Petit-déjeuner : Le droit des contrats à l’épreuve du RGPD

contrats à l'épreuve du RGPDLe cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

Le droit des contrats à l’épreuve du RGPD

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




RGPD et Data : quels outils pour quelles obligations ?

quels outils pour quelles obligationsLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

RGPD/GDPR : quels outils pour quelles obligations ?

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 1er octobre et 15 novembre 2019 et présentera quels outils pour quelles obligations en abordant les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Formation sur les outils et process de mise en oeuvre du RGPD

outils et process de mise en oeuvre du RGPDLe cabinet anime une formation sur les outils et process de mise en oeuvre du RGPD pour Lamy Formation (Wolters Kluwer).

Les outils et process de mise en œuvre du GDPR (RGPD)

Cette formation est assurée par Alain Bensoussan, Chloé Torres et Naïma Alahyane Rogeon, les 2 juillet, 1er octobre et 15 novembre 2019 et abordera les grandes thématiques suivantes :

  • Les fondamentaux de la gestion d’un projet de mise en conformité au RGPD (concepts clés d’un projet « conformité au RGPD », cahier des charges, organigramme des tâches, procédures de prise de décision, budget, calendrier prévisionnels, documentation du projet, suivi des indicateurs, etc.) ;
  • Étape n°1 : établir une cartographie réglementaire en 4 phases (réunion de cadrage, recensement des traitements et cartographie juridique, analyse de conformité, plan de communication des résultats au métier) ;
  • Étape n°2 : Établir un chemin de route GDPR (plan d’actions, calendrier prévisionnel, outils) ;
  • Étape n°3 : Réaliser les actions de conformité : Méthode RACI (Réalisation – Accountable -Consultation – Information) ;
  • Étape n°4 : Implémenter les actions et assurer leur suivi (plan d’implémentation, localisation des documents, grille d’audit de contrôle, etc.).

Les objectifs sont les suivants :

  • Acquérir une méthodologie de gestion du projet de mise en conformité au GDPR ;
  • Maîtriser les outils indispensables du juriste data / DPO ;
  • Instaurer un process Compliance Data au sein de votre entreprise.

Voir le détail du programme




Le réseau Lexing® vous informe sur l’ application du RGPD

application du RGPDCe numéro spécial international est consacré à l’ application du RGPD par les autorités de protection des données des Etats membres.

Le Règlement général sur la protection des données personnelles offre aux autorités de contrôle des moyens de pression plus importants.

Grâce à ces nouveaux moyens les autorités peuvent agir efficacement contre tout organisme qui contreviendrait au RGPD.

En outre, le montant des sanctions prévu par le RGPD a été considérablement élevé (de l’ordre du milliard d’euros).

Par conséquent, il est intéressant de savoir comment ces diverses autorités se sont saisies de leur nouvelles prérogatives depuis mai 2018.

Les membres du réseau Lexing® dressent un tableau de la situation actuelle à travers le monde.

Les pays suivants ont contribué à ce numéro : Afrique du Sud, Allemagne, Australie, Belgique, France, Grèce, Hongrie, République tchèque.

Lettre Juristendances Internationales Informatique et Télécoms n°21, Avril 2019.




Cloud : quelles nouvelles contraintes réglementaires ?

contraintes réglementaires pour le cloudEric Le Quellenec évoquera lors du salon Cloud Computing World Expo le nouveau cadre réglementaire du cloud à l’heure du RGPD et du Cloud Act.

Rencontre d’experts, conférences, keynotes, rendez-vous business… les 20 & 21 mars 2019 se tiendra à la Porte de Versailles la 10ème édition du salon Cloud Computing World Expo. L’objectif : cerner en deux jours tous les enjeux autour du cloud computing.

