Upload
lexing-belgium
View
81
Download
0
Embed Size (px)
Citation preview
❝La protection des données à caractère personnel
au sein des administrations publiquesLiège, 27 janvier 2017
Bruxelles, 2 février 2017Elodie LECROART
Fanny COTON
www.earlegal.beGroupe Larcier / Lexing 2
Fil conducteur
Hôpital public, qui gère les données :Des patientsDe facturationDu personnel employéDes litiges en coursDes travaux de recherches effectués au sein de l’hôpital
www.earlegal.beGroupe Larcier / Lexing 3
Où en est-on ?
Aujourd’huiDirective 95/46 – Loi du 8/12/1992
Demain : Règlement général 2016/679 du 27/04/16
sur la protection des données (GDPR) applicable le 25/05/18
www.earlegal.beGroupe Larcier / Lexing 4
Programme
Quelles sont les nouvelles obligations pour les administrations imposées par le règlement général 2016/679 sur la protection des données ?Traitement du numéro de registre national ou de données sensibles : quelles particularités ?A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?Comment assurer la sécurité des données à caractère personnel au sein des administrations ?
Groupe Larcier / Lexing www.earlegal.be
❝
5
1.
Quelles sont les nouvelles obligations pour les administrations imposées par le règlement général sur la protection des
données ?
www.earlegal.beGroupe Larcier / Lexing 6
Notion d’autorité publique au sens RGPD
Hôpital public = autorité publique ?
Pas de définition droit national// avec marchés publics ?Avis 243 G29 au sujet délégué à la protection des données
dès que mission d’intérêt public (// cons. 45) Devrait se considérer comme autorité publique
Autorité publique peut être :Responsable de traitementSous-traitant Destinataire
www.earlegal.beGroupe Larcier / Lexing 7
Les nouvelles obligations pour les administrations publiques
Tenue d’un registre des activités de traitement (art. 30)
Réalisation d’une analyse d’impact en cas de traitement présentant un risque élevé (art. 35)Puis éventuel avis préalable de la CPVP (art.36)
Désignation d’un délégué à la protection des données (art. 37)
Privacy by design et Privacy by default (art. 25)
Fondement juridique du traitement à déterminer
Renforcement du principe du consentement explicite de la personne concernée (art. 4, §11, art. 9,§2, a,…)
www.earlegal.beGroupe Larcier / Lexing 8
Les nouvelles obligations pour les administrations publiques
Obligation de transparence et d’information (art. 12, 13, 14)
Obligations pour les sous-traitants (art. 28,…)
Droits de la personne concernée
Portabilité des données (art. 20)
Droit à l’effacement des données (art. 17)
Destinataires
Signalement en cas de fuite des données (art. 33 et 34)
www.earlegal.beGroupe Larcier / Lexing 9
Tenue d’un registre des activités de traitement
Sous la directive 95/46 : obligation de déclaration préalable
Sous le règlement 2016/679: tenue d’un registre détaillé des activités de traitementpas obligatoire pour les organisations comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données « particulières »
Le registre contient :Les informations relatives au responsable du traitement (+DPO)Les finalités, les catégories de personnes, de données, de destinataires, les transfertsUne description générale des mesures de sécurité techniques et organisationnellesLes preuves de l’analyse d’impact effectuée + l’éventuel avis de la Commission Vie Privée
www.earlegal.beGroupe Larcier / Lexing 10
Réalisation d’une analyse d’impact
Prérequis obligatoire dès que le traitement présente un risque élevé pour les droits et libertés des personnes concernées
traitements dont il est vraisemblable qu’ils puissent avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux des personnes physiques si l’on ne prévoit pas de mesures de protection adéquates (projet de recommandation CPVP + cons. 75)
Notamment : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;le traitement à grande échelle de données particulièresla surveillance systématique à grande échelle d'une zone accessible au public.
