Guide pratique du RGPD
Fiches de guidance
Axel Beelen
Philippe Lambrecht
Frédéric Dechamps
Bruylant
Préface
7
Avant-propos
9
Objectif de l'ouvrage
13
Partie 1
Les Fiches de guidance relatives au RGPD
Fiche de guidance n° 1
Le champ d'application matériel du RGPD19
A. Quels types de données sont concernés par le RGPD ?19
B. Qu'entend-on par « traitement de données » ?21
C. Qu'entend-on par « responsable du traitement » ?22
D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet23
Fiche de guidance n° 2
Le champ d'application territorial du RGPD25
A. Introduction25
B. Deux possibilités sont à envisager26
1. Le responsable du traitement ou le sous-traitant a un établissement stable dans l'UE26
2. Quid si le responsable du traitement ou le sous-traitant n'a pas un établissement stable dans l'UE ?26
C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet28
Fiche de guidance n° 3
Les principes généraux de protection des données29
A. Introduction29
B. Les principes30
C. Traitement secondaire32
D. Le respect du RGPD repose sur les épaules du responsable du traitement33
E. Les Lignes directrices du Groupe de Travail « Article 29 »34
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet34
Fiche de guidance n° 4
L'« accountability »35
A. Principe35
B. Mise en oeuvre36
C. Les Lignes directrices du Groupe de Travail « Article 29 »37
Fiche de guidance n° 5
Privacy by design et Privacy by default39
A. Introduction39
B. Implémentation dans le RGPD39
1. La privacy by design39
2. La privacy by default 41
C. Objectifs41
Fiche de guidance n° 6
Le consentement43
A. Introduction43
B. Caractéristiques et conditions du consentement44
C. Le consentement explicite46
1. Traitement des données « particulières » de l'article 9 du RGPD47
2. Décision individuelle exclusivement automatisée48
a. Règle générale
48
b. Exceptions
48
C. En cas d'application d'une des trois exceptions48
D. Conditions applicables au consentement des enfants en ce qui concerne les services informatiques49
E. Droit à l'effacement (« droit à l'oubli »)49
F. Lien avec le droit à la portabilité des données50
G. Le registre des consentements51
H. Les Lignes directrices du Groupe de Travail « Article 29 »51
I. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet51
Fiche de guidance n° 7
Les intérêts légitimes53
A. Introduction53
B. Analyse53
C. Présentation du LIA54
D. Présentation d'une analyse en étapes55
E. Exemples56
Fiche de guidance n° 8
Le registre des traitements57
A. Principe57
B. Contenu du registre58
1. Le registre du responsable du traitement58
2. Le registre du sous-traitant59
C. Exemption60
D. Exemples de registre60
E. Lignes directrices61
Fiche de guidance n° 9
La protection des données personnelles63
A. Introduction63
B. Principe64
C. Évaluation du niveau de sécurité65
D. La protection des bâtiments : un fondamental à ne pas négliger67
Fiche de guidance n° 10
L'analyse d'impact relative à la protection des données (AIPD)69
A. Principe69
B. Réalisation69
1. Introduction69
2. Les acteurs concernés71
3. Contenu d'une AIPD72
4. Qu'entend-on par « risque » ?73
5. Que veut dire « susceptible d'engendrer un risque élevé » pour les droits et libertés des personnes physiques ?74
6. Les mesures envisagées pour faire face aux risques78
7. Circonstances dans lesquelles une consultation préalable de l'autorité de contrôle des données personnelles est obligatoire78
8. Méthodologie à appliquer pour réaliser une AIPD80
9. Contrôle81
C. Recommandation d'initiative de la Commission belge pour la protection de la vie privée concernant l'analyse d'impact relative à la protection des données (n° 01/2018 du 28 février 2018)82
D. Lignes directrices du Groupe de Travail « Article 29 »82
Fiche de guidance n° 11
Le Délégué à la Protection des Données (DPD)83
A. Principe83
B. Une désignation obligatoire dans trois cas de figure84
C. Une désignation groupée86
D. Qui peut être DPD ?86
E. Fonctions du DPD87
F. Missions du DPD88
G. Toujours cette notion de « risque »90
H. Lignes directrices du Groupe de Travail Article 29 »91
Fiche de guidance n° 12
Les codes de conduite93
A. Introduction93
B. Utilités94
C. Procédure95
1. Le projet de code ne porte pas sur des activités de traitement menées dans plusieurs États membres95
2. Le projet de code de conduite concerne des activités de traitement menées dans plusieurs Etats membres96
D. Champ d'application des futurs codes de conduite96
E. Contrôle du respect du code de conduite97
F. Rôles des autorités de protection98
G. Autres rôles du CEPD98
H. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet99
Fiche de guidance n° 13
La labellisation et la certification101
A. Introduction101
B. Utilités des certifications, labels et marques101
C. Procédure102
D. Retrait de la certification103
E. Durée de la certification103
