RGPD en mode belgitude : le Délégué à la protection des données

RGPD en mode belgitude : le Délégué à la protection des données

27 octobre 2023 | Tu utilises des données

As-tu besoin de nommer un Délégué à la protection des données (DPD, ou DPO si tu préfères la version anglaise Data Protection Officer) pour t’aider à naviguer tes obligations quand tu utilises des données personnelles ?

En Belgique, le législateur a ajouté deux situations où c’est obligatoire de le faire, par rapport aux cas prévus dans le texte du RGPD.

Les situations habituelles où tu devras nommer un DPD, qu’importe ton pays..

C’est une obligation légale si tu es dans une des situations suivantes :

Tu es une autorité publique ou un organisme public (enfin, tu travailles pour une et ton employeur s’interroge sur la nécessité pour lui d’engager un DPD => c’est effectivement obligatoire) .
Tu es un organisme privé et dans le cadre de tes activités de base (ton « core business », pas tes activités « supports »), tu utilises des données personnelles pour effectuer un suivi régulier et systématique à grande échelle de tes clients, par ex.
Tu es un organisme privé et tu utilises des données personnelles « sensibles » (santé, opinion politique ou religieuse, etc.) ou « judiciaires » (ex : casier judiciaire) à grande échelle, que ce soit en ton nom propre ou quand tu agis comme sous-traitant RGPD pour un client.

Un peu de vocabulaire

Les notions comme le « suivi » « régulier » et « systématique » et « à grande échelle » ne sont pas définies dans le RGPD, mais dans des lignes directrices européennes (oui, on a de la lecture quand on s’intéresse au sujet..).

« suivi » = toutes les formes de suivi de comportement et de profilage sur internet (y compris à des fins de publicité comportementale) et en dehors.
« régulier » = continu ou se produisant à intervalles réguliers au cours d’une période donnée; récurrent ou se répétant à des moments fixes; ayant lieu de manière constante ou périodique
« systématique » = se produisant conformément à un système; préétabli, organisé ou méthodique; ayant lieu dans le cadre d’un programme général de collecte de données; effectué dans le cadre d’une stratégie

Exemples d’utilisation de données qui pourraient être un suivi régulier et systématique: « exploitation d’un réseau de télécommunications; fourniture de services de télécommunications; reciblage par courrier électronique; activités de marketing fondées sur les données; profilage et notation à des fins d’évaluation des risques (par exemple, aux fins de l’évaluation du risque de crédit, de l’établissement des primes d’assurance, de la prévention de la fraude ou de la détection du blanchiment d’argent); géolocalisation, par exemple, par des applications mobiles; programmes de fidélité; publicité comportementale; surveillance des données sur le bien-être, la santé et la condition physique au moyen de dispositifs portables; systèmes de télévision en circuit fermé; dispositifs connectés tels que les voitures et compteurs intelligents, la domotique, etc » (page 11, Lignes directrices concernant les délégués à la protection des données, mentionnées plus haut)

« à grande échelle » = Pas un chiffre absolu, mais une évaluation à effectuer selon différents facteurs (le nombre de personnes visées par ton utilisation de données par rapport à la population concernée; le volume de données et/ou le spectre des données traitées; la durée, ou la permanence, de ton utilisation de données, la portée géographique).

Exemples de traitement à grande échelle:
traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités; traitement des données de voyage des passagers utilisant un moyen de transport public urbain (par exemple, suivi par les titres de transport); traitement des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services; traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités; traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale; traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.
Exemples ne constituant pas un traitement à grande échelle:
traitement, par un médecin exerçant à titre individuel, des données de ses patients; traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel (page 10, Lignes directrices concernant les délégués à la protection des données, mentionnées plus haut)

« autorité publique ou organisme public » = une notion qui va varier dans chaque état. Et oui, la définition en elle-même est une spécificité belge ! Elle aura donc son propre article dont j’ajouterai le lien ici.

Les deux situations bonus pour la Belgique

Première situation

Tu es un organisme privé..

