SlideShare ist ein Scribd-Unternehmen logo

earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection des données 2023

Als PPTX, PDF herunterladen
Lexing - Belgium
Lexing - Belgium

Comment limiter les risques en amont ? Comment se déroule concrètement un contrôle ? Comment y réagir ? Quel est l’ensemble de la documentation à pouvoir produire ? Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ? par Fanny COTON et Marie DEJAER.

Recht
1 von 58
ALL OVER THE WORLD Earlegal - Comment se préparer à un contrôle de l’Autorité de protection des données ? 20 janvier 2022 Fanny COTON Marie DEJAER
Présentation et logistique • Présentation co-organisée par Larcier-Intersentia et Lexing Belgium • La présentation est enregistrée – possibilité de couper votre caméra • La présentation vous est envoyée par courriel • Les vidéos sont disponibles en ligne quelques jours plus tard https://lexing.be/academie/earlegal/ • Un fil rouge - quatre questions
4 questions 1. Comment limiter les risques de contrôle en amont 2. Comment se déroule concrètement un contrôle ? Comment y réagir ? 3. Quel est l’ensemble de la documentation à pouvoir produire ? 4. Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ?
1. Comment limiter les risques en amont ?
Pourquoi ? Violations du RGPD, de la loi du 30 juillet 2018 mais aussi : de la loi caméra de la loi registre national
Qui peut se faire contrôler ? Quand ? En pratique : Une enquête fait suite à : A. Une plainte B. Une notification de fuite de données C. Une priorité stratégique de l’APD
A. Plaintes - Principales sources • Réponse insatisfaisante à une requête • Usage des caméras • Marketing direct
A. Plaintes – Difficulté de qualifier les requêtes Ex: Décision de l’APD 79-2021 : Le plaignant a adressé un courrier à un magazine, qui a été traité par le département « abonnements », mais aucune suite n’a été donnée à la demande d’accès aux données. - La personne concernée ne doit pas préciser l’article du RGPD sur laquelle elle se fonde. - Il n’est pas nécessaire non plus qu’elle adresse sa demande via le canal dédié. « Madame, Monsieur, J'ai reçu ce jour, une lettre datée du … concernant un prétendu contrat [...] suite à un appel téléphonique qui n'a jamais eu lieu avec moi. Veuillez me communiquer dans les 8 jours toutes les données que vous possédez à mon sujet et, le cas échéant, au sujet de l'adresse de mon domicile, cf. le RGPD. Comment avez-vous eu connaissance d’un numéro de compte bancaire ? Je n'autorise jamais de domiciliations.
B. Notifications - Tentation de les éviter ? • L’absence de toute notification pour des gros acteurs est considérée comme suspecte par l’APD • Alourdissement des sanctions devant la chambre contentieuse • Ne pas notifier = infraction en soi  pas une bonne stratégie
C. Priorités 2023 de l’APD • Les DPO • Les smart cities • Les cookies 18 janvier 2023 : EDPB Report of the work undertaken by the Cookie Banner Taskforce
Comment faire bonne impression ? A. à distance B. sur place
A.1.Site internet • Politique de protection des données accessible en bas de chaque page + affichage spécifique à chaque formulaire • Bannière cookies conforme
A.2. Ne pas oublier de notifier l’identité du DPD !
B.1. Soigner ce qui est visible depuis l'accueil • Horaires / périodes de congés visibles • Planning des rendez-vous… • Courrier entrant/sortant en attente • Moniteur d’ordinateur visible • Ecran de visionnage d’une caméra visible
B.2. Présence du pictogramme caméras • A chaque entrée (parking aussi) • Complété suite à la modification de la loi caméra en 2018 :  numéro de téléphone  coordonnées du DPD  URL de la politique de protection des données  concernant les images des caméras
B.3. Registre des visiteurs • nom • adresse professionnelle • employeur • véhicule • nom, section et fonction de la personne visitée • moment de la visite Recommandation d'initiative n° 01/2018
2. Comment se déroule concrètement un contrôle ? Comment y réagir ?
Pouvoirs des inspecteurs • recueillir des informations en ligne et/ou sur place • se faire communiquer tous renseignements ou documents utiles • auditionner des personnes • prendre des mesures provisoires • accès aux locaux • saisie et mise sous scellés • se faire assister par la police
Procédure écrite en général Procédure devant le Service d’Inspection généralement écrite, à l’exception de: • visite sur place • audition décidée uniquement à l’initiative du Service d’Inspection
Délai • Dans quel délai faut-il répondre ?  le Service d'Inspection précise toujours un délai de réponse  Délai plus court pour des documents qui devraient en principe pouvoir être présentés immédiatement. • Quid si délai impossible à respecter ?  Demande motivée écrite de prolongation au Service d'Inspection avant l'expiration du délai • Quid si délai non-respecté ? Manquement à l’obligation de coopération Le refus de communiquer certaines pièces doit être motivé et ne peut porter que sur certains éléments bien déterminés.
Droit d’être entendu ? D’être assisté par un avocat ? • Pas de droit à être entendu à ce stade. • Le Service d’Inspection n’accepte aucune demande de concertation (même par téléphone). • Droit à l’assistance d’un avocat : • Pour répondre aux questions écrites, • S’il y a une audition, • En cas de descente.
Droit de faire parvenir au Service d’Inspection tout document qu’on considère nécessaire pour assurer sa défense. MAIS ne pas répondre au-delà de ce qui est demandé ! Pour ne pas susciter de nouvelles questions
Jusqu’où peut aller l’enquête ? Ex : extension d’une plainte initiale
Ex 1 : Décision « Proximus » • Enquête suite à une  violation de données  notifiée à l’APD • Conclut que la violation de données a bien été gérée – pas de sanction • Mais enquête étendue à d’autres postes, notamment l’indépendance du DPO • Sanction de 50.000 EUR en raison du conflit d’intérêts résultant de la position du DPO