F. Registre des mécanismes de certification103
G. L'organisme de certification103
H. Contrôle des autorités de contrôle des données personnelles105
I. Rôle du CEPD105
J. Des lignes directrices officielles106
K. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet106
Fiche de guidance n° 14
Les transferts de données107
A. Principe107
B. Définition108
C. Interdiction de réaliser des transferts109
D. Transferts fondés sur une décision d'adéquation109
1. Mécanisme de la prise de décision109
2. Modifications possibles des décisions110
3. Publication des décisions111
E. Transferts moyennant des garanties appropriées112
F. Les règles d'entreprise contraignantes114
1. Conditions114
2. Une application pour l'ensemble des sociétés du groupe114
3. Contenu des BCR114
G. Transferts ou divulgations non autorisés par le droit de l'Union116
H. Quid s'il n'existe aucune décision d'adéquation ni aucune garantie appropriée ?116
I. Quid si aucune décision d'adéquation, si aucune garantie appropriée et si aucune des autres possibilités n'existe ?118
J. Coopération internationale dans le domaine de la protection des données à caractère personnel119
K. Lignes directrices du Groupe de Travail « Article 29 »119
Fiche de guidance n° 15
Les sous-traitants sous le RGPD121
A. Introduction121
B. Contenu minimum d'un contrat avec un sous-traitant123
C. Les précautions que les sous-traitants doivent prendre en compte pour intégrer les nouvelles exigences du RGPD125
D. Le sous-traitant doit se positionner comme partenaire de confiance125
E. Le sous-traitant, un maillon d'une chaîne de conformité126
F. Le ISMS (Information Security Management System), un appui incontournable126
Fiche de guidance n° 16
Les modalités d'exercice des droits des personnes concernées129
Introduction129
A. Langage des réponses (droit à la compréhension ou principe de transparence)129
B. Canal de communication130
C. Délai131
D. Coût132
E. Les Lignes directrices du Groupe de Travail « Article 29 »132
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet132
Fiche de guidance n° 17
Les huit droits des personnes concernées133
Fiche de guidance n° 18
Droit 1 : Le droit d'information des personnes concernées135
A. Introduction135
B. Première hypothèse : les données ont été collectées auprès de la personne concernée136
1. Principe de transparence136
2. La raison d'être de la séparation des 12 catégories d'information138
C. Seconde hypothèse : les données à caractère personnel n'ont pas été collectées auprès de la personne concernée139
1. Principe de transparence139
2. Délai de communication : un mois140
3. Pas d'obligation de fournir les informations141
D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet142
Fiche de guidance n° 19
Droit 2 : Le droit d'accès de la personne concernée143
A. Introduction143
B. Contenu du droit d'accès144
C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet146
Fiche de guidance n° 20
Droit 3 : Le droit de rectification de la personne concernée147
A. Contenu147
B. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet148
Fiche de guidance n° 21
Droit 4 : Le droit à l' « oubli » de la personne concernée149
A. Introduction149
B. Ce droit n'est pas absolu (partie 1)149
C. Comment supprimer définitivement les données ?150
1. Les différents types d'effacements151
2. Prouver que les données ont bien été effacées151
D. Avantages pour une entreprise à effacer les données151
E. Obligation d'informer les sous-traitants152
F. Le droit n'est pas absolu (partie 2)152
G. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet153
Fiche de guidance n° 22
Droit 5 : Le droit à la limitation du traitement155
A. Un droit aux contours assez flous155
B. Une utilisation limitée des données156
C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet157
Fiche de guidance n° 23
Droit 6 : Le droit à la portabilité des données159
A. Introduction159
B. Un droit double159
1. Première possibilité : celui de recevoir et de transmettre160
2. Deuxième possibilité : d'un responsable à un autre161
3. Conséquences techniques162
C. Limites à la portabilité163
1. Principe163
2. Précisions163
D. Données de la personne concernée qui contiennent des données de tiers164
E. Les Lignes directrices du Groupe de Travail « Article 29 »165
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet167
Fiche de guidance n° 24
Droit 7 : Le droit d'opposition à un traitement169
A. Introduction169
B. Limites169
C. Conséquences pour le responsable du traitement170
D. Différences avec la Directive de 1995170
E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet172
Fiche de guidance n° 25
Droit 8 : Le droit à ne pas faire l'objet d'une décision automatique, y compris le profilage173
A. Décision individuelle automatisée, y compris le profilage173
1. Règle générale173
2. Champ d'application de l'article 22 du RGPD176