Grâce aux RdV Business, aux conférences, à l’espace démonstration de logiciels et au vaste hall d’exposition, Cloud Computing World Expo procure aux visiteurs un événement incontournable pour mieux cerner les enjeux, les offres de services et les logiciels cloud. Une occasion unique de comprendre plus facilement les enjeux de demain…

Cloud Computing World Expo : 10 ans

10 ans, 10 milliards d’euros : c’est le poids actuel du marché Français du cloud computing, au moment où le salon Cloud Computing World Expo fête sa première décennie.

Mieux, les services cloud connaissent une croissance annuelle de l’ordre de 23%. Ils sont tirés par les logiciels délivrés à la demande, les plateformes PaaS, les prestations d’infrastructures, mais aussi la mobilité, l’IoT, l’intelligence artificielle…

Cloud Computing : comment progressent les usages ?

Selon Denis Rémy, directeur du salon, près de 64% des organisations européennes utiliseraient déjà des services et technologies cloud, et elles seront plus de 90% à exploiter plusieurs clouds d’ici à la fin 2020. Les recettes des services cloud public et privé dépasseraient alors les 64 milliards de dollars en Europe en 2020 (source IDC, citée par Denis Rémy) : « Le multicloud, les technologies de conteneurs, les micro-services applicatifs et le chiffrement des données apparaissent parmi les tendances principales pour les mois à venir. En quête d’agilité, de performances et de résilience, l’entreprise est maintenant confrontée à la gouvernance des actifs IT, à la conformité réglementaire des données numériques, à la portabilité des charges applicatives ».

RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ?

© David Autin

Le mercredi 20 mars 2019, à 14h30, se déroulera une conférence sur le thème : « RGPD, Cloud Act : quelles nouvelles contraintes réglementaires pour le cloud ? »

L’occasion d’évoquer le Cloud computing et la mise en conformité au RGPD ainsi que les incidences possibles du Cloud Act américain.

Avec la participation de :

A notre par ailleur que le jeudi 21 mars, Eric Le Quellenec particpera à une table ronde sur le thème : « Le ‘Cloud brokering’ en pratique : les avantages et les limites du modèle » Quelle réversibilité ? Faut-il prévoir un accompagnement ?

Participeront également à cette table ronde :

  • Gael Acke, DSI, Cerfrance Alliance
  • Stéphane Caron, manager Infrastructures, EDF
  • Jean-François Stricher, Chef de département Architecture et Solutions, Enedis

Table ronde animée par Philippe Roux, Animateur, Twin Sharks.

Informations pratiques

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




CNB : un module de formation de mise en conformité au RGPD

module de formationLe CNB a présenté un module de formation de mise en conformité à la réglementation Informatique et libertés spécialement développé pour les avocats, à l’occasion de la Journée mondiale de la protection des données.

Après le guide pratique « Les avocats et le RGPD » publié par le Conseil national des barreaux , le Barreau de Paris et la Conférence des Bâtonniers et dont l’objectif est d’aider les avocats à se mettre en conformité, le CNB recommande deux offres qu’il a sélectionnées, à l’issue d’un appel à candidatures : Lexing Alain Bensoussan avocats et Anaxil-DPMS / CMS-Bureau Francis Lefebvre.

Les délégués à la protection des données recommandés par le CNB sont Anne Renard pour le cabinet Lexing Alain Bensoussan avocats ainsi que Anne-Laure Villedieu et Xavier Leclerc pour Anaxil-DPMS / CMS-Bureau Francis Lefebvre.

Un nouveau module de formation e-learning est en cours d’élaboration pour permettre aux avocats d’accompagner les petites entreprises et les petites associations dans leur mise en conformité à la règlementation Informatique et libertés.

Module de formation : les avocats et le RGPD

Les cabinets avocats sont concernés par cette réforme : ceux-ci sont évidemment amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité du point de vue du droit des données personnelles.

Pour les accompagner dans leur mise en conformité et leur permettre de conseiller utilement leurs clients, le Conseil national des barreaux (CNB), le Barreau de Paris et la Conférence des Bâtonniers ont mis en place plusieurs outils dont un guide pratique auquel a largement contribué le cabinet Lexing Alain Bensoussan Avocats, intitulé « Les avocats et le RGPD ».




