Comment limiter les risques en amont ?
Comment se déroule concrètement un contrôle ? Comment y réagir ?
Quel est l’ensemble de la documentation à pouvoir produire ?
Que doit pouvoir prouver le DPO par rapport à l’exercice de sa propre mission ?
par Fanny COTON et Marie DEJAER.
earlegal #9 - Comment faire face à des problèmes d’exécution (marché public) ?
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection des données 2023
1. ALL OVER THE WORLD
Earlegal -
Comment se
préparer à un
contrôle de
l’Autorité de
protection des
données ?
20 janvier 2022
Fanny COTON
Marie DEJAER
2. Présentation et logistique
• Présentation co-organisée par Larcier-Intersentia et Lexing
Belgium
• La présentation est enregistrée – possibilité de couper votre
caméra
• La présentation vous est envoyée par courriel
• Les vidéos sont disponibles en ligne quelques jours plus tard
https://lexing.be/academie/earlegal/
• Un fil rouge - quatre questions
3. 4 questions
1. Comment limiter les risques de contrôle en amont
2. Comment se déroule concrètement un contrôle ? Comment
y réagir ?
3. Quel est l’ensemble de la documentation à pouvoir produire
?
4. Que doit pouvoir prouver le DPO par rapport à l’exercice de
sa propre mission ?
6. Qui peut se faire contrôler ? Quand ?
En pratique :
Une enquête fait suite à :
A. Une plainte
B. Une notification de fuite de données
C. Une priorité stratégique de l’APD
7. A. Plaintes - Principales sources
• Réponse insatisfaisante à
une requête
• Usage des caméras
• Marketing direct
8. A. Plaintes – Difficulté de qualifier les requêtes
Ex: Décision de l’APD 79-2021 : Le plaignant a adressé un courrier
à un magazine, qui a été traité par le département « abonnements »,
mais aucune suite n’a été donnée à la demande d’accès aux
données.
- La personne concernée ne doit pas préciser l’article du RGPD
sur laquelle elle se fonde.
- Il n’est pas nécessaire non plus qu’elle adresse sa demande via
le canal dédié.
« Madame, Monsieur,
J'ai reçu ce jour, une lettre datée du … concernant un prétendu contrat
[...] suite à un appel téléphonique qui n'a jamais eu lieu avec moi.
Veuillez me communiquer dans les 8 jours toutes les données que vous
possédez à mon sujet et, le cas échéant, au sujet de l'adresse de mon
domicile, cf. le RGPD. Comment avez-vous eu connaissance d’un numéro de
compte bancaire ? Je n'autorise jamais de domiciliations.
9. B. Notifications - Tentation de les éviter
?
• L’absence de toute notification pour
des gros acteurs est considérée
comme suspecte par l’APD
• Alourdissement des sanctions devant
la chambre contentieuse
• Ne pas notifier = infraction en soi
pas une bonne stratégie
10. C. Priorités 2023 de l’APD
• Les DPO
• Les smart cities
• Les cookies
18 janvier 2023 : EDPB Report of the
work undertaken by the Cookie Banner
Taskforce
12. A.1.Site internet
• Politique de protection des données accessible en bas de
chaque page
+ affichage spécifique à chaque formulaire
• Bannière cookies conforme
13. A.2. Ne pas oublier de notifier l’identité du DPD !
14. B.1. Soigner ce qui est visible depuis l'accueil
• Horaires / périodes de congés
visibles
• Planning des rendez-vous…
• Courrier entrant/sortant en
attente
• Moniteur d’ordinateur visible
• Ecran de visionnage d’une
caméra visible
15. B.2. Présence du pictogramme caméras
• A chaque entrée (parking
aussi)
• Complété suite à la
modification de la loi caméra en
2018 :
numéro de téléphone
coordonnées du DPD
URL de la politique de protection des
données
concernant les images des caméras
16. B.3. Registre des visiteurs
• nom
• adresse professionnelle
• employeur
• véhicule
• nom, section et fonction de la personne visitée
• moment de la visite
Recommandation d'initiative n° 01/2018
18. Pouvoirs des inspecteurs
• recueillir des informations en ligne et/ou sur place
• se faire communiquer tous renseignements ou documents utiles
• auditionner des personnes
• prendre des mesures provisoires
• accès aux locaux
• saisie et mise sous scellés
• se faire assister par la police
19. Procédure écrite en général
Procédure devant le Service d’Inspection
généralement écrite, à l’exception de:
• visite sur place
• audition décidée uniquement à l’initiative
du Service d’Inspection
20. Délai
• Dans quel délai faut-il répondre ?
le Service d'Inspection précise toujours un délai de réponse
Délai plus court pour des documents qui devraient en principe
pouvoir être présentés immédiatement.
• Quid si délai impossible à respecter ?
Demande motivée écrite de prolongation au Service
d'Inspection avant l'expiration du délai
• Quid si délai non-respecté ?
Manquement à l’obligation de coopération
Le refus de communiquer certaines pièces doit être motivé et ne
peut porter que sur certains éléments bien déterminés.
21. Droit d’être entendu ?
D’être assisté par un avocat ?
• Pas de droit à être entendu à ce stade.
• Le Service d’Inspection n’accepte aucune demande de
concertation (même par téléphone).
• Droit à l’assistance d’un avocat :
• Pour répondre aux questions écrites,
• S’il y a une audition,
• En cas de descente.