Ex. 2 : Commune Plainte d’un locataire concernant le formulaire à remplir par le propriétaire pour la taxe sur les secondes résidences Le Service d’inspection avait demandé à la Commune : • une copie de l’organigramme démontrant où s’y situait le DPD, • des documents démontrant à quoi était consacré son emploi du temps, • les documents qui démontraient ses compétences à exercer cette fonction, • une copie des avis qu’il avait donnés.  AVERTISSEMENT (décision APD 15/2020)
Langue de la procédure Note de l’APD relative à la politique linguistique de la Chambre Contentieuse La langue de la procédure est celle de la région linguistique du plaignant. MAIS si le défendeur est une autorité publique : on utilise la langue de la région linguistique où elle se trouve. Objection motivée à formuler dès le premier contact avec le Service d’inspection – changement de langue doit se demander dès le début
Quelles infos sur l’origine de l’enquête ? Droit d'être informé : le Service d’Inspection doit informer la personne contrôlée : • du but de l’enquête, • de la législation applicable. Mais enquête secrète : • Pas sûr que vient d’une plainte, • pas accès à la plainte, • pas d’info sur l’identité du plaignant éventuel
Rapport d’inspection Constatations effectuées par le Service d'Inspection : - violation ou non-violation d’une législation particulière, - constatations permettant de qualifier juridiquement les faits. - circonstances aggravantes / atténuantes - tout élément que le Service d’Inspection considère pertinent Toujours secret ! Le RT ne reçoit pas de copie à ce stade
Suites possibles • Transfert du dossier à la Chambre Contentieuse • Classement sans suite du dossier (par ex. si le plaignant ne répond pas) • Transfert du dossier au parquet • Transfert du dossier à une APD d'un autre état
Si transfert à la Chambre contentieuse Suites possibles : • Classement sans suite, • Enquête complémentaire • Décision light (ordonnance non- contradictoire avec possibilité d’opposition) • Décision au fond • Transfert au parquet
Procédure au fond devant la Chambre Contentieuse • Liste d’articles du RGPD etc. qui seraient violés • Délai de « conclusions » imposés (+/- 3 mois) • Accès pour la première fois : - à la plainte - au rapport d’inspection - dossier de pièces à demander expressément • Droit d’être entendu : à demander expressément (après l’échange de notes = plaidoiries) Présence du DPO utile
3. Quel est l’ensemble de la documentation à pouvoir produire ? ? 3.
Registre des traitements
(Registre en tant que sous-traitant)
Registre des caméras • type de lieu, • description technique des caméras, • emplacement (éventuellement sur plan), • mode d’information des personnes filmées • lieu du traitement des images, • visionnage en temps réel ou non, et manière dont il est organisé, • avis positif du conseil communal (pour les lieux ouverts ou les caméras dirigées vers le périmètre d’un lieu fermé), • description des zones surveillées et les périodes d’utilisation (pour les caméras temporaires ou mobiles)
Déclaration des caméras aux services de police https://declarationcamera.be/ + validation ANNUELLE
Registre des consultations du reg. national Avec motif de consultation !
Liste des catégories de personnes ayant accès : • aux données de santé • aux condamnations pénales
Registre de conservation et procédure d’effacement
Registre de conservation et procédure d’effacement • Calendrier réaliste • Attribution de rôles pour l’effacement
Contrats avec les prestataires ST : • Contrats/avenants signés • Conditions générales à télécharger pour les contrats d’adhésion • Clauses contractuelles types et mesures supplémentaires si hors UE Fournisseurs de données : • Contrats • Due diligence
Documents sociaux • Contrats/avenants signés avec le personnel • Politique de protection des données • « IT policy » - charte etc.
Suivi des requêtes des personnes concernées • Preuve de la réponse donnée • Problématique de la preuve d’effacement
Analyses d’impact Ou note d’accountability : absence de nécessité d’une analyse d’impact
Procédure en cas de violation de données +/- circonstance atténuante (Décision APD 22/2020)
Registre des incidents = registre des violations de données à caractère personnel. - Aussi les incidents non-notifiés - Assure la traçabilité et suivi des violations en interne - Démontre à l’APD un niveau satisfaisant de sécurisation des traitements
Preuve de conscientisation régulière • Dates • Contenu / support • Mise à niveau des nouveaux arrivants • Rappels pop up éventuels
4. Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ?
Les obligations du DPO pendant l’enquête Point de contact Conseille le RT/ST sur la réponse à apporter Ne doit pas répondre lui-même, mais uniquement s’assurer qu’une réponse soit envoyée Mais : • charte du Service d’inspection : possible que le SI exige explicitement une réponse à une question spécifique de la part du DPD • Demande souvent des documents concernant le DPO
Avis du DPD
Preuve que le DPD dispose de suffisamment de temps
Choix du DPD
Situation du DPD dans l’organigramme Preuve de rapport à l’échelon le plus élevé de la direction • Organigramme • Rapport annuel • Possibilité de rapporter à tout moment
Être bien préparé Prendre au sérieux : - toute requête d’une personne concernée - toute demande de renseignements de l’APD Take away message
Merci pour votre attention ! Des questions ?
Prochains EARLEGAL • 17 février 2023 : Infractions urbanistiques en RW – comment en sortir ? • 24 mars 2023 : Recours à l'IA : comment anticiper le futur cadre juridique ? • 21 avril 2023 : Difficultés financières d’un sous-traitant, quelles précautions? • 2 juin 2023 : Comment tirer parti des règlements DSA/DMA ?
Pensez à notre SERVICE DE VEILLE Analyse des décisions de l’APD et de la Cour des marchés Renseignements : f.coton@lexing.be

