc que le strict minimum
• Les données doivent être adéquates
Limitation de conservation
Les données ne peuvent pas être
conservées pendant une durée
excédant celle nécessaire à la
réalisation des finalités pour
lesquelles elles sont traitées.
Intégrité et confidentialité
• Traitement selon un niveau de
sécurité suffisant en utilisant des
mesures techniques et
organisationnelles adéquates
• Protection contre tout traitement non-
autorisé ou illégal et contre la perte,
la destruction ou l'altération des
données
Responsabilité
• Le responsable du
traitement/sous-traitant est
responsable du respect des
principes du règlement, peu
importe le niveau de risque
• Charge de la preuve
Catégories particulières de données à caractère personnel
(article 9)
Traitement de données à caractère personnel
révélant
• l'origine raciale
• l'origine ethnique,
• les opinions politiques,
• les convictions religieuses ou philosophiques
• l'appartenance syndicale
Et le traitement de
• données génétiques
• données biométriques en vue de l'identification unique d'une personne
• données relatives à la santé
• données concernant la vie sexuelle ou l'orientation sexuelle d'une personne
= INTERDIT, sauf si ...
Principe
Catégories particulières de données à caractère personnel
Exceptions au principe d’interdiction de traitement
consentement explicite de la personne concernée
le traitement est nécessaire en matière de droit du travail et de droit de la sécurité sociale
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
par une association à but non lucratif poursuivant une finalité syndicale, dans le cadre de ses activités légitimes et moyennant les garanties appropriées
le traitement porte sur des données qui sont manifestement rendues publiques par la personne concernée
Catégories particulières de données à caractère personnel
Exceptions au principe d’interdiction de traitement
le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice
le traitement est nécessaire pour des motifs d’intérêt public importants
le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur ou de diagnostics médicaux
le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique
NOUVEAUTÉ ! le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Données relatives aux condamnations pénales et aux infractions
(article 10)
Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre, moyennant des garanties appropriées pour les droits et libertés des personnes concernées.
Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
PARTIE III -
DROITS DE LA PERSONNE CONCERNÉE
• Droit à l'information
• Droit d'accès aux données à caractère personnel
• Droit de rectification
• Droit à l’effacement
• Droit à la limitation du traitement
• Droit d'opposition
• Droit d'opposition à une prise de décision automatisée, y compris le profilage
• NOUVEAUTÉ ! Droit à la portabilité des données
Droits de la personne concernée
Droits de la personne concernée (articles 12 e.s.)
Le droit à l'information (articles 13 et 14)
Informations à fournir lorsque des données sont collectées auprès de la personne concernée
Informations à fournir lorsque des données ne sont pas collectées auprès de la personne concernée
L'identité et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données
Les finalités du traitement auquel sont destinées les données ainsi que la base juridique du traitement
Lorsque le traitement est fondé sur l'article 6 (1)(f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
Les catégories de données à caractère personnel concernées
Les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent
Si d’application, le fait que le responsable du traitement a l’intention de transmettre les données vers un pays tiers ou une organisation internationale ; ou s’il existe ou non une décision d'adéquation de la Commission européenne ; quelles sont les garanties appropriées ou adaptées ; les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition
Informations supplémentaires lorsque des données sont collectées auprès de la personne concernée
Informations complémentaires à fournir lorsque des données ne sont pas collectées auprès de la personne concernée
L’existence du droit d’accès et de rectification ou d’effacement des données, de limitation du traitement, le droit de s’opposer au traitement et le droit à la portabilité des données
Le droit de retirer son consentement à tout moment, pour les traitements basés sur l’article 6.1(a) ou 9.2(a)
Le droit d'introduire une réclamation auprès d'une autorité de contrôle.
L'existence d'une prise de décision automatisée, y compris un profilage, visé à l'article 22, (1 et 4), et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée
La durée de conservation des données ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée
Lorsque le traitement est fondé sur l'article 6(1) (f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
Des informations précisant si la fourniture de données est une obligation légale ou contractuelle ou si elle constitue une condition nécessaire à la conclusion d'un contrat et si la personne concernée est tenue de fournir les données + les conséquences éventuelles de la non-communication de ces données
La source d'où proviennent les données et, si d'application, une mention indiquant qu'elles sont issues ou non de sources accessibles au public.
Droit à l'information (article 13)
Droit d'accès aux données à caractère personnel (article 15)
Quelles données ?