ET tu utilises des données perso pour une autorité publique fédérale ou pour toi mais tu as reçu les données de cette autorité

ET cette utilisation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne dont tu utilises les données.

Ce qui veut dire que non seulement tu devras nommer un DPD, mais aussi que l’autorité publique fédérale ou toi allez probablement devoir réaliser une AIPD (une analyse d’impact relative à la protection des données).

Article 21 de la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personne

Deuxième situation

Tu utilises des données personnelles “à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques”

ET tu veux bénéficier de certaines dérogations concernant l’exercice des droits des personnes (qui sont mentionnées dans les documents que tu veux archiver, par ex)

ET cette utilisation de données peut engendrer un risque élevé pour les droits et libertés de la personne (cf le cas d’avant, AIPD, tout ça).

Articles 186 et suivants de la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

Tu n’as pas d’obligation d’en nommer un et tu te dis que, quand-même, ce serait bien utile..

Bien entendu, tu peux toujours en nommer un sans que ce ne soit obligatoire. En interne au sein de ton organisation ou en externe, en engageant un « consultant indépendant ».

Si jamais tu décides de faire cela, sache que l’autorité de protection des données considèrera que tu dois respecter les mêmes obligations légales découlant de ton choix comme si tu étais dans une des situations obligatoires.

Et donc, entre autres, lui garantir une indépendance (au niveau de son positionnement en interne et des ressources à sa disposition pour qu’il puisse effectuer sa mission décrite par le RGPD) et une certaine protection (tu ne pourras pas le sanctionner parce qu’il a fait son travail).

Tu ne veux pas t’imposer d’engager un DPD si tu n’es pas obligé mais tu vois l’intérêt d’avoir une personne qui supervise les aspects protection des données..

Tu peux tout à fait créer une fonction spécifique qui reprend une partie des missions du DPD. Appelle-le comme tu veux tant que ce n’est pas DPD/DPO : data protection manager, privacy specialist, gestionnaire des données, data steward, etc.

Néanmoins, pour que ce travailleur puisse réellement t’aider à prendre soin de tes clients en t’aidant à adapter la façon dont tu utilises leurs données dans le respect de leurs droits, entre autres à la vie privée (du vrai customer care quoi), tu vas devoir lui permettre une certaine marge de manœuvre.

Et peut-être que ce qu’il va découvrir sur ton activité et les suggestions qu’il va te faire ne vont pas toujours te plaire. C’est pourtant toujours dans ton intérêt !

Comment ça ?

Ok, personne n’aime ça, que son projet soit retardé parce que l’outil qu’on avait prévu d’utiliser à la base n’a pas été audité du point de vue des mesures de sécurité entourant son utilisation des données personnelles. C’est une des choses que tout organisme est supposé faire quand il choisit un outil qui va utiliser des données personnelles.

Un exemple très concret ? Un outil de gestion de clients (CRM) qui ne possèderait pas de fonction « supprimer les données ». Alors que le RGPD te dit que tu dois conserver les données pendant une période limitée => ce qui est nécessaire pour atteindre l’objectif qui a motivé la collecte de l’information. Ce qui veut dire qu’un jour, tu dois effectivement supprimer certaines données.

Mais ce genre de soucis, tu préfères le découvrir avant d’avoir signé un abonnement avec ton outil en ligne qu’après, non ? Et certainement, tu préfères t’en rendre compte en autonomie, plutôt que « grâce » à l’Autorité de protection des données.

Et surtout, ça fait partie de ton apprentissage : la prochaine fois que tu devras choisir un outil, tu feras le point sur tes besoins en pensant à différents aspects.. dont celui de la protection des données.

Conclusion

Le DPD est là pour t’aider et t’accompagner dans ton activité.

Il ne va certainement pas te rendre conforme par sa seule présence, mais dans certaines situations (listées dans l’article), le simple fait de ne pas en avoir nommé un (avec déclaration de sa nomination à l’autorité de protection des données), c’est déjà une infraction au RGPD.