Empfohlen

earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
Lexing - Belgium
 
Depeche afp
Depeche afpDepeche afp
Depeche afp
maggica
 
earlegal #8 Comment implémenter le legal design dans vos contrats ?
earlegal #8 Comment implémenter le legal design dans vos contrats ?earlegal #8 Comment implémenter le legal design dans vos contrats ?
earlegal #8 Comment implémenter le legal design dans vos contrats ?
Lexing - Belgium
 
Quizz valider l'information en ligne
Quizz valider l'information en ligneQuizz valider l'information en ligne
Quizz valider l'information en ligne
CToutNet
 
Disabilities Awareness Merit Badge
Disabilities Awareness Merit BadgeDisabilities Awareness Merit Badge
Disabilities Awareness Merit Badge
ChrystalSmith4
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
Lexing - Belgium
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
Prof. Jacques Folon (Ph.D)
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internet
mariejura
 

Empfohlen

earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
Lexing - Belgium
 
Depeche afp
Depeche afpDepeche afp
Depeche afp
maggica
 
earlegal #8 Comment implémenter le legal design dans vos contrats ?
earlegal #8 Comment implémenter le legal design dans vos contrats ?earlegal #8 Comment implémenter le legal design dans vos contrats ?
earlegal #8 Comment implémenter le legal design dans vos contrats ?
Lexing - Belgium
 
