Toolbox

L'Autorité met à disposition des outils destinés aux responsables du traitement et sous-traitants afin d’aider les entreprises et organisations dans la mise en oeuvre du RGPD.

Ces documents ont pour but d'aider le délégué à la protection des données, également appelés Data Protection Officer (DPO) et les responsables du traitement ou les sous-traitants dans l'application pratique des obligations de protection des données. Ils n'impliquent pas de prise de position de l'Autorité quant au contenu hormis la liste de jurisprudence de la Chambre Contentieuse de l’APD, et il n’y a pas d’obligation pour les responsables du traitement ou les sous-traitants d’utiliser ces documents.. Ces documents n'affectent en rien toutes les éventuelles actions futures de l'Autorité de protection des données (comme une demande complémentaire éventuelle d'informations ou une enquête par le service d’inspection). Il incombe en effet aux responsables du traitement de vérifier, conformément au principe de responsabilité dans l’article 5.2 lu en combinaison avec l’article 24 du RGPD, si et comment ces documents sont utilisés concrètement lors de la mise en œuvre des exigences du RGPD au sein de l'organisation. Evidemment le DPO peut fournir des avis utiles à cet effet (si un DPO a été désigné).
 

Grâce au plan en 13 étapes que nous proposons et aux informations complémentaires sur le site de l'Autorité de protection des données, vous pouvez établir un plan d’action. Ce plan en 13 étapes aide les entreprises et organisations à évaluer leur politique actuelle en matière de protection des données et à l’adapter aux exigences du RGPD.

Le modèle de registre que nous proposons contient plus d’informations que ce que l'article 30 du RGPD ne requiert. Ce modèle de registre doit donc être considéré comme un réel outil car il permet à l’utilisateur de garder une vue d’ensemble sur d’autres informations qui ont également une importance à la lumière de l’application du RGPD.

Que devez-vous faire si vous recevez des données à caractère personnel en vue de l'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ? Quand devez-vous établir un protocole en vertu de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ? Que devez-vous faire si vous échangez des données à caractère personnel avec des organismes de sécurité sociale ? Suivez ce plan par étapes pour le savoir.

En vertu de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, un protocole doit être établi pour certains échanges de données à caractère personnel réalisés par des organismes publics fédéraux. Vous  trouverez ici un modèle d'un tel protocole, ainsi que la recommandation n° 02/2020 du 31 janvier 2020.

Un plan en 7 étapes pour expliquer aux écoles comment traiter des données à caractère personnel et comment elles peuvent s'y prendre.

Chaque traitement de données à caractère personnel doit reposer sur une base juridique (article 6 du RGPD). Selon la base juridique et, dans certains cas, aussi selon le contexte du traitement de données à caractère personnel ou le type de traitement de données à caractère personnel, certains droits des personnes concernées sont d’application ou non. Ce schéma offre un aperçu des droits des personnes concernées qui s’appliquent ou non aux traitements de données à caractère personnel fondés sur les différentes bases juridiques. Enfin il est utile de savoir que l’Autorité de protection des données propose des lettres types aux personnes concernées qui veulent exercer leurs droits en matière de protection des données.

Une checklist pour aider les organisations à s’assurer que leurs pratiques en matière de cookies soient conformes aux réglementations en vigueur.
 

Documents pour le DPO

Le délégué à la protection des données (DPO) est parfois explicitement mentionné dans la jurisprudence. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif d’arrêts et de décisions concernant la désignation, la fonction et les missions du DPO.

Sujet Source Commentaire succint
L’indépendance fonctionnelle du DPO est essentielle (= application de l’article 38 RGPD). Cour de Justice, arrêt dans l’affaire C‑453/21 du 9 février 2023

L’indépendance fonctionnelle du DPO est essentielle et doit être garantie par son employeur ou client. Les paragraphes 3, 5 et 6 de l’article 38 RGPD y contribuent.

Il y a un conflit d’intérêt dans le chef du DPO au sens de l’article 38.6 RGPD lorsque le DPD se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.
Le DPO est protégé contre licenciement et sanctions pour l’exercice de ses missions (= application de l’article 38.3 RGPD). Cour de Justice, arrêt dans l’affaire C-534/20 du 22 juin 2022 Le DPO peut être licencié par son employeur ou client s’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou s’il ne s’acquitte pas de ses missions conformément aux dispositions du Règlement général sur la protection des données.
Le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant (= application de l’article 38.3 RGPD).

Autorité de protection des données, Décision quant au fond n° 136/2023 du 28 septembre 2023 concernant le traitement de données à caractère personnel dans le cadre d'une enquête sur la fraude

 Ce type de rapportage permet de s'assurer que la direction (par exemple le conseil d'administration) a connaissance des avis et des recommandations formulés par le DPO dans le cadre de sa mission d'information et de conseil auprès du responsable du traitement ou du sous-traitant.

Le DPO doit être associé de manière appropriée et en temps utile (= application de l’article 38.1 RGPD). Le DPO doit conseiller et contrôler (= application de l’article 39.1 RGPD).