L’autorité de contrôle doit/peut établir une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est/n’est pas requise (cfr. projet de recommandation CPVP)
www.earlegal.beGroupe Larcier / Lexing 11
Réalisation d’une analyse d’impact
Pas nécessaire (sauf décision contraire des EM) lorsque le traitement est justifié par la nécessité de respecter une obligation légale ou est exécuté dans le cadre d’une mission d’intérêt public
si fondé sur le droit de l’UE ou de l’EM et si analyse d’impact générale a déjà été exécutée lors de l'approbation de la base légale/mission d’intérêt public
AIPD doit contenir:- description systématique des opérations de traitement envisagées et des finalités du
traitement;- évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard
des finalités;- évaluation des risques pour les droits et libertés des personnes concernées Consultation de
la CPVP ;- mesures envisagées pour faire face aux risques
Consultation CPVP qui rend un avis dans un délai de 8 semaines Si avis négatif revoir le traitement projeté et soumettre à nouveau à l’avis de la CPVP. Prendre en compte ce délai dans le développement de nouveaux produits/services.
www.earlegal.beGroupe Larcier / Lexing 12
La désignation d’un délégué à la protection des données
Obligation lorsqueLe responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public
Définition droit nationalServices publics– G29 conseille de désigner un DPO(également pour les tâches qui ne relèvent pas de la mission de service public (ex : gestion personnel propre)
Ex : Transports publics, fourniture d’eau et d’énergie, infrastructure routière, télé/radio diffusion, logement sociaux, autorités disciplinaires
Les activités de base du RT ou ST consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
Ex : Publicité comportementale, fournisseurs de services téléphoniques ou internet (données de trafic, contenu, localisation)
Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données particulières (G29, avis 243)
Ex :Hôpitaux ; Assurances; Banques
www.earlegal.beGroupe Larcier / Lexing 13
La désignation d’un délégué à la protection des données
Un seul délégué pour plusieurs autorités ou organismes publics (si justifié par structure organisationnelle et taille)Possibilité de désigner un membre du personnel Indépendance
Connaissances spécialisées en matière de protection des données (mais pas de formation spécifique requise) + connaissance des règles et procédures administratives (G29)Secret professionnel/obligation de confidentialité Missions :
information/conseil au responsable, contrôle conformité règlement, conseil sur l’analyse d’impactRôle dans la tenue des registres Impliqué dans toutes les question relatives à protection des données et informé en cas d’incident, violation des donnéesApproche basée sur les risques
DPO pas personnellement responsable de l’infraction commise par le RT!
www.earlegal.beGroupe Larcier / Lexing
Privacy by design et Privacy by default
► Privacy by design :Prise en compte des exigences en matière de protection des données au moment de détermination des moyens de traitement et du traitement lui-même.
► Privacy by default :Par défaut, seules données nécessaires au regard de chaque finalité déterminée, sont traitées.
Réduire traitement de données à un minimum, pseudonymisation des données, transparence, dispositifs de sécurité,…
www.earlegal.beGroupe Larcier / Lexing 15
Fondement juridique du traitement
SOIT la personne concernée a donné son consentement
SOIT le traitement est nécessaire :
à l'exécution d'un contratau respect d'une obligation légaleà l'exécution d'une mission d'intérêt publicà la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physiqueaux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers expressément exclu pour les autorités publiques
Si traitement nécessaire au respect d’une obligation légale ou d’une mission d’intérêt public, fondement doit être défini par le droit de l’UE ou de l’EM auquel le responsable est soumis
www.earlegal.beGroupe Larcier / Lexing 16
Renforcement du principe de consentement explicite de la personne concernée
Demande de consentement compréhensible, accessible en des termes clairs et simples
Principe du consentement explicite- une action de l'intéressé est requise- Plus autorisé : consentement tacite ou passif recueilli, par exemple, au moyen de cases cochées par défaut
Démontrable
Retrait simple du consentement + informer clairement l'intéressé de cette possibilité
Enfant âgé de moins de 16 ans ne peut pas consentir sans l’autorisation de ses parents
www.earlegal.beGroupe Larcier / Lexing 17
Obligation de transparence et d’information