* Si des données sont traitées
* Si oui, donner l’accès et des informations sur le traitement :
quelles données ?, quelle finalité ?, délai de conservation ?, …
* Informer au sujet des partenaires avec lesquels vous partagez les
données
Droits sur les données
* Le responsable du traitement fournit gratuitement une copie des données à la personne concernée
* Les copies supplémentaires peuvent être facturées
* Sans porter préjudice aux droits de tiers : secret professionnel,
droits de propriété intellectuelle, copyright
Droit de rectification (article 16)
La personne concernée a le droit d'obtenir du responsable du traitement la rectification des données la concernant qui sont inexactes.
En fonction de la finalité du traitement, la personne concernée a le droit d’obtenir que les données incomplètes soient complétées, y compris en fournissant des informations complémentaires .
• Les données ne sont plus nécessaires au regard des finalités
• La personne concernée retire son consentement sur lequel se fonde le traitement
• La personne concernée s’oppose au traitement
• les données ont fait l'objet d'un traitement illicite
• Les données doivent être effacées pour respecter une obligation légale
• Les données ont été collectées dans le cadre d'une offre de services, visée à l'article 8 (1)
without undue
Droit à l'effacement ("droit à l'oubli") (article 17)
Effacement immédiat
À l’égard de tiers
Si le responsable du traitement a rendu publiques les données, il prend, compte tenu des technologies disponibles et des coûts, des mesures raisonnables pour informer les tiers avec lesquels les données ont été partagées que la personne concernée souhaite l'effacement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
• Pour l'exercice du droit à la liberté d'expression et d'information;
• pour respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
• pour des motifs d'intérêt public dans le domaine de la santé publique
• à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques
• pour la constatation, l’exercice ou la défense de droits en justice
Exceptions au droit à
l’effacement
Droit à l'effacement ("droit à l'oubli") (article 17)
Si l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier leur exactitude
Si le traitement est illicite et que la personne concernée s’oppose à l’effacement des données à caractère personnel et qu’elle demande un traitement limité
Si le responsable du traitement n'a plus besoin des données à caractère personnel pour les finalités mais que la personne concernée en a besoin pour la constatation, l'exercice ou la défense de droits en justice
Si la personne concernée s’est opposée au traitement ; en attendant la réponse à la question de savoir si les motifs légitimes prévalent sur ceux de la personne concernée
Le droit à la limitation du traitement (article 18)
Exception faite de la conservation, le traitement n'est possible que s’il y a :
- Consentement - Actions juridiques - Besoin de protéger
les droits de tiers - Intérêt public
Transparence des informations et modalités de
l’exercice des droits (article 12)
Clarté
* Informer la personne concernée d'une façon concise,
compréhensible et aisément accessible
* En des termes clairs
* Surtout si l’information est destinée à un enfant
* Par écrit et au besoin par voie électronique
* Informations fournies oralement si la personne concernée en fait la
demande
Gratuité
* Gratuit
* Sauf si les demandes sont manifestement infondées ou
excessives, le paiement de frais raisonnables peut être réclamé ou
le responsable peut refuser la demande
* Sans porter préjudice aux droits de tiers : secret professionnel,
droits de propriété intellectuelle, copyright
Déclaration de confidentialité
Transparence des informations et modalités de
l’exercice des droits (article 12)
Sans tarder
En tout cas dans un délai d'un mois à compter de la demande ; Ce délai peut au besoin être prolongé de 2 mois, compte tenu de la complexité ou du nombre de demandes ; la personne concernée est
informée de cette prolongation dans un délai d'un mois à compter de la réception
de la demande ; par voie électronique, lorsque cela est possible
Si aucune suite n’est donnée à la demande, il faut en informer la personne
concernée au plus tard dans un délai d'un mois à compter de la réception de la
demande ; et lui communiquer les motifs de l’absence de suite et la possibilité
d'introduire une réclamation auprès d'une autorité de contrôle
Avec prudence
Le responsable du traitement facilite l’exercice des droits de la
personne concernée. Il ne peut pas refuser de donner suite à une
demande de la personne concernée,sauf s’il démontre qu’il ne peut pas
identifier la personne concernée
Si le responsable du traitement a des doutes raisonnables quant à l'identité du demandeur, il peut
demander que lui soient fournies des informations supplémentaires
nécessaires pour confirmer l'identité de la personne concernée
Déclaration de confidentialité
La personne concernée a le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.