Le DPO doit être associé à toutes les questions relatives à la protection des données à caractère personnel. Il n’est pas suffisant de n’impliquer le DPO qu’au moment où l’Autorité de protection des données prend contact.

Les règles concernant le DPO aident le DPO à effectuer ses missions.
L’organisation doit activement aider son DPO (= application de l’article 38.2 RGPD).

Les aspects suivants doivent être pris en considération :

  • Un soutien actif de la fonction du DPO par l’encadrement supérieur ;
  • Un temps suffisant pour que le DPO puisse accomplir ses tâches ;
  • Un soutien adéquat du point de vue des ressources financières, des infrastructures (locaux,
  • installations, équipements) et du personnel, le cas échéant;
  • Une communication officielle de la désignation du DPO à l’ensemble du personnel ;
  • Un accès nécessaire à d’autres services, tels que les ressources humaines, le service juridique,
  • l’informatique, la sécurité, etc. ;
  • Une formation continue ;
  • Compte tenu de la taille et de la structure de l’organisme, il est possible qu’il faille mettre en
place une équipe de DPO (un DPO et son personnel).
Un conflit d’intérêt dans le chef du DPO est interdit (= application de l’article 38.6 RGPD).

Le DPO d’une organisation ne peut pas en même temps être directeur de cette organisation.

 

Le cumul de fonctions de DPO et CISO (ce qui est une abréviation pour Chief Information Security Officer) n’entraine pas de conflit d’intérêt si le DPO ou CISO n’est pas responsable d’un département opérationnel.
Les exigences de qualité pour le DPO doivent être respectées (= application de l’article 37.5 RGPD).

Une connaissance approfondie des systèmes informatiques internes et une connaissance de tous les processus d'entreprise peuvent représenter une plus-value pour l'exercice de la fonction de DPO. Une connaissance de la législation en matière de protection des données est toutefois requise, surtout en vue de l'exercice des missions du DPO.

Le responsable du traitement et le sous-traitant doit justifier son choix pour son DPO. En effet le responsable du traitement et le sous-traitant a l'obligation de satisfaire à l'article 37.5 du RGPD qui prévoit que le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données

 

En tant que délégué à la protection des données (DPO) il est important de rester informé de la législation, de la jurisprudence et des pratiques en matière de protection des données. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif de sites internet gratuits contenant des informations sur la protection des données.

Site Commentaire succint

Commission européenne

 Ce site internet offre des informations sur la législation européenne en matière de protection des données.
Cour de Justice de l'Union européenne Ce site internet permet l’accès aux arrêts de la Cour de Justice en matière de protection des données.
Comité européen de la protection des données (European Data protection Board, en abrégé « EDPB »)

L’EDPB veille à ce que le règlement général sur la protection des données et la directive Police-Justice soient appliqués de manière cohérente et veille à la coopération européenne, notamment en matière répressive.

Les lignes directrices,  recommandations et bonnes pratiques de l’EDPB contiennent des analyses et commentaires très utiles. Par exemple les Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 contiennent des recommandations et commentaires concrets concernant le DPO.
Contrôleur européen de la protection des données (European Data Protection Supervisor, en abrégé « EDPS »)

L’une des tâches principales de l’ EDPS consiste à superviser les institutions de l’UE afin de les aider à être exemplaires concernant le traitement de données à caractère personnel.

En pratique, il s’agit notamment de publier des lignes directrices, d’enquêter sur les réclamations, de répondre aux consultations des institutions de l’UE et de mener des audits sur la protection des données.
Sources académique Commentaire succint
CiTip blog Ce blog contient de textes académiques concernant la protection des données.
CRIDS Privacy & Data Protection Cette page internet contient de textes académiques concernant la protection des données.

 

Quelles règles s'appliquent pour un DPO ? Quand désigner un DPO ? Qui désigner ? Quels sont les impératifs ? Lisez notre document sur les 10 règles de base concernant le délégué à la protection des données (DPO)

Une des missions du DPO consiste à dispenser des conseils sur toutes les questions relatives à la protection des données. En fonction du contexte (organisation, type de traitement, ...), il peut être recommandé d'utiliser la check-list du DPO. Ainsi, en tant que DPO, vous ne négligez aucun principe ni aucune obligation du RGPD lorsque vous dispensez vos conseils. Davantage d'explications par rubrique figurent en italique dans le document.

Une des missions du DPO consiste à dispenser des conseils sur toutes les questions relatives à la protection des données. En fonction du contexte (organisation, type de traitement, ...), il peut être recommandé d'utiliser le modèle suivant que l'organisation doit compléter avant que vous ne dispensiez vos conseils, en tant que DPO ou délégué à la protection des données. Cela permet à l'organisation de vous fournir des informations plus ciblées que vous pouvez utiliser au moment de dispenser vos conseils.

Une des missions du DPO ou délégué à la protection des données consiste à informer les collaborateurs de responsables du traitement et de sous-traitants quant aux obligations et principes du RGPD. Cette présentation comportant un exercice de puzzle relatif aux principes du RGPD peut être utilisée à cet effet. N'hésitez pas à lire également les notes figurant dans la présentation pour de plus amples explications sur la manière dont celle-ci peut être utilisée.