Quizz valider l'information en ligne
Quizz valider l'information en ligneQuizz valider l'information en ligne
Quizz valider l'information en ligne
CToutNet
 
Disabilities Awareness Merit Badge
Disabilities Awareness Merit BadgeDisabilities Awareness Merit Badge
Disabilities Awareness Merit Badge
ChrystalSmith4
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
Lexing - Belgium
 
E comm et rgpd
E comm et rgpdE comm et rgpd
E comm et rgpd
Prof. Jacques Folon (Ph.D)
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internet
mariejura
 
Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
Université Pierre et Marie Curie
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
Lexing - Belgium
 
La Loi C28 : se conformer et se protéger
La Loi C28 : se conformer et se protégerLa Loi C28 : se conformer et se protéger
La Loi C28 : se conformer et se protéger
Philippe Le Roux
 
Brève histoire de la résolution des litiges en ligne
Brève histoire de la résolution des litiges en ligneBrève histoire de la résolution des litiges en ligne
Brève histoire de la résolution des litiges en ligne
Cedric Manara
 
La procedure electronique devant le conseil d'etat
La procedure electronique devant le conseil d'etatLa procedure electronique devant le conseil d'etat
La procedure electronique devant le conseil d'etat
Law Square
 
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdfRapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
satorisatori2
 
Afnic synthese consultation publique experts PARL OMPI
Afnic synthese consultation publique experts PARL OMPIAfnic synthese consultation publique experts PARL OMPI
Afnic synthese consultation publique experts PARL OMPI
Afnic
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
Luc-Marie AUGAGNEUR
 
SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGovSuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
Trägerverein SuisseID
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
BMMA - Belgian Management and Marketing Association
 
20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net
Luc Beirens
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
Cyril Marsaud
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
Un an de décisions PREDEC
Un an de décisions PREDECUn an de décisions PREDEC
Un an de décisions PREDEC
Cedric Manara
 
Accès à l’information et données ouvertes: Ami ou ennemi ?
Accès à l’information et données ouvertes: Ami ou ennemi ?Accès à l’information et données ouvertes: Ami ou ennemi ?
Accès à l’information et données ouvertes: Ami ou ennemi ?
Roberto Rocha
 
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACLes données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
ABES
 
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperlessearlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
Lexing - Belgium
 
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Fanny COTON
 
La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...
PMI-Montréal
 
Sirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopieSirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopie
Bart Van Den Brande
 
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
Lexing - Belgium
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
Lexing - Belgium
 

Weitere ähnliche Inhalte

Ähnlich wie earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection des données 2023

SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGovSuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
Trägerverein SuisseID
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...
PMI-Montréal
 
Sirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopieSirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopie
Bart Van Den Brande
 

Ähnlich wie earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection des données 2023 (20)

Conférence 16.11.2011
Conférence 16.11.2011Conférence 16.11.2011
Conférence 16.11.2011
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
 
La Loi C28 : se conformer et se protéger
La Loi C28 : se conformer et se protégerLa Loi C28 : se conformer et se protéger
La Loi C28 : se conformer et se protéger
 
Brève histoire de la résolution des litiges en ligne
Brève histoire de la résolution des litiges en ligneBrève histoire de la résolution des litiges en ligne
Brève histoire de la résolution des litiges en ligne
 
La procedure electronique devant le conseil d'etat
La procedure electronique devant le conseil d'etatLa procedure electronique devant le conseil d'etat
La procedure electronique devant le conseil d'etat
 
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdfRapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
Rapport_de_stage_dans_LE_TRIBUNAL_DE_PRE.pdf
 
Afnic synthese consultation publique experts PARL OMPI
Afnic synthese consultation publique experts PARL OMPIAfnic synthese consultation publique experts PARL OMPI
Afnic synthese consultation publique experts PARL OMPI
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGovSuisseID Forum 2015 | La signature qualifiée dans les processus eGov
SuisseID Forum 2015 | La signature qualifiée dans les processus eGov
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net20111216 La réputation de votre entreprise en danger sur le net
20111216 La réputation de votre entreprise en danger sur le net
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Un an de décisions PREDEC
Un an de décisions PREDECUn an de décisions PREDEC
Un an de décisions PREDEC
 
Accès à l’information et données ouvertes: Ami ou ennemi ?
Accès à l’information et données ouvertes: Ami ou ennemi ?Accès à l’information et données ouvertes: Ami ou ennemi ?
Accès à l’information et données ouvertes: Ami ou ennemi ?
 