Droit à la portabilité (article 20)
• Le traitement se fonde sur le consentement
• Le traitement est basé sur un contrat
• Le traitement est effectué à l'aide de procédés automatisés
Quand ?
• La personne concernée a le droit de recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine
• La personne concernée a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle.
Quoi ?
Droit à la portabilité
Traitement basé sur un intérêt général ou
un intérêt légitime
le responsable du traitement ne traite plus les données à la demande de la
personne concernée
À moins que le responsable du traitement ne démontre qu'il existe des
motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne
concernée, ou pour les droits en justice
traitement à des fins de "prospection"
La personne concernée a le droit de s’y opposer à tout
moment, y compris au profilage
Les données ne sont plus traitées à des fins de
prospection
Droit d’opposition (article 21)
• La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant
Quoi ?
• La décision est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement
• La décision est autorisée par une disposition légale applicable au responsable du traitement, moyennant la prévision de mesures de protection appropriées
• La décision est fondée sur le consentement explicite de la personne concernée
Pas valable
si :
Droit de s’opposer à une décision automatisée
(article 22)
- Droit d'obtenir une intervention humaine
- Droit d'exprimer son point de vue
- Droit de contester la décision
Limitation des droits (article 23)
Pour garantir la sécurité nationale et publique, la défense nationale et l'intérêt public
Pour la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou les violations de codes professionnels ou pour l'exécution de sanctions pénales
Pour la protection de l'indépendance de la justice et des procédures judiciaires
Pour garantir le contrôle, l'inspection ou la réglementation liée à l'exercice de l'autorité publique
Pour la protection de la personne concernée ou des droits et libertés d'autrui
Pour l'exécution des demandes de droit civil
Le législateur PEUT introduire des limitations :
PARTIE IV -
OBLIGATIONS DU RESPONSABLE DU
TRAITEMENT & DU SOUS-TRAITANT
Obligations du responsable du traitement et du sous-
traitant (articles 24 e.s.)
"Responsabilité" Pas d'approche "one-size-fits-all"
Obligations du responsable du traitement et du sous-traitant
Délégué à la protection des
données
Choisir un sous-traitant
fiable
Désigner un représentant
Protection des données
dès la conception et
par défaut
Registre des activités de traitement
Obligation de déclaration de fuites de
données
Sécurité
Analyse d'impact
relative à la protection des
données
Protection des données dès la conception & par défaut
(article 25)
Dès la conception ("privacy by design")
• Dès le développement d’applications, de services et de produits qui traitent des données, le responsable du traitement prend des mesures techniques et organisationnelles appropriées pour mettre en oeuvre les principes relatifs à la protection des données
• Par exemple pseudonimisation, minimisation de données…
Par défaut ("privacy by default")
• Le responsable du traitement prend des mesures techniques et organisationnelles appropriées pour veiller à ce que la protection des données soit le paramètre par défaut
• Par exemple opt-in …
Registre des activités de traitement (article 30)
Directive 1995
Obligation pour le responsable de déclarer le traitement auprès de
la DPA
RGPD, d'application à
partir du 25 mai 2018
Obligation de tenir un registre des activités de
traitement
Responsable du traitement
Sous-traitant
L'article 30 énumère les éléments qui doivent être contenus dans le registre
Le registre doit être tenu sous une forme écrite, y compris la forme électronique,
Le registre doit être mis à disposition de l’autorité de contrôle, sur demande
Registre des activités de traitement
Exception limitée pour les PME (entreprise ≤ 250 travailleurs)
A priori, elles n’y sont pas soumises, sauf dans 3 cas :
elles effectuent un traitement risqué
le traitement n’est pas occasionnel
le traitement comporte des données sensibles
La Commission vie privée recommande dès lors que tout le monde tienne un registre
Recommandation d’initiative (06/2017)
Analyse d’impact relative à la protection des données
(article 35)
Quand ?
• Lorsqu’un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit effectuer, avant le traitement, une analyse d’impact
Quoi ?
• Description du traitement et des finalités
• Évaluation de la nécessité et de la proportionnalité du traitement
• Évaluation des risques pour les droits et libertés des personnes concernées
• Les mesures envisagées pour faire face aux risques.
Cas obligatoires
• Une évaluation systématique d’aspects personnels concernant des personnes physiques, y compris le profilage, avec des effets juridiques ou similaires
• Un traitement à grande échelle de catégories particulières de données à caractère personnel ou de données pénales
• Surveillance systématique à grande échelle d'une zone accessible au public
Sécurité du traitement (article 32)
Le responsable du traitement et le sous-traitant prennent les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Risques potentiels que présente le traitement, résultant de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données.
