Questions les plus fréquemment posées - RGPD

Plusieurs dispositions du nouveau règlement exigent que le législateur national promulgue des réglementations supplémentaires.

À titre d'exemple, on peut se référer à :

  • l'article 10 : définition des cas où le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions est autorisé ;
  • l’article 85 : conciliation du traitement de données à caractère personnel avec la liberté d'expression et d'information.

Plusieurs dispositions du nouveau règlement autorisent le législateur national à promulguer des réglementations complémentaires en vue de son application.

À titre d'exemple, on peut se référer à :

  • l'article 9.4 : le traitement de données génétiques, de données biométriques ou de données relatives à la santé ;
  • l’article 88  : définition de règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

La Commission vie privée n'est pas habilitée à prendre l'initiative de préparer une législation complémentaire et ne dispose dès lors pas d'informations plus précises.

Taxonomy: 

Dans l'ordre juridique belge, un règlement européen prévaut sur une réglementation nationale (loi, arrêté, CCT, etc.) qui lui est contraire.

Si les dispositions réglementaires contraires ou incompatibles ne sont pas adaptées, elles ne peuvent plus être appliquées car les dispositions du nouveau règlement ont la priorité. La Commission vie privée peut recommander au législateur d'adapter des dispositions. Veuillez noter que dans le cadre de litiges individuels, les parties prenantes doivent s'adresser au tribunal afin que celui-ci décide de la non applicabilité dans un cas bien déterminé.

Dans les cas où la réglementation existante renvoie simplement à l'actuelle loi vie pivée, ces références devront être lues, à partir du 25 mai 2018, comme des références au nouveau règlement européen et à la législation nationale complétant ce règlement.

Taxonomy: 

Non.

La consultation de la Commission vie privée n'est requise que lorsque le DPIA (Data protection impact assessment ; Analyse d'impact relative à la protection des données) indique un risque résiduel élevé (référence à la recommandation d'initiative sur le DPIA).

Source : article 5.2 et 36 du RGPD

Taxonomy: 

Les deux sont responsables, mais pas dans la même mesure.

Une fuite de données est un exemple d'incident de sécurité, c'est-à-dire une violation (dans le sens d'un incident) de données à caractère personnel entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Le nom "responsable du traitement" est en soi explicite, il s'agit de la personne qui est responsable du respect du nouveau règlement, incluant l'obligation de sécurité et la réaction adéquate à l'égard des incidents de sécurité.

Il n'en demeure pas moins que le sous-traitant a une responsabilité propre : il doit prévoir une sécurité appropriée et contribuer au suivi des incidents de sécurité. Le responsable du traitement doit en outre obliger le sous-traitant par contrat à prévoir une sécurité suffisante.

En ce qui concerne la notification d'un incident de sécurité à l'autorité de contrôle ou la communication à la personne concernée, cette obligation incombe uniquement au responsable du traitement. Le sous-traitant est toutefois obligé de notifier tout incident de sécurité au responsable du traitement. Le sous-traitant ultérieur auquel un sous-traitant a recours doit être obligé par voie contractuelle à signaler les incidents de sécurité au sous-traitant. Le sous-traitant reste entièrement responsable à l'égard du responsable du traitement lorsqu'un sous-traitant ultérieur ne respecte pas ses obligations en matière de protection des données.

Le nouveau règlement dispose d'ailleurs que tant le responsable du traitement que le sous-traitant – sous certaines conditions – peuvent être sollicités pour la réparation du préjudice découlant d'une violation du nouveau règlement.

Attention : la responsabilité de celui qui cause un incident de sécurité, que ce soit intentionnellement ou de manière accidentelle, n'est pas régie en particulier par le RGPD. Selon le cas, on peut appliquer le droit pénal, le droit du travail ou les règles générales relatives à la responsabilité civile.

Source : article 4.12, article 28, article 32, article 33, article 34,

Taxonomy: 

Oui.

La notion de “données à caractère personnel" est définie de façon très large dans le nouveau règlement. tout comme dans la Loi du 8 décembre 1992. Le droit à la protection des données n'établit pas non plus de distinction générale entre les données "privées" et "professionnelles".

En comparaison avec la Loi du 8 décembre 1992, le nouveau règlement n'apporte que quelques précisions supplémentaires, comme la clarification du terme "identification" à l’aide d’exemples, mais ces précisions ne modifient pas la signification des termes "données à caractère personnel.

En vertu du nouveau règlement,les données à caractère personnel désignent "toute information se rapportant à une personne physique identifiée ou identifiable (la "personne concernée")". Est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement,

notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier directement ou indirectement la personne physique, tels que le ciblage ("singling out").

Le risque concret de réidentification dépend des données pour lesquelles on peut supposer qu'une partie - qui pourrait/voudrait procéder à la réidentification - dispose déjà (peut déjà disposer) d'un accès.