Et si tu considères que tu n’as pas d’obligation d’en nommer un, n’oublie pas de faire ton analyse par écrit, en indiquant les arguments qui selon toi (et ton contexte particulier) justifient ton point de vue.

Si tu n’es pas aux commandes de ton navire-business, cette justification devra être validée par la personne qui a le pouvoir d’engager l’organisme.

Parce que si l’obligation d’engager un DPD peut certainement souvent se discuter (vu que par exemple, le concept de « à grande échelle » n’est pas très précis), le fait de t’être posé la question (et de pouvoir le prouver => via un écrit donc) est obligatoire.

=> Tu veux connaître les autres surprises que l’état belge a prévues pour nous autres, organismes belges utilisant des données personnelles ? Tu trouves cela dans cet article (que je complète au fur et à mesure) !

Salut, moi c’est Mel’,

Juriste passionnée tombée dans la marmite du RGPD il y a maintenant 6 ans.
Depuis, j’ai compris qu’à côté des aspects légaux « administratif-punitif » pour nous avec notre casquette d’entrepreneur/travailleur, il y avait des enjeux très concrets pour les être humains.
Nos clients, nos collègues.
Nos proches.
Nous.
La société, même.

Tu as envie de comprendre :

les enjeux pour toi en tant que personne ?
=> Abonne-toi à mon compte Instagram ou pixelfed ou lis les articles de ce blog catégorie « On utilise tes données »
les enjeux pour toi en tant que travailleur / entrepreneur ?
=> Suis moi sur LinkedIn ou lis les articles de ce blog catégorie « Tu utilises des données »

Besoin d’aide pour déterminer si tu as besoin d’un DPD, ou tu es à la recherche d’un DPD externe ? N’hésite pas à me contacter pour une première discussion sans engagement et sans frais pour déterminer si nous sommes faits pour collaborer ou non.

← Article précédent Article suivant →

Retour au Blog

Sur le(s) même(s) thème(s)

Les messageries de réseaux sociaux, à utiliser pour ton business ?

16 novembre 2023 | Tu utilises des données

Tu as développé ton business en discutant avec tes prospects et clients via les réseaux sociaux ? Tu utilises les messages "directs" comme si c'était une messagerie confidentielle que seuls ton interlocuteur et toi-même pouvez consulter ? Comment te dire. À ce stade,...

Un registre RGPD de plus : fonctions accédant à certaines données

20 septembre 2023 | Tu utilises des données

Le RGPD et les registres, une grande histoire d'amour La faute au principe de responsabilité, le Règlement Général sur la Protection des Données ( RGPD) exige (plus ou moins explicitement) que tu mettes en place une documentation assez précise. Le but ? Pouvoir...

RGPD en mode belgitude : les spécificités belges

20 septembre 2023 | Tu utilises des données

Un règlement européen est supposé être un texte directement applicable dans les pays membres de l'Union Européenne, sans que les états n'aient à "transposer" (comprendre : concrétiser pour leur pays les principes généraux définis dans une directive) le contenu du...

Vis ma vie de sous-traitant RGPD

9 septembre 2023 | Tu utilises des données

Hier, j'ai reçu la confirmation d'un client que nous allons signer une annexe "contrat de traitement de données" à une lettre de mission que nous avons déjà en place. Mon premier contrat de traitement de données en tant que sous-traitant ! Une sombre histoire...

Rationaliser l’utilisation du cloud : charge mentale, RGPD et écologie

16 août 2023 | Tu utilises des données, Un pas de plus

Faire et défaire, c'est toujours travailler, il paraît. Hier, j'ai consacré un moment à faire le point sur mes documents stockés dans le cloud. Ça me semblait à l'époque (= avant 2017, moment où je suis tombée dans la marmite de la protection des données) une bonne...

« Entrées précédentes

Je suis à votre écoute 5j/7, alors n'hésitez pas !

Du lundi au vendredi, je réponds à toute demande de prestation ou de renseignement.

Contactez-moi