Le responsable du traitement et le sous-traitant prennent des mesures pour veiller à ce que toute personne agissant sous leur autorité et ayant accès à des données à caractère personnel, ne les traite que sur leur instruction.
• Dans les meilleurs délais, au plus tard 72 heures après avoir pris connaissance de la fuite de données – contenu de l’obligation de notification décrit à l’article 33(3)
• À MOINS qu'il soit peu probable que la fuite de données en question n'engendre des risques pour les droits et les libertés des personnes physiques
• Le sous-traitant informe le responsable du traitement dans les meilleurs délais
• Le responsable du traitement documente en interne TOUTES les fuites de données
Notification de fuite de données
au contrôleur
(article 33)
• Dans les meilleurs délais
• Communication à la personne concernée d’au moins : les coordonnées du DPO ou d’un autre point de contact ; les conséquences probables et mesures que le responsable du traitement a proposées ou prises pour remédier à la fuite de données et aux éventuelles conséquences négatives
• Notification obligatoire si la fuite de données entraîne un risque élevé
Notification de fuite de données à
la personne concernée
(article 34)
Obligation de declaration de fuites de données (articles 33 e.s.)
Sous-traitant (article 28)
Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement.
Le traitement par un sous-traitant est régi par un contrat qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel …
Ce contrat se présente sous une forme écrite, y compris en format électronique.
Si, en violation du règlement, un sous-traitant détermine les finalités et les moyens du traitement, ce sous-traitant est considéré comme un responsable du traitement.
Délégué à la protection des données ("DPO") (articles 37 e.s.)
Désignation (article 37)
• autorité publique ou organisme public
• principalement chargé de traitements à grande échelle qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique
• principalement chargé d'un traitement à grande échelle de catégories particulières de données
dans d’autres cas, un délégué à la protection des données peut ou, si le droit de l'Union ou le droit d'un État membre l'exige, doit être désigné
OBLIGATOIRE
FACULTATIF
Délégué à la protection des données
Fonction (article 38)
1. Associer le DPO, d'une manière appropriée et en temps utile, à
toutes les questions relatives à la protection des données à caractère
personnel
2. Aider le DPO à exercer ses missions en lui fournissant les accès et les ressources nécessaires pour exercer ces missions et
en lui permettant d'entretenir ses connaissances spécialisées
3. Le DPO est indépendant et ne
reçoit aucune instruction en ce
qui concerne l'exécution de ses
missions
4. Le DPO ne peut être relevé de ses
fonctions ou pénalisé pour
l'exercice de ses missions et fait
directement rapport au niveau le plus
élevé de la direction
6. La personne concernée peut prendre contact avec
le DPO pour exercer ses droits
Délégué à la protection des données
Tâches minimales (article 39)
contrôler le respect du règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant
informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur les obligations qui leur incombent en vertu du règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données
dispenser des conseils en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci
coopérer avec l'autorité de contrôle
PARTIE V -
TRANSFERT DE DONNÉES À CARACTÈRE
PERSONNEL VERS DES PAYS TIERS OU À DES
ORGANISATIONS INTERNATIONALES
Pas de modifications fondamentales
Principe : interdiction des transferts en dehors de
l'UE et de l'Espace Économique Européen
Uniquement avec décision d'adéquation,
garanties suffisantes (BCR, SCC) ou réserve
Nouveaux outils pour régir les transferts : codes
de conduite, certifications
Plus d'autorisation préalable pour certains
outils
Transferts de données internationaux vers des pays tiers
(articles 44 e.s.)
PARTIE VI -
AUTORITÉS DE CONTRÔLE INDÉPENDANTES
Compétence de l'autorité de contrôle (article 55)
Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au règlement sur le territoire de l'État membre dont elle relève.
Lorsque le traitement est légalement obligatoire ou implique une tâche d'intérêt public, l'autorité de contrôle de l'État membre concerné est compétente.
Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.
Compétence de l'autorité de contrôle chef de file (article 56)
• l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60.
Établissement principal ou
établissement unique sur son
territoire
• chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.
