AXA utilise des cookies pour faciliter la visite du site. D’accord Plus d’information
Cookies. Votre navigateur n’accepte pas des cookies. Attention, le blocage de certains cookies empêche le fonctionnement correct du site. Plus d’information

  Bienvenue chez AXA

Sign In

GDPR: en quoi les institutions publiques sont-elles visées?

Frédéric Dechamps, avocat répond à nos questions.

Pouvez-vous rappeler les objectifs de cette règlementation européenne ?

Il s’agit de renforcer la protection des droits et libertés des personnes dont les données sont traitées et d’harmoniser la matière au sein de l’Union Européenne.

Plus précisément, le Règlement souhaite que les personnes physiques récupèrent le contrôle de leurs données à caractère personnel.

Qu’est ce qui est le plus urgent à faire ou mettre en place dans le cadre de ce règlement ?

La première pierre à poser est probablement de cartographier ses traitements de données à caractère personnel et de créer son registre pour avoir une vision claire de leur utilisation. Ce registre doit reprendre l’ensemble des traitements, types de données, finalités, les informations de sécurisation, les éventuels sous-traitants, … Plusieurs outils informatiques sont proposés pour créer ces registres.

Ces informations permettront de définir les modalités à mettre en place  telles que, par exemple, la rédaction d’une Charte vie privée, la mise en place d’une politique interne de confidentialité, etc.

Prenons le cas d’une commune, de nombreuses données personnelles y sont traitées mais c’est souvent le propre de leur service à la population. Il y a donc un « intérêt légitime ». Qu’est ce qui devra néanmoins changer ?

Le GDPR a inversé la réflexion quant au traitement des données à caractère personnel par le fait qu’il impose maintenant de fonder le traitement des données à caractère personnel sur une des six bases juridiques qu’il énonce (article 6).

Dans le cas d’une Commune, les traitements seront justifiés, principalement, sur les bases juridiques du respect d'une obligation légale et de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (dans le cadre de ce qui concerne l’intérêt communal).

En revanche, si une donnée à caractère personnelle est traitée par une Commune en dehors de l’exécution d’une obligation légale ou de l’exécution d’une mission d’intérêt public, elle devra le fonder sur une autre base juridique comme le consentement de la personne concernée par exemple.

A quoi faut-il faire le plus attention, qu’est ce qui est réellement considéré comme une donnée sensible ?

La sécurisation des données à caractère personnel est fondamentale au sens de la nouvelle réglementation, et il pourrait être demandé aux entités de démontrer un niveau de sécurité suffisant quant à la protection de ces données.

Les données dites sensibles sont définies par l’article 9 du Règlement et en principe le traitement de ces données est interdit. Il s’agit d’informations relatives à l'origine  raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, les données génétiques ou biométriques, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle, entre autres.

Il existe des exceptions à cette interdiction de traitement que les Communes pourraient invoquer, telle que « le  traitement est nécessaire pour des motifs d'intérêt public proportionné à l'objectif poursuivi » mais doit prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Les entités publiques sont obligées d’engager un responsable DPO ? Pouvez-vous nous en dire plus ?

Le DPO ou « Data Privacy Officer » doit en effet être désigné lorsqu’il s’agit d’une autorité publique ou d’un organisme public. Le DPO peut être nommé en interne ou pourra être externalisé et, dans le cadre des autorités publiques ou organismes publics, il est prévu qu’un seul DPO puisse être nommé pour « plusieurs autorités ou organismes, compte tenu de leur structure organisationnelle et de leur taille ».

Le rôle de ce DPO est varié, il doit conseiller le responsable de traitement, vérifier le respect de la réglementation, assurer la coopération avec l’autorité de contrôle, conseiller l’administration quant à certaines obligations particulières (analyse d’impact notamment) mais surtout, être le point de contact des citoyens concernant le traitement de leurs données.

Les Communes risquent-elles vraiment des sanctions ? Comment seront effectués les contrôles ?

Les Communes, comme toute entité soumise à la réglementation, seront susceptibles d’encourir les sanctions prévues dans le Règlement et infligées par l’autorité de contrôle belge en matière de protection des données.

Cependant, nous pensons qu’en la matière, l'autorité de contrôle devrait dans un premier temps, et avant de sanctionner les entités qui ne seraient pas en conformité avec la réglementation, jouer un rôle de conseiller.

Quid des CPAS, hôpitaux, zones de Police ? A quelles spécificités faut-il faire attention ?

La sécurisation des données détenues par ces entités est un point d’attention particulier au vu de la confidentialité et de l’importance que celles-ci revêtent pour les personnes concernées.

Un deuxième point d’attention concerne la formation et la sensibilisation des employés et des travailleurs aux nouvelles règles en matière de protection des données à caractère personnel. Le législateur européen y accorde en effet une importance particulière.

Concernant les CPAS, il faut mentionner un point d’attention concernant les données sensibles que les CPAS sont amenés à traiter dans le cadre de leur mission. Ils devront être attentifs à entrer dans un des cas d’exception qui est prévu par le Règlement car, comme évoqué, le traitement de ces données est en principe interdit.

Au sujet des hôpitaux et en raison du secret médical la sécurité des données est d’ores et déjà une priorité au niveau informatique.

En ce qui concerne les zones de police et les pouvoirs de police, il importe que les éventuels sous-traitants puissent fournir des garanties suffisantes en matière de sécurisation des données.

Frédéric Dechamps & Nathan Vanhelleputte
Avocats
www.lex4u.com
fd@lex4u.com