Obligation de transparence renforcée
Nouvelles informations à fournir :Base juridique du traitementDélai de conservation ou les paramètres permettant de déterminer le délai de conservationCoordonnées du DPDLe droit de retirer son consentementLe droit d'introduire une réclamation auprès de l'autorité de contrôleLa finalité du traitement ultérieur et les éléments d'information pertinents relatifs à ce traitement ultérieurL'existence d'une prise de décision automatiséeDes informations sur les nouveaux droits et le droit d'opposition dans tous les cas (et non seulement dans le cas de prospection)
De manière transparente et concise, en termes clairs et simples
Informations doivent aussi être fournies si les données ne sont pas obtenues auprès de la personne concernée mais d’un tiers
Exception : lorsque l'obtention ou la communication des informations sont expressément prévues par le droit national qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée
www.earlegal.beGroupe Larcier / Lexing 18
Obligations pour les sous-traitants
RT doit uniquement faire appel à des sous-traitants qui présentent des garanties suffisantes
Obligations des sous-traitants visées explicitement
Mentions contractuelles obligatoires
Violation de ses obligations : même sanctions que le responsable de traitement
Solidarité pour l’indemnisation de la personne concernée
www.earlegal.beGroupe Larcier / Lexing 19
Droits de la personne concernée
Droit d’accès et de rectification
Législation vie privée VS législation publicité documents administratifs
« Considérant que les lois des 11 avril 1994 et 8 décembre 1992 poursuivent des objectifs différents; que la première accorde en principe à tout citoyen le droit de consulter tous les documents administratifs, y compris évidemment ceux qui l'intéressent personnellement; que la seconde, par contre, entend protéger la vie privée des personnes concernées en leur accordant un droit de contrôle des données qu'une autorité ou quelque tiers que ce soit recueille à leur sujet dans un "fichier"; que dans les deux cas, il est prévu des exceptions au droit de consultation, qui ne coïncident pas toujours; qu'il ne peut donc être affirmé sans plus que l'applicabilité de la loi du 8 décembre 1992 en tant que loi spéciale exclut celle de la loi du 11 avril 1994 en tant que loi générale » C.E. (9e ch.) n° 91.531, 11 décembre 2000
Nécessité d’effectuer une balance des intérêts
Nouveaux droits :PortabilitéOubli numérique (droit à l’effacement)
www.earlegal.beGroupe Larcier / Lexing 20
Portabilité des données
Droit pour personne concernée de recevoir les données la concernant
Dans un format structuré, couramment utilisé et lisible par une machine
Si techniquement possible, droit d’obtenir que les données soient directement transmises à un autre RT
Ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement
Travail de préparation nécessaire
www.earlegal.beGroupe Larcier / Lexing 21
Droit à l’effacement/oubli numérique
Effacer les données de la personne concernée dans les meilleurs délais
Quand ? Données plus nécessaires au regard des finalités initiales ;Le consentement sur lequel reposait le traitement a été retiré ;Lorsque la personne s’oppose au traitement de ses données à des fins de prospection (y compris le profilage)
Exceptions : Traitement nécessaire pour des motifs d’intérêt public dans domaine de la santé publique; Traitement nécessaire au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public, …
www.earlegal.beGroupe Larcier / Lexing 22
Destinataires
Mesures raisonnables pour informer tout tiers (y compris sous-traitants) en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement
Identifier et tenir une liste des tiers auxquels les données ont été transférées
à moins que cela se révèle impossible ou exige des efforts disproportionnés
le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
Que faire si un employé maladroit met en ligne des données relatives aux
patients ?
www.earlegal.beGroupe Larcier / Lexing 24
Signalement en cas de fuite des données
Signaler fuite de données à la Commission Vie PrivéeDécrire la nature de la violation de données, les catégories et le nb de personnes concernées, décrire les csq probables et les mesures prises pour y remédier, communiquer les coordonnées du DPO
Brefs délais (si possible, dans les 72h de la prise de connaissance)
Limiter les conséquences négatives d’une fuite de données (chiffrement de données par exemple)
réagir vite : procédure à préparer former le personnel
Groupe Larcier / Lexing www.earlegal.be
❝
25
2.
Traitement du numéro de registre national ou de données sensibles :
quelles particularités ?
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
Employé de la comptabilité de l’hôpital veutvérifier l’adresse d’une connaissance
perdue de vue
www.earlegal.beGroupe Larcier / Lexing
Données du registre national
Principe : Interdiction de collecter, d’utiliser ou de demander communication de telles données
(Loi du 8 août 1983 organisant un registre national des personnes physiques)
www.earlegal.beGroupe Larcier / Lexing 28
Portée de l’interdiction de principe
Simple collecte est un traitement
PAS POSSIBLE de déroger à l’interdiction par le biais du consentement de la personne concernée
Non-respect de la loi du 8/8/83 = infraction pénale !emprisonnement de huit jours à un an et/ou d'une amende de cent euros à deux mille euros
www.earlegal.beGroupe Larcier / Lexing 29
Exceptions
Soit par arrêté royalSoit par autorisation du Comité sectoriel du Registre national:
aux autorités publiques belges pour les informations qu'elles sont habilitées à connaître en vertu d'une loi, d'un décret ou d'une ordonnance ;aux organismes publics ou privés de droit belge pour les informations nécessaires à l'accomplissement de tâches d'intérêt général qui leur sont confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance ou de tâches reconnues explicitement comme telles par le Comité sectoriel du Registre national ; pas à des personnes physiquesleurs sous-traitants (personnes physiques ou morales)
www.earlegal.beGroupe Larcier / Lexing 30
Exemples de tâches où est utilisé le numéro de RN
obligations en matière sociale dans le cadre de DIMONA (relation avec l'ONSS)fiches fiscales dans le cadre de Belcotax (AR/CIR 1992, art. 30) devoir d'investigation dans le cadre des contrats dormants ainsi que des bénéficiaires de contrat d'assurance dormants (loi du 24 juillet 2008 portant dispositions diverses)obligation de vérifier l'identité et l'adresse dans le cadre de la lutte contre le blanchiment (loi du 11 janvier 1993)…
www.earlegal.beGroupe Larcier / Lexing 31
Demande systématique d’autorisation
Même si une loi autorise une autorité publique à prendre connaissance des données du RN, elle doit demander une autorisation au Comité sectoriel
Ne peut PAS être utilisé à d’autres fins que celles visées par l’autorisation
Ex : pas à des fins privées évidemment (responsabilité pénale du fonctionnaire)pas comme identifiant interne de l’administré
www.earlegal.beGroupe Larcier / Lexing 32
Obligations en cas d’autorisation
Obligations supplémentaires pour les autorités/organismes publics ayant obtenu l’accès aux informations du Registre National ou la communication de ces infos :
Désigner un consultant en sécurité de l'information et en protection de la vie privée (interne ou externe)
Désigner nominativement les organes ou préposés ayant l’accès/communication des informations
Faire signer une déclaration de confidentialité par les personnes effectuant le traitement de ces informations
Souhaitable : Formation et rappel ponctuel + message pop up
www.earlegal.beGroupe Larcier / Lexing 33
Obligations en cas d’autorisation
Obligation de transparence Information des personnes concernées Doit quand même déclarer (aujourd’hui)
Et tenir un registre des traitements (demain)
Circulaire du 9 janvier 2002 relative à l’accès aux informations enregistrées dans le Registre national des personnes physiques et aux mesures en vue de garantir la sécurité des donnéesnécessité de la mise en place de mesures techniques et organisationnelles adéquates permettant d’identifier la personne physique qui a effectué une certaine transaction à un moment donné
www.earlegal.beGroupe Larcier / Lexing 34
Droit d’accès de la personne concernée
Accès par chaque citoyenÀ ses données À l’identité de toutes les autorités, organismes ET PERSONNES qui ont, au cours des 6 mois écoulés, consulté ou mis à jour ses données
http://www.mondossier.rrn.fgov.be
ou
auprès de la commune oùil est inscrit
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
Quid si l’employé a accès à la Banque Carrefour de Sécurité Sociale ?
www.earlegal.beGroupe Larcier / Lexing 36
Données de la BCSS
Régime assez similaire au Registre National:
Interdiction de principeInfraction pénale (code de droit pénal social)AutorisationTraçage des accèsConseiller en matière de sécurité de l'information et de protection de la vie privée
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
L’employé de la comptabilité voit le nom d’un voisin dans les examens qu’il est en train de
facturerEt voit par qui l’examen a été prescrit
Donnée médicale ?
www.earlegal.beGroupe Larcier / Lexing 38
Directive : données « sensibles »
raciale ou ethniqueopinions politiquesconvictions religieuses ou philosophiquesappartenance syndicaledonnées relatives à la santé données relatives à la vie sexuellesuspicions, poursuites ou condamnations pénales ou administratives.