Exemples

Il peut donc ici s'agir de données professionnelles, de données techniques, de données relatives à des choses (voitures, compteurs d'électricité) ou à des animaux (puces électroniques de chiens ou de chats), pour autant qu'elles puissent être raisonnablement couplées à des personnes physiques.

Les projets utilisant des ensembles de données riches en variables (telles que l'endroit, le prix (la catégorie de prix), le moment et le lieu de l'achat dans le cadre de données de transaction) où il y a de grandes chances qu'une combinaison de ces variables définisse un individu de façon univoque, présentent également un risque élevé de "singling out" et, partant de réidentification. Tel est par exemple le cas pour les données générées par de nombreuses applications mobiles, des ensembles de métadonnées financières, l'historique de navigation ou des données de compteurs intelligents.

Source : article 4, 1) du RGPD

Taxonomy: 

Le champs d’application du nouveau règlement n’inclut pas les données à caractère personnel des personnes décédées. Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

Il reste à voir, si les autorités politiques belges adopteront des règles concernant les données personnelles des personnes décédées.

Attention, une personne décédée et ses données peuvent bénéficier d’une protection en vertu d’une autre réglementation. Quelques exemples pour illustrer ces propos: le droit fondamental au respect de la vie privée repris à l’article 8 de la Convention européenne des droits de l’homme et à l’article 22 de la Constitution; l’accès aux dossiers de patient de personnes décédées régi par une législation relative à la santé telle que la loi du 22 août 2002 relative aux droits du patient.

En outre, il ne faut pas non plus oublier que des données d’une personne décédée peuvent également contenir des informations personnelles d’autres personnes (toujours vivantes), comme des membres de la famille ou des proches. La nouveau règlement s’appliquera à ces données dans la mesure où elles peuvent être considérées comme des données à caractère personnel relatives à des membres de la famille ou à des proches encore en vie.

Source: considérants 27, 158 160 du RGPD

Taxonomy: 

Le RGPD s’applique tant aux autorités publiques qu’aux entités privées. Néanmoins, le RGPD tient compte des caractéristiques propres aux institutions publiques et prévoit quelques exceptions dans l’application du Règlement. Parmi celles-ci on peut par exemple citer :

  • Le fait que les autorités publiques ne peuvent utiliser l’intérêt légitime comme base légale justifiant la licéité du traitement (considérant 47 and art. 6.1).
  • Les autorités publiques sont tous obligées de se doter d’un délégué à la protection des données (art. 37.1.a).
Taxonomy: 

Le champs d’application du RGPD n’inclut pas les données à caractère personnel des personnes décédées. Toutefois, les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées (considérants 27, 158 160).

Il reste à voir, si les autorités politiques belges adopteront des règles concernant les données personnelles des personnes décédées.

Attention, une personne décédée et ses données peuvent bénéficier d’une protection en vertu d’une autre réglementation. Quelques exemples pour illustrer ces propos: le droit fondamental au respect de la vie privée repris à l’article 8 de la Convention européenne des droits de l’homme et à l’article 22 de la Constitution; l’accès aux dossiers de patient de personnes décédées régi par une législation relative à la santé telle que la loi du 22 août 2002 relative aux droits du patient.

En outre, il ne faut pas non plus oublier que des données d’une personne décédée peuvent également contenir des informations personnelles d’autres personnes (toujours vivantes), comme des membres de la famille ou des proches. La RGPD s’appliquera à ces données dans la mesure où elles peuvent être considérées comme des données à caractère personnel relatives à des membres de la famille ou à des proches encore en vie.

Plus d'informations: Version annotée de la Loi vie privée

Taxonomy: 

Le responsable du traitement est responsable du respect du RGPD et il doit être en mesure de démontrer que celui-ci est respecté ("responsabilité") (art. 5.2. du RGPD). Le responsable du traitement doit prendre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce règlement. Dans ce cadre, il doit tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.

Les sous-traitants doivent également répondre aux exigences de ce règlement (art. 28.1 du RGPD).

Afin d'aider les responsables du traitement et les sous-traitants, la Commission vie privée et le Groupe 29 ont promulgué des lignes directrices concernant le RGPD, parmi lesquelles des recommandations :

• la brochure sur le "Plan en 13 étapes"
• les lignes directrices provisoires concernant l'Analyse d'impact relative à la protection des données (DPIA pour Data Protection Impact Assessment),
• les lignes directrices concernant le Délégué à la protection des données (DPO pour Data Protection Officer),
• les lignes directrices concernant la Portabilité des données (Data portability),
• les lignes directrices concernant l'Autorité de contrôle chef de file (lead DPA).

Il existe des modèles et des check-lists sur Internet.

La Commission vie privée et le Groupe 29 formulent ces recommandations/lignes directrices car des modèles et check-lists ne sont en soi pas suffisants pour saisir la réalité interne variée et souvent complexe de tous les responsables du traitement et sous-traitants.

Taxonomy: 

Le RGPD ne s'applique pas à des données à caractère personnel qui ne sont pas structurées et qui ne sont pas accessibles selon certains critères.