Réclamation au sujet de l’établissement dans son
État membre ou de l’impact sur les personnes concernées dans son État
membre
contrôle de l'application du règlement et surveillance du respect de celui-ci ; sensibilisation du public ; conseils au sujet des mesures législatives et administratives ; sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne leurs obligations ; information de la personne concernée ; traitement des réclamations ; partage des informations avec d’autres contrôleurs …
réalisation d'enquêtes ; suivi des évolutions pertinentes ; adoption des clauses contractuelles types ; encouragement de l'élaboration de codes de conduite ; contribution aux activités du comité …
émission d'un avis et approbation des codes de conduite ; encouragement de la mise en place demécanismes de certification et approbation des critères ; examen périodique des certifications ; rédaction et publication des critères d'agrément d'un organisme de certification ; approbation des règles d'entreprise contraignantes …
toute autre mission relative à la protection des données à caractère personnel
Missions de l’autorité de contrôle (article 57)
Tâches de l’autorité de contrôle (article 58) Po
uvo
irs
d’e
nq
uêt
e (a
rtic
le 5
8.1
)
• Ordre de communiquer des informations
• Audits sur la protection des données
• Examen des certifications
• Accès à toutes les informations nécessaires
• Accès à tous les locaux
Pou
voir
s d
’au
tori
sati
on
et c
on
sult
atif
s (a
rtic
le 5
8.3
)
• Conseiller conformément à la procédure de consultation préalable
• Émettre des avis
• Approuver des projets de codes de conduite
• Fixer des critères de certification et d’agrément
• Adopter des clauses types
• Approuver des règles d'entreprise contraignantes
Mes
ure
s co
rre
ctri
ces
(art
icle
58
.2)
• Avertissement
• Rappel à l'ordre
• Ordonner l’exercice des droits de la personne concernée
• Informer au sujet d’une violation
• Imposer une limitation temporaire ou définitive ou une interdiction du traitement
• Ordonner l'effacement de données ou la limitation du traitement
• Retirer une certification
• Sanction administrative
• Suspendre des flux de données
PARTIE VII -
COOPÉRATION ET COHÉRENCE
Coopération – "One-stop-shop"
(mécanisme du guichet unique - article 60)
Établissement principal en BelgiqueLe contrôleur belge prend la direction
Établissement principal en SuèdeLe contrôleur suédois prend la direction
"Traitements transfrontalier dans l'UE" : déterminer le lieu de l'établissement principal
Coopération – "One-stop-shop" (mécanisme du guichet unique)
(article 60)
Les autres contrôleurs "concernés" ne sont pas exclus !
En coulisses, ils coopèrent pour parvenir à un consensus
PARTIE VIII -
VOIES DE RECOURS, RESPONSABILITÉ ET
SANCTIONS
Réclamation auprès d'une autorité de contrôle (article 77)
Réclamation contre une autorité de contrôle (article 78)
Recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant (article 79)
Représentation de la personne concernée (article 80)
Recours (articles 77 e.s.)
Amendes administratives (article 83)
Montant des amendes
- jusqu'à 10 millions d’euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent
Violation des articles 8, 11, 25-39, 41.4, 42 et 43
- jusqu'à 20 millions d’euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent
Violation des articles 5-7, 9, 12-22, 44-49, Chapitre IX, 58.1 et 58.2
PARTIE IX -
DISPOSITIONS RELATIVES À DES SITUATIONS
PARTICULIÈRES DE TRAITEMENT
Conciliation du droit à la protection des données et du droit à la liberté d'expression et d'information (article 85)
L’État membre prévoit des exemptions ou des dérogations pour des fins journalistiques, universitaires, artistiques ou littéraires (article 85)
Conciliation du droit d'accès du public aux documents officiels, conformément au règlement (article 86)
L’État membre peut préciser les conditions spécifiques du traitement d'un numéro d'identification national (article 87)
Situations particulières (articles 85 e.s.)
Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques dans le cadre des relations de travail (article 88)
Les États membres peuvent adopter des règles spécifiques pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret (article 90)
Les règles existantes des églises et associations ou communautés religieuses en matière de protection des données restent d'application à condition de les mettre en conformité avec le règlement (article 91)
Situations particulières (articles 85 e.s.)
Plus d'infos
Que pouvez-vous attendre de la APD ?
Des dossiers thématiques sur des notions clés du RGPD disponibles sur le site Internet
La publication de lignes directrices européennes
La publication de FAQ que vous pouvez utiliser comme fil conducteur
Des explications sur la législation via les fédérations et les organisations sectorielles
www.autoriteprotectiondonnees.be