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULACLes données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
Les données personnelles et les préconisations Abes - 2 octobre 2014 à la BULAC
 
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperlessearlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless
 
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
Earlegal #5 - Comment profiter d’un gain d’efficacité en devenant paperless ?
 
La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...La prévention des dommages aux infrastructures souterraines, une opportunité ...
La prévention des dommages aux infrastructures souterraines, une opportunité ...
 
Sirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopieSirius friday 3 privacy oba kopie
Sirius friday 3 privacy oba kopie
 

Mehr von Lexing - Belgium

Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Lexing - Belgium
 

Mehr von Lexing - Belgium (20)

earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
earlegal #11 - Expropriation et dépollution en Wallonie : comment réagir ?
 
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnesearlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
earlegal #9 - Marketing digital - vérifiez la conformité RGPD de vos campagnes
 
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
 

earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection des données 2023

  • 1. ALL OVER THE WORLD Earlegal - Comment se préparer à un contrôle de l’Autorité de protection des données ? 20 janvier 2022 Fanny COTON Marie DEJAER
  • 2. Présentation et logistique • Présentation co-organisée par Larcier-Intersentia et Lexing Belgium • La présentation est enregistrée – possibilité de couper votre caméra • La présentation vous est envoyée par courriel • Les vidéos sont disponibles en ligne quelques jours plus tard https://lexing.be/academie/earlegal/ • Un fil rouge - quatre questions
  • 3. 4 questions 1. Comment limiter les risques de contrôle en amont 2. Comment se déroule concrètement un contrôle ? Comment y réagir ? 3. Quel est l’ensemble de la documentation à pouvoir produire ? 4. Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ?
  • 4. 1. Comment limiter les risques en amont ?
  • 5. Pourquoi ? Violations du RGPD, de la loi du 30 juillet 2018 mais aussi : de la loi caméra de la loi registre national
  • 6. Qui peut se faire contrôler ? Quand ? En pratique : Une enquête fait suite à : A. Une plainte B. Une notification de fuite de données C. Une priorité stratégique de l’APD
  • 7. A. Plaintes - Principales sources • Réponse insatisfaisante à une requête • Usage des caméras • Marketing direct
  • 8. A. Plaintes – Difficulté de qualifier les requêtes Ex: Décision de l’APD 79-2021 : Le plaignant a adressé un courrier à un magazine, qui a été traité par le département « abonnements », mais aucune suite n’a été donnée à la demande d’accès aux données. - La personne concernée ne doit pas préciser l’article du RGPD sur laquelle elle se fonde. - Il n’est pas nécessaire non plus qu’elle adresse sa demande via le canal dédié. « Madame, Monsieur, J'ai reçu ce jour, une lettre datée du … concernant un prétendu contrat [...] suite à un appel téléphonique qui n'a jamais eu lieu avec moi. Veuillez me communiquer dans les 8 jours toutes les données que vous possédez à mon sujet et, le cas échéant, au sujet de l'adresse de mon domicile, cf. le RGPD. Comment avez-vous eu connaissance d’un numéro de compte bancaire ? Je n'autorise jamais de domiciliations.
  • 9. B. Notifications - Tentation de les éviter ? • L’absence de toute notification pour des gros acteurs est considérée comme suspecte par l’APD • Alourdissement des sanctions devant la chambre contentieuse • Ne pas notifier = infraction en soi  pas une bonne stratégie
  • 10. C. Priorités 2023 de l’APD • Les DPO • Les smart cities • Les cookies 18 janvier 2023 : EDPB Report of the work undertaken by the Cookie Banner Taskforce
  • 11. Comment faire bonne impression ? A. à distance B. sur place
  • 12. A.1.Site internet • Politique de protection des données accessible en bas de chaque page + affichage spécifique à chaque formulaire • Bannière cookies conforme
  • 13. A.2. Ne pas oublier de notifier l’identité du DPD !