Exemple : les e-mails qui se trouvent dans un programme de messagerie (par ex. Outlook) constituent un stockage structuré de données car de nombreux programmes de messagerie permettent une fonction de recherche sur une caractéristique unique qui peut être couplée à une personne physique. Un recueil de mails imprimés qui n'ont pas été collectés ou rangés selon un classement déterminé ne relève toutefois pas du champ d'application du RGPD.

La règle générale est que le RGPD s'appliquera à la plupart des situations. À notre époque moderne actuelle, le stockage non automatisé (et non structuré) de données est devenu si rare qu'il est presque devenu introuvable et limité à des situations très spécifiques (fichiers manuels qui sont conservés sans le moindre archivage structuré, comme un recueil non classé d'articles de presse dans des archives). Dès qu'il y a un traitement automatisé (comme à l'aide de moyens ICT), une certaine structure sera présente dans le traitement de données à caractère personnel.

Taxonomy: 

Le RGPD et la Commission vie privée ne se prononcent pas sur ce que constituent « les mesures techniques et organisationnelles appropriées » que doivent mettre en place responsables de traitement et sous-traitants pour sécuriser les données. Il incombe à ces acteurs de déterminer si « compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques » les mesures de sécurité mises en place garantissent un niveau de sécurité adapté au risque que présente le traitement.

Il nous semble qu’un ’hacker’ avec de bonnes intentions mais agissant uniquement de manière autonome a un risque de se faire qualifier de « responsable de traitement ».

Une personne engagée en tant que sous-traitant par le responsable du traitement afin d’effectuer des tests de sécurité sur les bases de données ne sera pas dans le cas de figure ci-dessus.

Remarque : Il faut être attentif au fait qu’il existe des lois spécifiques sur les « computer crime ».

Taxonomy: 

La notion de ‘petites et moyennes entreprises’ n’est pas défini par le RGPD. Considérant 13 de la RGPD fait référence à l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission.

Afin d'assurer un niveau cohérent de protection des personnes physiques dans l'ensemble de l'Union, le RGPD s’applique de la même manière à tous les opérateurs économiques. Les petites et moyennes entreprises sont donc tenues aux même obligations en matière de protection des données que les grandes entreprises, lesquelles obligations prennent en compte le niveau de risque présenté par le traitement.

A noter qu’en vertu de l’article 30 (alinéa 5 du RGDP, les entreprises de moins de 250 personnes sont dispensées de l’obligation de maintenir un registre des activités de traitement. Attention, cette exemption ne s’applique pas si :

  • le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées ;
  • le traitement n'est pas occasionnel ou
  • s'il porte notamment sur les catégories particulières de données (art. 9 RGDP) ou
  • sur des données à caractère personnel relatives à des condamnations pénales et à des infractions (art.10 RGDP).

La portée de cette exemption est développée dans la “Recommandation relative au Registre des activités de traitements (article 30 du RGPD)” qui sera prochainement publiée sur le site de la Commission vie privée.

Taxonomy: 

La Commission vie privée estime souhaitable que les notions d’ « autorité publique » et « organisme public » soient précisée dans le cadre de la transposition du RGPD en droit national. La rédaction de cette législation est actuellement prise en charge par le SPF Justice. A défaut d’une clarification de cette notion, il incombera à chaque organisation de déterminer si elle constitue un organisme public au sens du RGPD, en fonction des règles de droit administratif et de la jurisprudence applicable.

Taxonomy: 

Les données à caractère personnel ne peuvent être traitées que si le traitement est basé sur une base de légitimité. Il faut déterminer quelle base de légitimité vous est applicable. Il ne s’agit pas d’une nouveauté. C’est déjà le cas sous la loi actuelle.

Le RGPD liste de manière exhaustive les possibles bases de légitimité. Cette liste peut être retrouvée à l’article 6 du RGPD. Il n’existe pas de définition de ce terme, mais la lecture de l’article 6 du RGPD devrait aider à comprendre le sens de cette obligation.

Par ailleurs, le traitement des données à caractère personnel de vos clients doit également avoir une base de légitimité. Une fois cette base de légitimité déterminée, il faudra analyser les actions qui en découlent. Il est également important de savoir que si le traitement des données à caractère personnel s’effectue sur la base d’un consentement, le RGPD en son considérant 171 explique les conditions dans lesquelles un consentement donné avant le RGPD peut être réutilisé.

Taxonomy: 

La Commission vie privée n’envisage pas, à l’heure actuelle, d’adopter des clauses types pour les questions visées aux paragraphes 3 et 4 de l’article 28. L’un des objectifs du nouveau règlement est d’atteindre une plus grande harmonisation au sein de l’Union européenne. C’est la raison pour laquelle la Commission vie privée opte, de manière générale, pour une approche européenne.

Tous les documents pratiques adoptés au niveau européen sont et seront publiés sous le dossier thématique "RGPD" du site de la Commission vie privée.

Taxonomy: