earlegal #5 - radiographie du délégué à la protection des données
TRANSCRIPT
www.earlegal.beGroupe Larcier / Lexing
Cadre légal
Aujourd’huiDirective 95/46 – Loi du 8/12/1992
Rares cas : conseiller en sécurité de l’information
25/05/2018 : Règlement général 2016/679 du 27/04/16 sur la
protection des données (RGPD/GDPR) Délégué à la protection des données (DPD/DPO)
Projet de loi belge :
CPVP Autorité de Protection des Données
2
www.earlegal.beGroupe Larcier / Lexing
Programme
Dans quel cas une entreprise doit-elle désigner un Délégué à la protection des données (DPD) ?
Quel DPD désigner ?
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
Quels aspects doivent être réglés dans le contrat du DPD ?
3
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général (ex secrétaire communal) se
propose pour veiller à la mise en œuvre du RGPD
• Doit-il y avoir un DPD ?
• Si oui, le Directeur général peut-il être le DPD ?
Commune de
10.000
habitants
• 200 employés
• Responsable IT est pressenti pour veiller à la mise
en œuvre du RGPD
Filiale belge
d’une banque
néerlandaise
Groupe Larcier / Lexing www.earlegal.be
1.
Dans quel cas une entreprise doit-elle désigner un DPD?
5
www.earlegal.beGroupe Larcier / Lexing
Enjeux
6
Amendes : maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice
précédent
RéputationConfiance
www.earlegal.beGroupe Larcier / Lexing
Pas une question de taille de l’entreprise :
(abandon du critère des 5.000 personnes concernées)
Obligatoire dans 3 cas :
MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires risque de disparités nationales
À ce stade, pas de cas supplémentaire prévu par Loi belge (loi-cadre ?)
Quand désigner un DPD ? (Art. 37 RGPD)
www.earlegal.beGroupe Larcier / Lexing
1. Traitement par une autorité publique ou un organisme public
Notion d’autorité publique ?
RGPD : pas de définition droit national
// avec marchés publics ?
Avis 243 G29 au sujet délégué à la protection des données
dès que mission d’intérêt public (// cons. 45)
Devrait se considérer comme autorité publiqueHôpital public = autorité publique
8
www.earlegal.beGroupe Larcier / Lexing
1. Suivi
Tracking géolocalisation des véhicules d’entreprise, contrôle utilisation d’internet, déplacements via transports en commun, objets connectés, vidéosurveillance
Profilage
Pour prise de décision
solvabilité, prévention des fraudes
Ou pour prédire préférences/comportements
publicité comportementale, programme de fidélité
Pas seulement en ligne
2. Régulier (fréquence)
3. Systématique (méthode)
4. A grande échelle Pas de nombre précis dans GDPR ou lignes directrices, seulement
exemples (par un hôpital >< cabinet unipersonnel)
facteurs à prendre en compte :Nombre de données
Étendue géographique
Durée
2. Suivi régulier et systématique à grande échelle des personnes concernées
www.earlegal.beGroupe Larcier / Lexing
1. Données particulièresArt 9 : données à caractère personnel qui révèlent
l'origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses ou philosophiques,
l'appartenance syndicale,
des données concernant la santé,
des données génétiques,
des données biométriques,
des données concernant la vie sexuelle
ou l'orientation sexuelle,
Art. 10relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes,
2. A grande échelle
3. Traitement de données « particulières » à grande échelle
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Autorité publique
• DPD obligatoire
Commune de
10.000
habitants
• Examen de solvabilité DPD
obligatoire
• Vidéosurveillance DPD
obligatoire
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Quelle obligation pour le sous-traitant ?
Mêmes cas obligatoires:
Si le responsable de traitement doit designer un DPD, doit-ilobligatoirement faire appel à un sous-traitant qui a désigné un DPD ?
NON
si chacun a un DPD obl. de collaboration
www.earlegal.beGroupe Larcier / Lexing
En dehors de ces 3 cas
14
Choix
SOIT :
Désignation facultative
Mission aussi étendue
que si DPD obligatoire
Aucun avantage
pour RT/ST
SOIT :
Ne désigne pas de DPD
Garder trace des éléments de décision
(accountability)
Eviter confusion si un employé en
charge des questions de VP
Evolution des activités et des
traitements pourrait entraîner
désignation obligatoire d’un DPD
www.earlegal.beGroupe Larcier / Lexing
Contrôle par APD
possibilité de contrôle par future APD (// projet de loi - actuellement CPVP) si aucune coordonnée reçue en mai 2018
15
Désignation
obligatoire
/
Désignation
facultative
Mission englobe
TOUS les
traitements
(pas seulement
ceux qui
relèvent des 3
cas obligatoires)
Communica-tion
des coordonnées
du DPD à APD
www.earlegal.beGroupe Larcier / Lexing
Pas de formation minimale
Pas d’approbation préalable (>< Conseiller en sécurité de l’information)
Expertise
EXPERTISE
en droit
de la protection
des données
Connaissance du
secteur d’activités/
des procédures
administratives
COMPREHENSION
des activités de
traitement Capacités
personnelles
www.earlegal.beGroupe Larcier / Lexing
Pas en situation de conflits d’intérêts
Peut exécuter d'autres tâches
attention aux conflits d’intérêts !
Interne >< poste de décision
Pas juge et partie
Conseiller en sécurité de l’information ? (Recom. APD)
amende de autorité bavaroise (manager IT)
Examen préalable des postes conflictuels
Documenter le processus
Quid petites structures ?
Externe
Clients en conflit
Peut aussi représenter en justice ou devant APD?
NON Déontologie avocat (>< autre prestataire externe)18
www.earlegal.beGroupe Larcier / Lexing
Aucun impact sur les tâches,
ni pour les personnes concernées
Interne ou externe
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Directeur général
• Pas le temps de former qqn du
service juridique
• DPD externe
Commune de
10.000
habitants
• Responsable IT
• Qqn du service juridique de la
maison mère aux Pays-Bas ?
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Un seul DPD pour plusieurs entités ?
Ok pour autant que :
1.Pas surchargé
2.Facilement joignable à partir de chaque lieu d'établissement
3.Communique avec APD et personnes concernées dans langue du pays où l’entité est située :
G29 : toujours dans la langue de l’APD ou de la personne concernée : excessif si produit/service fourni dans une autre langue
APD : peut se faire aider de traducteurs
21
www.earlegal.beGroupe Larcier / Lexing
G29 : ok pour autant que :
répartition claire des tâches
et 1 personne “en charge”
Équipe multidisciplinaire plus efficace
Langues
Gestion des absences
1 DPD par branche d’activité, possible ?
(ex : marchés publics/privés)
Pas de réponse à ce stade
préférable équipe avec 1 responsable
En équipe ?
www.earlegal.beGroupe Larcier / Lexing
Un DPD impliqué
Associé à toutes les questions relatives à la protection des données à caractère personnel
au plus tôt (privacy by design)
Informer personnel à tous les niveaux
Présenter DPD au management senior et intermédiaire
Inviter DPD régulièrement aux réunions (au minimum quand décisions ont un impact sur la protection des données)
Développer lignes directrices internes % quand consulter DPD
Coordonnées de contact communiquées à tous les travailleurs
www.earlegal.beGroupe Larcier / Lexing
Un DPD outillé
Ressources nécessaires Temps
Équipe
Matériel
Accès aux données à caractère personnel et aux opérations de traitement
Formation permanente
www.earlegal.beGroupe Larcier / Lexing
Un DPD écouté
Support de la direction
Si son avis n’estpas suivi :
documenter pourquoi
Accountability
www.earlegal.beGroupe Larcier / Lexing
Un DPD indépendant et protégé
Sanction : amende administrative
(aucune indemnisation spécifique pour DPD)
Quid si n’exécute pas correctement sa mission de DPD ?
• Fait directement rapport au niveau le plus élevé de la direction
• Aucune instruction, mais • pas de pouvoir décisionnel• pas d’obligation de dénonciation
• Ne peut être licencié ou pénalisé (même simple menace) en raison de l'exercice de ses missions.
Groupe Larcier / Lexing www.earlegal.be
3.
Comment les missions du DPD s’insèrent-elles dans le quotidien de l’entreprise ?
27
www.earlegal.beGroupe Larcier / Lexing
Article 39 : Mission minimale
28
CONSEIL
DECISION
CONSCIENTISATION
INTERMEDIAIRE
VERIFICATION
Informer et conseiller sur les obligations qui leur incombent en vertu du RGPD et du droit belge
% réalisation analyse d’impactAudits
Sensibilisation Formation du personnel
culture « vie privée »
Point de contact pour l‘APD et personnes concernéesCoopération avec l’APD
www.earlegal.beGroupe Larcier / Lexing
Quelles priorités ?
Lignes directrices WP 243 du G 29 : DPD tient compte du risque associé aux opérations de traitement compte tenu de :
la nature,
la portée,
du contexte
et des finalités du traitement,
Pas compliance parfaite immédiatement
autorisation de négliger les “petits” traitements
Détermination des risques
Détermination de l’ampleur du travail à réaliser
Priorités et traitements stratégiques
29
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
• Traitements des données de la
population
• Traitement des données du personnel
communal
Commune de
10.000
habitants
• Données relatives à la solvabilité
• Vidéosurveillance
• Traitements hors UE
• Données accidents de travail
• Données salariales
Filiale belge
d’une banque
néerlandaise
www.earlegal.beGroupe Larcier / Lexing
Conseil documents contractuels
Base juridique
Consentement : explicite + termes clairs
Enfants âgés de moins de 16 ans
Obligation de transparence renforcée
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception Protection des données par défaut
www.earlegal.beGroupe Larcier / Lexing
Formation du personnel
Concepts
Risques
Nouvelle mentalité privacy bydesign/privacy by default
Réflexe de consulter le DPD
Délai de 8 semaines nécessairepour avis préalable
Procédures mises en place
Simulation d’une brèche de sécurité
Simulation d’une « descente » de laCommission Vie Privée
www.earlegal.beGroupe Larcier / Lexing
Registre des activités de traitement
37
La tenue du registre ne fait pas partie de la mission de base
Responsabilité du RT/ST
APD : DPD doit être impliquédans le processus
Nom et données de contact du DPD mentionnées dans le registre
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
38
La réalisation de l’analyse d’impact ne fait pas partie de la mission de base du DPD
DPD donne son avis sur demande sur :• Obligation procéder à AIPD• Méthodologie• In house/outsourcing ?• Mesures de sécurité• Si AIPD correctement réalisée• Si nécessite un avis préalable de APD
APD : même si DPD chargé de realiser l’analyse d’impact : pas une tâche solitaire, mais collective
www.earlegal.beGroupe Larcier / Lexing
En cas de violation de données
39
• Conseil sur obligation ou non de notifier
• Respect délai
• Façon dont l’incident est documenté
• Notification contient les données de contact du délégué
www.earlegal.beGroupe Larcier / Lexing
Audits
Audits réguliersNouveaux traitementsEffacement données plus justifiéesRenouvellement AI tous les 3 ans (G29)
(APD : tous les 2 ans)
DPD interne : Échéancier de tâches sur l’année
DPO externe : Audit ponctuel
www.earlegal.beGroupe Larcier / Lexing
Obligation de dénonciation ?
DPD doit-il alerter APD si on ne suit pas ses avis?
Pas d’obligation de dénoncer
Mettre fin à la mission
// conseiller en sécurité de l’information
Dénonciation incompatible avec secret professionnel de l’avocat
41
www.earlegal.beGroupe Larcier / Lexing
Point de contact pour APD
Pouvoirs APD :
Demande de renseignements
Accès aux locaux
Accès à la documentation
Coopération : faciliter accès aux documents et fournir information
DPD ne doit pas traiter lui-même les demandes, mais s’assurerqu’on y répond
+ Consultation préalable
+ en cas violation de données
www.earlegal.beGroupe Larcier / Lexing
Point de contact pour les personnes concernées
DPD ne doit pas traiter lui-même les demandes, mais• s’assurer qu’on y répond• dans les 30 jours• transmettre les demandes aux destinataires des données
www.earlegal.beGroupe Larcier / Lexing
Missions supplémentaires possibles :
Tenue registre
Réalisation analyse d’impact
Collaboration avec DPD de clients potentiels
Rédaction de clauses
Réponse aux requêtes des personnes concernées
Rédaction de procedures types
Gestion des litiges en matière de vie privée…
45
www.earlegal.beGroupe Larcier / Lexing
Responsabilité
DPD pas personnellementresponsable de l’infraction
commise par RT/ST
(pas de pouvoir décisionnel)
Externe
Responsabilité contractuelle
Responsabilité pénale ? Infraction
volontaire ou complicité
Précautions contractuelles
Interne
// droit du travail classique
Groupe Larcier / Lexing www.earlegal.be
4.
Quels aspects doivent être réglés dans le contrat du DPD ?
48
www.earlegal.beGroupe Larcier / Lexing
Formalisme obligatoire ?
Confidentialité (Article 38 (5))
Externe : DPD = sous-traitant ?
( Mentions obligatoires ?) pas clairParfois mission mixte (DPD+ plateforme IT)
prudent (amende et avenant ultérieurs)
www.earlegal.beGroupe Larcier / Lexing
Précisions utiles
Etendue de la mission (incertitude)
Interne : accord sur changement de
nature de la fonction
Charge de travail Période de transition pour la miseen oeuvre
Temps hebdomadaire
Rapporte au niveau de décision le plus élevé
Qui ? Organisation concrète ?
www.earlegal.beGroupe Larcier / Lexing
Quant à la fin du contrat
Pas de durée minimale
G29 : importance de la stabilité du DPD
APD sera informée d’un changement de DPD
(externe) : mode de communication des infos
au nouveau prestataire
Licenciement : à ce stade, pas de dérogation à CCT 109
Rester attentif à future loi : charge de la preuve des motifs
Mode de calcul des avantages et d’obtention des promotions
(dans le règlement de travail) Pour éviter que refus soit considéré
comme une sanction déguisée
(externe) indemnisation forfaitaire en cas de résiliation injustifiée
www.earlegal.beGroupe Larcier / Lexing
Nos fils conducteurs
Commune :
DPD externe
Filiale:
DPD interne
pour plusieurs
sociétés du
groupe
Confidentialité
Étendue mission
Modalités de rapport avec la
direction
Durée contrat
Formalisme ST
Pers. phys. en charge
Communication au nouveau prest.
Indemnisation forfaitaire
ResponsabilitéMotifs possibles de fin
contrat + charge preuve
Changement de fonction
Charge de travail
(Motifs raisonnables de licenciement)