Les enjeux du RGPD : retour sur l’IT Tour 2018

IT Tour 2018 Le cabinet a participé à l’automne 2018 à l’IT Tour du Monde informatique autour des exigences IT, du RGPD et du Data Manage-ment. L’occasion, comme en 2017, pour le cabinet Lexing Alain Bensoussan Avocats d’apporter son expertise sur les enjeux autour du RGPD quelques mois après son entrée en application le 25 mai 2018.

L’IT Tour du Monde Informatique

L’IT Tour est un évènement qui réunit l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

« À la pointe de vos exigences IT » : tel est l’intitulé de l’édition 2018 de l’IT Tour qui s’est déroulé en région du 26 septembre au 6 décembre derniers.

A l’occasion de trois étapes (Lille le 4 octobre, Reims le 8 novembre et Orléans le 6 décembre), un représentant du cabinet Lexing Alain Bensoussan Avocats a participé à une table ronde consacrée au Data management et aux enjeux liés au RGPD.

Guide RGPD Acte 2

A l’occasion de l’édition 2018 était diffusé un Guide intitulé « RGPD Acte 2 Dossier – Témoignages – Analyse » auquel a également contribué le cabinet.

Avocate, directrice du département Sécurité numérique du cabinet Lexing Alain Bensoussan Avocats, Polyanna Bigle, y cosigne avec Alain Bensoussan un article intitulé : « RGPD : Les grandes tendances après son entrée en application ».

Tous deux y décryptent le bilan à tirer de la mise en conformité au RGPD, six mois (à l’époque) après son entrée en application le 25 mai 2018.

Quelles actions à prioriser ? Quels contrôles attendre de la Cnil ?

Rappelant que le Règlement européen 2016/679 relatif à la protection des données à caractère personnel (RGPD) renforce les droits des personnes dont les données sont collectées et traitées et met en place un système de conformité (principe d’accountability) que le responsable de traitement devra prouver, ils soulignent que « les programmes de mise en conformité au RGPD auront incontestablement constitué LE chantier de ces derniers mois pour les entreprises, les associations et les organismes publics ».

Et les deux avocats d’ajouter : « Il est toutefois clair que le 25 mai ne constituait qu’une étape et que les organisations doivent plus que jamais mettre en œuvre les obligations découlant du RGPD et enclencher un véritable processus vertueux de mise en conformité. Au risque sinon de s’exposer à de lourdes sanctions, l’autorité de contrôle pouvant être amenée à prononcer des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel ».

En conclusion, à leurs yeux, « pour les entreprises, un seul mot d’ordre : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

RGPD : les enjeux 2018-2019

Selon Alain Bensoussan et Polyanna Bigle, il s‘agit :

  • d’assurer le maintien en conditions opérationnelles de la conformité à la règlementation Informatique et libertés et de ce qui a été réalisé (cartographie, registre, mise à jour des mentions d’information, relations avec les sous-traitants) ;
  • d’établir un programme de contrôle de conformité à partir de 2019 et enclencher les actions associées ;
  • de stabiliser l’organisation et la gouvernance en la matière (ex. désignation et organisation du DPO).

Guide LMI CIO, RGPD Acte 2 Dossier, témoignages, analyse 2018 « RGPD : Les grandes tendances après son entrée en application » (extrait).

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Les outils de la compliance : l’exemple de la conformité au RGPD

complianceAlain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.




Céline Avignon participe à la dernière étape de l’IT tour 2018

Céline Avignon interviendra le 6 décembre 2018 à Orléans sur le thème du RGPD et du Data Management organisé par Le Monde Informatique, l’IT Tour est un évènement qui concentre l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

« À la pointe de vos exigences IT » : tel est l’intitulé l’édition 2018 de l’IT Tour.