  • 14. B.1. Soigner ce qui est visible depuis l'accueil • Horaires / périodes de congés visibles • Planning des rendez-vous… • Courrier entrant/sortant en attente • Moniteur d’ordinateur visible • Ecran de visionnage d’une caméra visible
  • 15. B.2. Présence du pictogramme caméras • A chaque entrée (parking aussi) • Complété suite à la modification de la loi caméra en 2018 :  numéro de téléphone  coordonnées du DPD  URL de la politique de protection des données  concernant les images des caméras
  • 16. B.3. Registre des visiteurs • nom • adresse professionnelle • employeur • véhicule • nom, section et fonction de la personne visitée • moment de la visite Recommandation d'initiative n° 01/2018
  • 17. 2. Comment se déroule concrètement un contrôle ? Comment y réagir ?
  • 18. Pouvoirs des inspecteurs • recueillir des informations en ligne et/ou sur place • se faire communiquer tous renseignements ou documents utiles • auditionner des personnes • prendre des mesures provisoires • accès aux locaux • saisie et mise sous scellés • se faire assister par la police
  • 19. Procédure écrite en général Procédure devant le Service d’Inspection généralement écrite, à l’exception de: • visite sur place • audition décidée uniquement à l’initiative du Service d’Inspection
  • 20. Délai • Dans quel délai faut-il répondre ?  le Service d'Inspection précise toujours un délai de réponse  Délai plus court pour des documents qui devraient en principe pouvoir être présentés immédiatement. • Quid si délai impossible à respecter ?  Demande motivée écrite de prolongation au Service d'Inspection avant l'expiration du délai • Quid si délai non-respecté ? Manquement à l’obligation de coopération Le refus de communiquer certaines pièces doit être motivé et ne peut porter que sur certains éléments bien déterminés.
  • 21. Droit d’être entendu ? D’être assisté par un avocat ? • Pas de droit à être entendu à ce stade. • Le Service d’Inspection n’accepte aucune demande de concertation (même par téléphone). • Droit à l’assistance d’un avocat : • Pour répondre aux questions écrites, • S’il y a une audition, • En cas de descente.
  • 22. Droit de faire parvenir au Service d’Inspection tout document qu’on considère nécessaire pour assurer sa défense. MAIS ne pas répondre au-delà de ce qui est demandé ! Pour ne pas susciter de nouvelles questions
  • 23. Jusqu’où peut aller l’enquête ? Ex : extension d’une plainte initiale
  • 24. Ex 1 : Décision « Proximus » • Enquête suite à une  violation de données  notifiée à l’APD • Conclut que la violation de données a bien été gérée – pas de sanction • Mais enquête étendue à d’autres postes, notamment l’indépendance du DPO • Sanction de 50.000 EUR en raison du conflit d’intérêts résultant de la position du DPO
  • 25. Ex. 2 : Commune Plainte d’un locataire concernant le formulaire à remplir par le propriétaire pour la taxe sur les secondes résidences Le Service d’inspection avait demandé à la Commune : • une copie de l’organigramme démontrant où s’y situait le DPD, • des documents démontrant à quoi était consacré son emploi du temps, • les documents qui démontraient ses compétences à exercer cette fonction, • une copie des avis qu’il avait donnés.  AVERTISSEMENT (décision APD 15/2020)
  • 26. Langue de la procédure Note de l’APD relative à la politique linguistique de la Chambre Contentieuse La langue de la procédure est celle de la région linguistique du plaignant. MAIS si le défendeur est une autorité publique : on utilise la langue de la région linguistique où elle se trouve. Objection motivée à formuler dès le premier contact avec le Service d’inspection – changement de langue doit se demander dès le début
  • 27. Quelles infos sur l’origine de l’enquête ? Droit d'être informé : le Service d’Inspection doit informer la personne contrôlée : • du but de l’enquête, • de la législation applicable. Mais enquête secrète : • Pas sûr que vient d’une plainte, • pas accès à la plainte, • pas d’info sur l’identité du plaignant éventuel
  • 28. Rapport d’inspection Constatations effectuées par le Service d'Inspection : - violation ou non-violation d’une législation particulière, - constatations permettant de qualifier juridiquement les faits. - circonstances aggravantes / atténuantes - tout élément que le Service d’Inspection considère pertinent Toujours secret ! Le RT ne reçoit pas de copie à ce stade