www.earlegal.beGroupe Larcier / Lexing 39
Règlement : données « particulières »
Art 9 : données à caractère personnel qui révèlentl'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques l'appartenance syndicale, des données concernant la santé des données génétiques, des données biométriques des données concernant la vie sexuelle
ou l'orientation sexuelleArt. 10
relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
www.earlegal.beGroupe Larcier / Lexing 40
Données « particulières »
Nouveautés :
Définition des données relatives à la santé : « relative à la santé physique ou mentale d’un individu, incluant des prestations de soins de santé, qui révèlent de l’information sur l’état de santé de l’individu ».données génétiques : toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises et qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne, résultant en particulier d'une analyse d'un échantillon biologique de la personne en questiondonnées biométriques : données à caractère personnel résultant d’un traitement technique spécifique relatives à des caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permettent ou confirment une identification unique de l’individu, telles que des images faciales ou des données dactyloscopiques
www.earlegal.beGroupe Larcier / Lexing
Données sensibles / particulières
Principe : Interdiction de traiter de telles données
www.earlegal.beGroupe Larcier / Lexing 42
Traitement de données sensibles (1)
Actuellement :Interdiction de collecter, enregistrer ou demander communication de ces données sauf si
Consentement expliciteEt possibilité de retirer le consentement à tout moment effacementobligations du responsable du traitement en matière de droit du travail, de la sécurité sociale et de la protection sociale,sauvegarde des intérêts vitauxnécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;Ou nécessaire à l’exercice des tâches de l’autorité publique
www.earlegal.beGroupe Larcier / Lexing 43
Traitement de données sensibles (2)
Moyennant garanties supplémentaires :
Liste des catégories de personnes ayant accès aux données avec mention de leurs fonctions au regard du traitement de données (profils d'accès: ex : les médecins et infirmières de l'hôpital) (>< RN : nominativement)Liste tenue à disposition de la CPVPVeiller à ce que les personnes désignées respectent (légalement/contractuellement/statutairement) le caractère confidentiel des données
(>< RN : signer un engagement)Information de la personne concernée
base légale ou règlementaire autorisant le traitementliste des catégories de personnes ayant accès aux données.
www.earlegal.beGroupe Larcier / Lexing 44
Spécificité pour les données de santé
Aussi protégées par le secret médical (sanctionné pénalement)
Traitement uniquement sous la responsabilité d'un professionnel des soins de santé (ex : médecin conseil)sauf
consentement écrit de la personne concernée traitement nécessaire pour la prévention d'un danger concret ou la répression d'une infraction pénale déterminée
Obtention exclusivement auprès de la personne concernée elle-mêmesauf
sous responsabilité d’un prof. soins de santéOu personne concernée ne peut pas les fournir elle-même
www.earlegal.beGroupe Larcier / Lexing 45
Spécificités pour les hôpitaux
Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre.
Chaque hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d'un règlement relatif à la protection de la vie privée.
Les dispositions de ce règlement relatives aux droits des personnes sont communiquées aux patients
Désignation d’un conseiller en sécurité chargé de la sécurité de l'information cumulable avec la fonction de délégué à la protection des données ?? – à clarifier
www.earlegal.beGroupe Larcier / Lexing 46
RGPD : Conséquence du traitement de données sensibles
Interdiction maintenue évidemmentMais nouvelles conséquences sur :
Fondement du traitementObligation de tenir un registre de traitementMesures de sécurité accruesPossibilité de disparités nationales (santé)
Si traitement à grande échelle :Obligation de réaliser une étude d’impactObligation de désigner un DPD
www.earlegal.beGroupe Larcier / Lexing 47
GDPR : fondement du traitement (1)
consentement explicite de l'intéressé
(possibilité de retirer le consentement à tout moment valable pour toutes les catégories de données)
Mais la loi nationale pourra prévoir des cas où ce consentement est sans effet
www.earlegal.beGroupe Larcier / Lexing 48
GDPR : fondement du traitement (2)
Quid des données pénales :
Seulement :sous le contrôle de l'autorité publiqueou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées
www.earlegal.beGroupe Larcier / Lexing 49
Obligation de tenir un registre de traitement
En principe pas d’obligation de tenir un registre Si moins de 250 employés,
sauf si le traitement porte notamment sur des données particulières
www.earlegal.beGroupe Larcier / Lexing 50
Mesures de sécurité accrues
considérants 75 et 76 : exemples des traitements présentant des risques particuliers : notamment : (…) lorsqu’il s’agit d’un traitement des données sensibles.