A l’occasion de trois étapes de l’IT Tour 2018 (Lille le 4 octobre, Reims le 8 novembre, Orléans le jeudi 6 décembre), un représentant du cabinet Lexing Alain Bensoussan Avocats participe à une table ronde consacrée au Data management et aux enjeux liés au Règlement général sur la protection des donnéesIntitulée « RGPD Acte 2 : gagner en agilité et en conformité avec le Data management », celle-ci aborde les points suivants :

  • Bien préparer ses données, veiller à leur qualité ;
  • Intégrer, exploiter et valoriser dans le temps ses données ;
  • Les clés d’une gouvernance efficace des données.

Après Aurélie Banck à Lille et Virginie Bensoussan-Brulé à Reims, c’est Céline Avignon, Avocate à la Cour, Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, qui interviendra à Orleans le 6 décembre 2018.

La participation à l’IT TOUR 2018, gratuite, est réservée aux équipes IT (DSI, RSSI, chefs de projets…) des entreprises utilisatrices publiques ou privées.

Chacun des participants repartira avec le Guide RGPD acte 2 auquel a participé le cabinet Lexing Alain Bensoussan Avocats. 

Pour retrouver le programme de l’IT Tour 2018 du Monde informatique  et vous inscrire à l’IT tour.

Eric Bonnet
Directeur du Département Communication juridique




Juristendances Informatique et libertés n° 84 – 2018

Informatique et libertésA signaler dans la Lettre Juristendance Informatique et libertés n°84, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à signaler dans la Lettre Juristendance Informatique et libertés :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et libertés n°84, Novembre-Décembre 2018.




Sapin, Vigilance et RGPD au programme du Cercle de la Compliance

Vigilance et RGPDAlain Bensoussan est intervenu comme grand témoin lors de la 6e Conférence du Cercle de la Compliance sur « Sapin, Vigilance et RGPD ».

La 6ème conférence du Cercle de la Compliance s’est déroulée le 27 septembre 2018 à l’OCDE.

Les débats, autour de l’actualité de la compliance, étaient consacrés :

  • le matin au thème « Sapin, Vigilance et RGPD »,
  • et l’après-midi, au thème « Anticorruption, Antitrust, Sanctions ».

La journée a débuté par les interventions de :

  • Catherine Delhaye, Présidente du Cercle de la Compliance ;
  • Nathalie Loiseau, Ministre des Affaires Européennes ;
  • Bernard Cazeneuve, ancien Premier ministre.

Sapin, Vigilance et RGPD… Et après ?

Alain Bensoussan est intervenu à cette occasion dans le cadre d’une session intitulée : « Le RGPD, quatre mois après ».

Il a évoqué à cette occasion le thème « Combiner le RGPD, Sapin et Vigilance : un défi pour les Compliance Officers ».

Par ailleurs, le RGPD étant un thème transversal, Alain Bensoussan a accompagné les débats tout au long de la journée afin d’apporter son éclairage sur la dimension « protection des données » des thématiques qui étaient abordées.

Eric Bonnet
Lexing Direction de la communication juridique




RGPD : publication de la loi de protection des données belge

Loi de protection des données belgeLa Belgique a publié sa loi de protection des données le 5 septembre 2018 dans le Moniteur, l’équivalent de notre journal officiel.

Cette loi en date du 30 juillet 2018 (1)  (ci-après « la loi belge ») comporte 286 articles et semble particulièrement dense (à titre de comparaison la loi française en contient « à peine » une centaine).

Ce texte a pour effet :

  • d’abroger la loi du 8 décembre 1992 relative à la protection de la vie privée ;
  • d’introduire des spécificités nationales conformément au RGPD ;
  • de transposer la directive 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces données (dite « directive police-justice »).

La Belgique a donc usé des marges de manœuvre offertes par le RGPD.