  • 29. Suites possibles • Transfert du dossier à la Chambre Contentieuse • Classement sans suite du dossier (par ex. si le plaignant ne répond pas) • Transfert du dossier au parquet • Transfert du dossier à une APD d'un autre état
  • 30. Si transfert à la Chambre contentieuse Suites possibles : • Classement sans suite, • Enquête complémentaire • Décision light (ordonnance non- contradictoire avec possibilité d’opposition) • Décision au fond • Transfert au parquet
  • 31. Procédure au fond devant la Chambre Contentieuse • Liste d’articles du RGPD etc. qui seraient violés • Délai de « conclusions » imposés (+/- 3 mois) • Accès pour la première fois : - à la plainte - au rapport d’inspection - dossier de pièces à demander expressément • Droit d’être entendu : à demander expressément (après l’échange de notes = plaidoiries) Présence du DPO utile
  • 32. 3. Quel est l’ensemble de la documentation à pouvoir produire ? ? 3.
  • 33.
  • 35. (Registre en tant que sous-traitant)
  • 36. Registre des caméras • type de lieu, • description technique des caméras, • emplacement (éventuellement sur plan), • mode d’information des personnes filmées • lieu du traitement des images, • visionnage en temps réel ou non, et manière dont il est organisé, • avis positif du conseil communal (pour les lieux ouverts ou les caméras dirigées vers le périmètre d’un lieu fermé), • description des zones surveillées et les périodes d’utilisation (pour les caméras temporaires ou mobiles)
  • 37. Déclaration des caméras aux services de police https://declarationcamera.be/ + validation ANNUELLE
  • 38. Registre des consultations du reg. national Avec motif de consultation !
  • 39. Liste des catégories de personnes ayant accès : • aux données de santé • aux condamnations pénales
  • 40. Registre de conservation et procédure d’effacement
  • 41. Registre de conservation et procédure d’effacement • Calendrier réaliste • Attribution de rôles pour l’effacement
  • 42. Contrats avec les prestataires ST : • Contrats/avenants signés • Conditions générales à télécharger pour les contrats d’adhésion • Clauses contractuelles types et mesures supplémentaires si hors UE Fournisseurs de données : • Contrats • Due diligence
  • 43. Documents sociaux • Contrats/avenants signés avec le personnel • Politique de protection des données • « IT policy » - charte etc.
  • 44. Suivi des requêtes des personnes concernées • Preuve de la réponse donnée • Problématique de la preuve d’effacement
  • 45. Analyses d’impact Ou note d’accountability : absence de nécessité d’une analyse d’impact
  • 46. Procédure en cas de violation de données +/- circonstance atténuante (Décision APD 22/2020)
  • 47. Registre des incidents = registre des violations de données à caractère personnel. - Aussi les incidents non-notifiés - Assure la traçabilité et suivi des violations en interne - Démontre à l’APD un niveau satisfaisant de sécurisation des traitements
  • 48. Preuve de conscientisation régulière • Dates • Contenu / support • Mise à niveau des nouveaux arrivants • Rappels pop up éventuels
  • 49. 4. Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ?
  • 50. Les obligations du DPO pendant l’enquête Point de contact Conseille le RT/ST sur la réponse à apporter Ne doit pas répondre lui-même, mais uniquement s’assurer qu’une réponse soit envoyée Mais : • charte du Service d’inspection : possible que le SI exige explicitement une réponse à une question spécifique de la part du DPD • Demande souvent des documents concernant le DPO
  • 52. Preuve que le DPD dispose de suffisamment de temps
  • 54. Situation du DPD dans l’organigramme Preuve de rapport à l’échelon le plus élevé de la direction • Organigramme • Rapport annuel • Possibilité de rapporter à tout moment
  • 55. Être bien préparé Prendre au sérieux : - toute requête d’une personne concernée - toute demande de renseignements de l’APD Take away message
  • 56. Merci pour votre attention ! Des questions ?
  • 57. Prochains EARLEGAL • 17 février 2023 : Infractions urbanistiques en RW – comment en sortir ? • 24 mars 2023 : Recours à l'IA : comment anticiper le futur cadre juridique ? • 21 avril 2023 : Difficultés financières d’un sous-traitant, quelles précautions? • 2 juin 2023 : Comment tirer parti des règlements DSA/DMA ?
  • 58. Pensez à notre SERVICE DE VEILLE Analyse des décisions de l’APD et de la Cour des marchés Renseignements : f.coton@lexing.be