22. Droit de faire parvenir au Service d’Inspection
tout document qu’on considère nécessaire
pour assurer sa défense.
MAIS ne pas répondre au-delà de ce qui est
demandé !
Pour ne pas susciter de nouvelles questions
24. Ex 1 : Décision « Proximus »
• Enquête suite à une
violation de données
notifiée à l’APD
• Conclut que la violation de
données a bien été gérée – pas de
sanction
• Mais enquête étendue à d’autres
postes, notamment
l’indépendance du DPO
• Sanction de 50.000 EUR en raison
du conflit d’intérêts résultant de la
position du DPO
25. Ex. 2 : Commune
Plainte d’un locataire concernant le formulaire à remplir par le
propriétaire pour la taxe sur les secondes résidences
Le Service d’inspection avait demandé à la Commune :
• une copie de l’organigramme démontrant où s’y situait le
DPD,
• des documents démontrant à quoi était consacré son emploi
du temps,
• les documents qui démontraient ses compétences à exercer
cette fonction,
• une copie des avis qu’il avait donnés.
AVERTISSEMENT (décision APD 15/2020)
26. Langue de la procédure
Note de l’APD relative à la politique linguistique de la Chambre
Contentieuse
La langue de la procédure est celle de la région linguistique du
plaignant.
MAIS si le défendeur est une autorité publique : on utilise la
langue de la région linguistique où elle se trouve.
Objection motivée à formuler dès le premier contact avec le Service
d’inspection – changement de langue doit se demander dès le
début
27. Quelles infos sur l’origine de l’enquête ?
Droit d'être informé : le Service d’Inspection
doit informer la personne contrôlée :
• du but de l’enquête,
• de la législation applicable.
Mais enquête secrète :
• Pas sûr que vient d’une plainte,
• pas accès à la plainte,
• pas d’info sur l’identité du
plaignant éventuel
28. Rapport d’inspection
Constatations effectuées par le Service d'Inspection :
- violation ou non-violation d’une législation
particulière,
- constatations permettant de qualifier
juridiquement les faits.
- circonstances aggravantes / atténuantes
- tout élément que le Service d’Inspection
considère pertinent
Toujours secret !
Le RT ne reçoit pas de copie à ce stade
29. Suites possibles
• Transfert du dossier à la
Chambre Contentieuse
• Classement sans suite du
dossier (par ex. si le
plaignant ne répond
pas)
• Transfert du dossier au
parquet
• Transfert du dossier à
une APD d'un autre état
30. Si transfert à la Chambre contentieuse
Suites possibles :
• Classement sans suite,
• Enquête complémentaire
• Décision light
(ordonnance non-
contradictoire avec
possibilité d’opposition)
• Décision au fond
• Transfert au parquet
31. Procédure au fond devant la Chambre
Contentieuse
• Liste d’articles du RGPD etc. qui seraient violés
• Délai de « conclusions » imposés (+/- 3 mois)
• Accès pour la première fois :
- à la plainte
- au rapport d’inspection
- dossier de pièces à demander expressément
• Droit d’être entendu :
à demander expressément (après l’échange de notes =
plaidoiries)
Présence du DPO utile
36. Registre des caméras
• type de lieu,
• description technique des caméras,
• emplacement (éventuellement sur plan),
• mode d’information des personnes filmées
• lieu du traitement des images,
• visionnage en temps réel ou non, et manière
dont il est organisé,
• avis positif du conseil communal (pour les lieux
ouverts ou les caméras dirigées vers le périmètre
d’un lieu fermé),
• description des zones surveillées
et les périodes d’utilisation
(pour les caméras temporaires ou mobiles)
41. Registre de conservation
et procédure d’effacement
• Calendrier réaliste
• Attribution de rôles pour l’effacement
42. Contrats avec les prestataires
ST :
• Contrats/avenants signés
• Conditions générales à télécharger
pour les contrats d’adhésion
• Clauses contractuelles types et
mesures supplémentaires si hors UE
Fournisseurs de données :
• Contrats
• Due diligence
46. Procédure en cas de violation
de données
+/- circonstance atténuante
(Décision APD 22/2020)
47. Registre des incidents
= registre des violations de données
à caractère personnel.
- Aussi les incidents non-notifiés
- Assure la traçabilité et suivi des
violations en interne
- Démontre à l’APD un niveau
satisfaisant de sécurisation des
traitements
48. Preuve de conscientisation régulière
• Dates
• Contenu / support
• Mise à niveau des nouveaux
arrivants
• Rappels pop up éventuels
49. 4.
Que doit pouvoir prouver le
DPO par rapport à l’exercice
de sa propre mission ?
50. Les obligations du DPO pendant l’enquête
Point de contact
Conseille le RT/ST sur la réponse à
apporter
Ne doit pas répondre lui-même, mais
uniquement s’assurer qu’une réponse
soit envoyée
Mais :
• charte du Service d’inspection : possible que le SI exige
explicitement une réponse à une question spécifique de
la part du DPD
• Demande souvent des documents concernant le DPO
54. Situation du DPD dans l’organigramme
Preuve de rapport à l’échelon le plus élevé
de la direction
• Organigramme
• Rapport annuel
• Possibilité de rapporter à
tout moment
55. Être bien préparé
Prendre au sérieux :
- toute requête d’une
personne concernée
- toute demande de
renseignements de l’APD
Take away message