L’âge du consentement numérique (art. 7)

L’article 8 du RGPD fixe à 13 ans le seuil à partir duquel un mineur peut donner son consentement au traitement de ses données dans le cadre des services de la société de l’information (c’est-à-dire en ligne).

En deçà, l’accord du titulaire de l’autorité parentale est nécessaire.

Cette disposition peut faire l’objet d’un aménagement. La France a ainsi choisi de relevé ce seuil à 15 ans et la Belgique a retenu 13 ans.

L’ajout d’exceptions permettant le traitement des catégories particulières de données (art. 8)

L’article 9 du RGPD interdit par principe le traitement des catégories particulières de données (2).

Des dérogations sont possibles notamment lorsque la personne concernée a donné son consentement explicite au traitement de ses données ou lorsqu’un traitement est nécessaire pour des motifs d’intérêt public important.

La Belgique précise ce dernier point et fixe une liste limitative de responsables du traitement pouvant invoquer cette exception.

Ces organismes sont :

  • les associations/fondations dont l’objet statutaire principal est la défense et la promotion des droits de l’homme et des libertés fondamentales (sous réserve que le Roi autorise le traitement par arrêté délibéré en Conseil des ministres et après avis de l’autorité de contrôle) ;
  • la fondation pour Enfants Disparus et Sexuellement Exploités ;
  • les associations/fondations agrées dont l’objet statutaire principal est la prise en charge des personnes dont le comportement sexuel relève d’infraction (sous réserve d’une autorisation spéciale du traitement par un arrêté royal délibéré en Conseil des ministres après avis de l’autorité de contrôle).

Des conditions supplémentaires pour le traitement des données génétiques, biométriques ou concernant la santé (art. 9)

L’article 9.4 du RGPD permet aux états membres d’imposer des conditions supplémentaires pour le traitement de ces données.

Désormais, en Belgique, les organismes souhaitant traiter ces données devront :

  • lister les personnes pouvant y accéder (en précisant leur mission) ;
  • mettre cette liste à disposition de l’autorité de contrôle ;
  • s’assurer que les personnes précitées ont une obligation de confidentialité.

L’élargissement des situations permettant le traitement des données relatives aux infractions et condamnations pénales (art. 10)

L’article 10 du RGPD prévoit deux hypothèses dans lesquelles le traitement de données d’infractions ou de condamnations est autorisé. D’une part, lorsque l’autorité publique exerce un contrôle. D’autre part, lorsque l’Union ou un état membre autorise ce type de traitement.

Ainsi, la France a intégré, dans sa loi de protection des données, une disposition permettant aux organismes de traiter les données susvisées aux fins de préparation et de gestion de leurs contentieux.

La loi de protection des données belge a prévu quant à elle une longue série d’exceptions permettant le traitement des données relatives aux infractions et condamnations pénales. Il est notamment possible pour la gestion des contentieux, pour la réalisation de motifs d’intérêt public important ou encore lorsque la personne concernée a donné son consentement explicite par écrit.

La limitation des droits des personnes dans le cadre des traitements émanant de certaines autorités (art. 11 et s.)

L’article 23 du RGPD offre la faculté aux états membres d’apporter des limitations aux droits des personnes.

En ce sens, la loi de protection des données belge prévoit que :

  • lorsque des responsables de traitement (3), traitent des données émanant de certaines autorités (4), les droits des personnes sont limités.
  • le responsable du traitement qui communique des données aux forces armés ou à l’organe de coordination pour l’analyse des menaces, ne doit pas indiquer que les autorités précitées sont destinataires des données.

Par exception, le responsable du traitement peut communiquer les données à la personne concernée dans deux cas :

  • lorsque la loi l’y oblige ;
  • lorsque l’autorité dont émane les données l’y a autorisé.

En tout état de cause, les responsables qui mettent en œuvre des traitements dans ce cadre doivent :

  • mettre en place des mesures de sécurité appropriées ;
  • s’assurer que les personnes amenées à traiter les données aient un accès limité aux données nécessaires à l’accomplissement de leur mission et qu’elles soient soumises à un devoir de discrétion.