Mesures de sécurité accrues
www.earlegal.beGroupe Larcier / Lexing 51
Données de santéPossibilités de disparités nationales
Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
www.earlegal.beGroupe Larcier / Lexing 52
Traitement à grande échelle
Si traitement à grande échelle de données particulières
Analyse d’impact requiseSauf si analyse d'impact générale a été réalisée dans le cadre de l'adoption de la base juridique sur laquelle on se fonde
Sauf si l’Etat membre l’oblige (à suivre)
Désignation obligatoire DPD
Groupe Larcier / Lexing www.earlegal.be
❝3.
A quelles conditions les administrations peuvent-elles se transmettre
des données à caractère personnel ?
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
Une école publique spécialisée pour les enfants sourds
demande que l’hôpital lui communique les adresses d’enfants atteints de surditépour leur envoyer de la documentation sur
l’école
www.earlegal.beGroupe Larcier / Lexing 55
A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?
Création de réseaux d’échange des donnéesEx: plateforme BCSS (loi du 15/01/90)
Transfert = traitement nécessite une base juridique
Information individuelle des personnes concernées au regard du transfert de leurs données
Dérogation: le droit de l’UE ou de l’EM prévoit l’obtention ou la communication des données + garanties appropriées visant à protéger les intérêts légitimes de la personne concernée
Nécessité d’une mesure législative qui définisse les informations transmissibles ainsi que les modalités de mise en œuvre de la transmission
www.earlegal.beGroupe Larcier / Lexing 56
A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?
Gand (5e ch.) n° 2014/AR/1346, 13 octobre 2015: Échange de données entre la Direction de l’Immatriculation des Véhicules (DIV) et l’administration fiscale
Art. 1er, § 1er, de la loi du 28 juillet 1938 tendant à assurer l’exacte perception des impôts imposent aux services administratifs de l’État, organismes et établissements publics, lorsqu’ils en sont requis par un fonctionnaire chargé de l’établissement ou du recouvrement des impôts, de lui fournir tous renseignements en leur possession, que ledit fonctionnaire juge nécessaires pour assurer l’établissement ou la perception des impôts perçus par l’État.
Lorsque l’administration fiscale consulte le répertoire matricule des véhicules informatisé tenu par le SPF Mobilité et Transports, elle adresse une demande de renseignements telle qu’autorisée par la loi. Il n’est donc pas question de communication spontanée et systématique des données du répertoire par la DIV au SPF Finances.
Pas de violation de la loi du 8 décembre 1992. L’établissement de l’impôt des personnes physiques doit être vu comme une finalité déterminée, explicite et légitime au sens de l’article 4, § 1er, 2°, de cette loi. L’établissement des impôts relève de l’intérêt général et rentre à ce titre dans les prévisions de l’article 5, e), de la même loi qui permet d’effectuer le traitement de données à caractère personnel lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
CJUE (1er octobre 2015, arrêt Bara, C-201-14) invalide le transfert:
la législation roumaine ne définit pas les informations transmissibles et les modalités de mise en œuvre (protocole) + les personnes concernées n’ont pas été informées des finalités et catégories de données visées
Interprétation stricte: uniquement les données visées par la législation autorisant la transmission
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
L’hôpital ne peut pas transmettre la liste demandée à l’école,
Mais peut par contre transmettre les données de rémunération de son personnel à l’administration
fiscale(AR/CIR 92, art. 30)
www.earlegal.beGroupe Larcier / Lexing 58
A quelles conditions les administrations peuvent-elles se transmettre des données à caractère personnel ?
D’où, un simple accord entre administration n’est pas suffisant!
Pas possible de convenir de règles d’entreprises contraignantes
Car notion d’entreprise vise activité économique
Après le transfert : Signaler les demandes de rectification, d’effacement, etc. aux destinataires
Si les informations visées contiennent le numéro de registre national, il faut introduire une demande d’autorisation au comité sectoriel (consentement ne suffit pas)
www.earlegal.beGroupe Larcier / Lexing 59
Fil conducteur
L’hôpital peut-il s’associer avec plusieurs autres hôpitaux
pour créer et utiliser une plateforme de prise de rendez-vous en ligne
commune ?
www.earlegal.beGroupe Larcier / Lexing 60
Responsables conjoints ?