3. Droit d'opposition partiel contre le profilage176
4. Droit à ne pas faire l'objet d'une décision fondée uniquement sur un traitement automatisé177
5. Exceptions à l'interdiction générale178
6. Obligation d'information du responsable du traitement180
7. Workflow d'analyse d'une décision automatisée181
B. La Recommandation du 23 novembre 2010 du Conseil de l'Europe182
C. Conséquences182
D. Le profilage doit également respecter l'ensemble des principes du RGPD184
E. Lignes directrices du Groupe de Travail « Article 29 »185
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet185
Fiche de guidance n° 26
Les violations de données personnelles187
A. Principe187
B. Trois hypothèses possibles189
1. Risque élevé : notification aux personnes concernées et à l'autorité de contrôle des données personnelles190
a. Délai de la notification
190
b. Contenu de la notification aux personnes concernées
190
c. Pas de notification aux personnes concernées si
191
2. Le risque est considéré comme non élevé : notification uniquement à l'autorité de contrôle192
a. Délai de la notification
192
b. Contenu de la notification
192
c. Tenue d'un registre des violations
193
C. Lien avec le Règlement notification ePrivacy du 24 juin 2013193
D. Les Lignes directrices du Groupe de Travail « Article 29 »196
Fiche de guidance n° 27
Les autorités de contrôle indépendantes197
A. Introduction197
B. Statut d'indépendance198
1. Obligation d'avoir au moins une autorité de contrôle de données personnelles par État membre198
2. Indépendance198
3. Conditions générales applicables aux membres de l'autorité de contrôle199
4. Règles relatives à l'établissement de l'autorité de contrôle199
C. Compétence, missions et pouvoirs200
1. Compétence200
2. Compétence de l'autorité de contrôle chef de file (traitements transfrontaliers)200
3. Missions des autorités de contrôle201
4. Pouvoirs d'enquête, mesures correctrices, pouvoirs d'autorisation et pouvoirs consultatifs des autorités de protection de données personnelles203
a. Pouvoirs d'enquête
203
b. Mesures correctrices
204
c. Pouvoirs d'autorisation et pouvoirs consultatifs
205
5. Rapports d'activité206
D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet206
Fiche de guidance n° 28
L'identification de l'autorité de contrôle chef de file en cas de transferts transfrontaliers (le guichet unique ou le « one-stop-shop »)207
A. Principe207
B. Quand avons-nous un traitement transfrontalier ?208
C. Identification de l'autorité de contrôle chef de file209
1. Principe209
2. Identification de l'autorité de contrôle chef de file pour un responsable de traitement210
3. Identification de l'autorité chef de file pour un sous-traitant211
D. Lignes directrices du Groupe de Travail « Article 29 »212
E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet212
Fiche de guidance n° 29
La bonne coopération entre les autorités de contrôle des données personnelles213
A. Introduction 213
B. Les mesures mises en place pour favoriser la coopération entre l'autorité chef de file et les autres autorités de contrôle213
1. L'obligation de coopérer ensemble (art. 61 du RGPD)214
a. La décision par consensus des autorités de protection
214
b. Gestion de la réclamation initiale
215
2. L'obligation de se prêter mutuellement assistance (art. 62)216
3. La faculté de mener des opérations conjointes (art. 63 du RGPD)218
a. Qui peut participer à ces opérations conjointes ?
218
C. Les traitements locaux219
D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet220
Fiche de guidance n° 30
Le mécanisme de contrôle de la cohérence221
A. Introduction221
B. Avis du CEPD221
1. Saisine obligatoire par une autorité de contrôle de données personnelles221
2. Saisine facultative222
3. Délai de réponse du CEPD et coopération des autorités de contrôle de données personnelles consultées par le CEPD223
C. Règlement des litiges par le CEPD223
1. Les décisions contraignantes du CEPD223
2. Délais et majorités224
D. La décision finale de l'autorité de contrôle de données personnelles225
E. Procédure d'urgence225
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet226
Fiche de guidance n° 31
Le CEPD (le « Comité européen de la protection des données »)227
A. Composition du Comité européen de la protection des données (CEPD)227
B. Indépendance228
C. Missions du comité228
D. Rapports231
E. Procédure231
F. Président231
G. Missions du président232
H. Secrétariat232
I. Confidentialité233
J. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet233
Fiche de guidance n° 32
Les voies de recours et les responsabilités235
A. Le sous-traitant pleinement concerné par les nouvelles règles235
B. Voies de recours et responsabilité236
1. Droit d'introduire une réclamation auprès d'une autorité de contrôle par une personne concernée236