Les dérogations pour les traitements à des fins journalistiques, d’expression universitaire, artistique ou littéraire

L’article 85 2° du RGPD permet aux états membres d’introduire des dérogations aux obligations posées par le RGPD lorsqu’un responsable met en œuvre des traitements aux fins susvisées.

L’article 24 de la loi de protection des données belge prévoit une série de dispenses concernant ces catégories de traitement. Ainsi, elles portent sur :

  • les principes applicables au traitement (consentement, consentement des enfants dans la société d’information, traitement des données relatives aux condamnations pénales et infractions…) ;
  • les droits des personnes ;
  • les obligations à la charge du responsable du traitement et du sous-traitant en matière de communication et coopération avec l’autorité de contrôle (mise à disposition du registre du traitement, coopération avec l’autorité de contrôle, notification des violations de données, consultation préalable …) ;
  • les exigences en matière de transfert de données ;
  • les pouvoirs d’enquête de l’autorité de contrôle.

L’action de groupe en matière de protection des données

L’article 80 du RGPD offre la possibilité aux États membres d’adopter des dispositions spécifiques afin d’introduire l’action de groupe en matière de protection des données.

La Belgique (comme la France) a choisi d’introduire cette possibilité. Ainsi, l’article 220 de la loi de protection des données belge offre la possibilité aux personnes concernées de mandater des organismes (6) pour qu’ils exercent un recours en leur nom (en cessation et en indemnisation du préjudice subi) devant l’autorité de protection des données ou une juridiction.

Les sanctions administratives et pénales de la loi de protection des données belge

L’article 83 7° du RGPD offre la possibilité aux états membres de déterminer dans quelle mesure une amende administrative peut être imposée à une autorité publique.

En ce sens, la loi de protection des données belge prévoit une exonération d’amende administratives pour les autorités publiques qui commettent des atteintes la protection des données.

Néanmoins, elles pourront faire l’objet d’amendes lorsqu’elles offrent des biens ou des services sur un marché.

Par ailleurs, la loi de protection des données belge introduit des nouvelles sanctions pénales en cas d’atteinte à la protection des données aux articles 222 à 230. Par exemple, le fait de traiter des données personnelles sans base juridique est passible d’une amende de deux cent cinquante euros à quinze mille euros.

Les règles applicables en matière de conflit de lois (art. 252)

Dans l’hypothèse d’un conflit de loi concernant la mise en œuvre d’un traitement, les règles de la loi du 30 juillet 2018 priment.

Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances

(1) Loi Belge C-2018/40581 du 30 juillet 2018, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.
(2) Donnée personnelle qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ; mais aussi les données génétiques, biométriques d’identification ou concernant la santé, la vie ou l’orientation sexuelle d’une personne. (art. 9 du RGPD).
(3) Sont visés les responsables du traitement désignés aux articles 11 et suivants de la loi de protection des données belge (fonctionnaires et agents de services publics, ministres et autorités administratives, personnes ou organisme relevant du secteur privé, etc.).
(4) Ces autorités sont celles visées aux articles 11 et suivants de la loi de protection des données belge. Il s’agit des services de renseignement et de sécurité, forces armées, organe de coordination pour l’analyse de la menace ; ou encore unité d’information des passagers, autorités judiciaires, services de police, etc.
(5) Cette obligation ne s’applique pas aux données publiques ou lorsque ce traitement est prévu par des dispositions UE ou nationales.
(6) Les organismes concernés doivent répondre aux conditions suivantes :
– ne pas poursuivre de but lucratif,
– être valablement constitué conformément au droit belge,
– avoir la personnalité juridique,
– avoir des objectifs statutaires d’intérêt public,
– être actif dans le cadre de la protection des droits et libertés dans le cadre de la protection des données depuis au moins trois ans.