« Définition conjointe des finalités et des moyens de traitement » Doute sur l’interprétation de cette notion Mêmes obligations que le responsable de traitement ou sous-traitantSeules conséquences :
Accord prévoyant les obligations respectives des resp. conjoints Mise à disposition des personnes concernées des grandes lignes de cet accord
Être prudent et convenir rôles respectifs
❝ 4.
Comment assurer la sécurité des données à caractère personnel
au sein des administrations ?
www.earlegal.beGroupe Larcier / Lexing
Fil conducteur
L’hôpital a déjà un conseiller en sécurité de l’information.
Il utilise des badges pour l’accès de tout le personnel
et des codes d’accès pour accéder au logiciel contenant les données médicales.
Suffisant ?
www.earlegal.beGroupe Larcier / Lexing
Comment assurer la protection des données à caractère personnel au sein des administrations ?
Mesures de sécurité préconisées par la CPVP :
Adoption d’une politique de sécurité de l’information
Désignation d’un conseiller en sécurité de l’information (responsable de l’exécution de la politique de sécurité)
Définir responsabilités et processus de gestion en matière de sécurité :Classification de l’information Information correcte des acteurs + formationSuivis disciplinaires Mêmes obligations de sécurité dans contrat de sous-traitance
Assurer protection physique des données Accès limité des supports de données et des personnes traitant ces données Dispositifs de prévention, détection, traitement des dangers physiquesMesures de sauvegardes (back up)
www.earlegal.beGroupe Larcier / Lexing 64
Comment assurer la protection des données à caractère personnel au sein des administrations ?
Mesures de sécurité préconisées par la CPVP :
Sécurisation des réseaux
Sécurisation logique des accès
Journalisation, traçage et analyse des accès
Révision des mesures de sécurité techniques et organisationnelles
Plan de gestion des incidents de sécurité
Documentation complète et mise à jour concernant la sécurité des informations
www.earlegal.beGroupe Larcier / Lexing
Comment assurer la protection des données à caractère personnel au sein des administrations ?
Dans le Règlement :Article 32 du RGPD - mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque :
Pseudonymisation et chiffrement
Moyens garantissant confidentialité, intégrité, disponibilité et résilience constante des systèmes et services de traitements
Moyens pour rétablir disponibilité et accès aux données en cas d’incident physique/technique
Procédure visant à tester, analyser, évaluer régulièrement l’efficacité des mesures de sécurité
Mesures empêchant traitement par des personnes sous l’autorité du responsable et ayant accès aux données
Application d’un code de conduite ou mécanisme de certification
www.earlegal.beGroupe Larcier / Lexing 66
Mesures actuelles suffisantes ?
Technologie encore actuelle ?
Budget // risque encouru (réputation et amende)
Personnel suffisamment formé ?
Prêt à réagir en cas de fuite ?
www.earlegal.beGroupe Larcier / Lexing 67
Mesures actuelles suffisantes ?
DPO doit donner son avis sur les mesures prises
Demande d’avis préalable auprès de la CPVP après l’AIPD
Fournit avis CPVP sur l’adéquation des mesure prises
+
Réexamen régulier
www.earlegal.beGroupe Larcier / Lexing
Pourquoi anticiper les futures règles?
www.earlegal.beGroupe Larcier / Lexing 69
Points à analyser
Identification des traitements actuellement réalisés
Détermination fondementSi consentement : adaptations nécessaires ?
Tiers à qui les données ont été transmises
Façon dont la documentation au sujet des traitements est conservée
Mesures de sécurités actuellement en vigueur suffisantes ?
Sous-traitants adéquats ?
Analyse des incidents qui ont déjà eu lieu et de la façon dont ils ont été gérés.
www.earlegal.beGroupe Larcier / Lexing 70
Actions
Désigner un délégué à la protection des données
Adaptation des polices vie privées et contrats
Mise en place de procédures types
Application des procédures aux traitements existants.
www.earlegal.beGroupe Larcier / Lexing 71
Actions
Effacement des données dont la conservation ne peut plus être justifiée mise en œuvre d’un processus automatisé d’effacement
Limitation des risques de brèches de sécurité par l’anonymisation/le chiffrement
Formation du personnel
Simulation d’une brèche de sécurité
Communication publique quant aux efforts mis en place par l’entreprise.
www.earlegal.beGroupe Larcier / Lexing
Bénéfices ?
COMPLIANCE = BENEFICES d’un point de vue :
gestion des risques réputation économique