2. Droit à un recours juridictionnel effectif contre une autorité de contrôle de toute personne physique ou morale236
3. Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant par une personne concernée237
4. Représentation des personnes concernées237
5. Suspension d'une action238
C. Droit à réparation et responsabilité238
D. Difficultés239
Fiche de guidance n° 33
Les sanctions et leur caractère dissuasif241
A. Introduction241
B. Conditions générales pour imposer des amendes administratives241
C. Autres sanctions246
D. Ligne directrices du Groupe de Travail « Article 29 »246
E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet246
Partie 2
Les Fiches de guidance thématiques
Fiche de guidance n° 1
L'approche basée sur les risques dans le RGPD249
A. Principe249
B. Conséquences250
Fiche de guidance n° 2
Le big data et le RGPD251
A. Introduction251
B. Qu'est-ce que le big data ?252
1. Les quatre V252
2. Le data storytelling253
3. Des utilisations multiples254
C. Les questions soulevées par le RGPD254
1. Présentation du sujet254
2. Les difficultés liées à la protection des données personnelles256
a. Le principe de limitation des finalités (ancien principe de proportionnalité)
257
b. Le principe de minimisation des données
258
c. Les principes d'exactitude et de limitation de la conservation
258
d. Les bases juridiques
258
e. Profilage
259
D. Les risques liés au big data (présentation sommaire)260
E. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet263
Fiche de guidance n° 3
Les objets connectés et le RGPD265
A. Introduction265
B. Difficultés du sujet265
Fiche de guidance n° 4
ePrivacy
267
A. Introduction267
B. Réactions268
C. Parlement européen269
D. Prochaines étapes272
Fiche de guidance n° 5
Principales différences entre le RGPD et la Directive de 1995275
A. Introduction275
B. Comparaison Directive - Règlement : Tableau275
Fiche de guidance n° 6
Un Règlement ? Non, une Règlective plutôt !277
A. Principe277
B. Tableau277
C. Conclusion279
D. Une directive qui ne dit pas son mot ?280
Fiche de guidance n° 7
Le RGPD et la Directive NIS283
A. Introduction283
B. Renforcer la capacité de résistance de l'UE aux attaques informatiques283
C. Obligations pour les États membres285
D. Des impacts importants aussi pour les entreprises286
E. Groupe de coopération287
F. Que doivent faire les sociétés afin de satisfaire à la directive NIS ?287
1. Comprendre que la sécurité informatique ne doit pas seulement être vue comme un problème IT287
2. Une analyse des vulnérabilités/des risques est essentielle287
3. Le risque informatique est devenu une problématique des conseils d'administrations288
4. Les sociétés vont devoir communiquer plus288
5. Les États vont fournir plus d'informations289
G. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet289
Fiche de guidance n° 8
Transformation digitale291
A. L'intérêt d'une approche « data centric » réussie291
B. Comment acquérir de la confiance digitale ?292
C. Une sécurité optimale vis-à-vis des données personnelles des clients293
D. Les actions à entreprendre293
E. Résultat295
Fiche de guidance n° 9
Le cloud computing et le RGPD297
A. Introduction297
B. Différentes sortes de cloud computing297
C. Marche à suivre298
D. Analyse de quelques points en particulier301
1. Archivage301
2. Cloud301
a. Responsable de traitement. Qui ?
301
b. Le respect des principes édictés par le RGPD
301
E. Attention au « vendor lock-in »304
F. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet304
Fiche de guidance n° 10
Le « legal assessment »305
A. Introduction305
B. Exemples de Legal Assessment305
C. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet308
Fiche de guidance n° 11
Le RGPD et le (direct) marketing309
A. Introduction309
B. Les règles du RGPD en la matière311
1. Le consentement311
2. La transparence312
C. Les règles de l'ePrivacy314
D. Les autres Fiches de guidance de l'ouvrage en rapport avec le sujet315
Fiche de guidance n° 12
La blockchain face au RGPD 317
A. Introduction (sommaire)317
B. Avantages et inconvénients d'une blockchain318
C. Le RGPD et les blockchains319
Fiche de guidance n° 13
À tenir à l'oeil !325
A. Le RGPD325
B. La proposition de Règlement ePrivacy326
C. Le futur Code des Communications Électroniques326
D. La mise en oeuvre de la Directive NIS327
E. La mise en oeuvre progressive de la Directive PSD2327
F. Le Brexit328
G. Les nouvelles technologies328
H. Open data et données à caractère non personnel329
Liste des Annexes
Annexe 1 - Bonus 1 : Pourquoi faut-il que les sociétés soient au plus vite conformes au RGPD ?
333
Annexe 2 - Bonus 2 : Aperçu de mesures à entreprendre pour être conforme au RGPD
335
Annexe 3 - Glossaire des termes et expressions les plus utilisés dans la matière de la protection des données à caractère personnel
343
Annexe 4 - Bibliographie (très) sélective
349