Banque Carrefour de la sécurité sociale Quai de Willebroeck 38 B-1000 Bruxelles Site web BCSS: 09/2015 RÉGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES RÉGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE Lignes directrices pour le secteur social et le secteur de la santé
Structure 1.généralités 2.champ d'application 3.principes généraux dans le cadre du traitement de données à caractère personnel 4.licéité du traitement 5.conditions applicables au consentement 6.données sensibles 7.droit de la personne concernée 7.1. modalités générales 7.2. droits spécifiques 7.3. exception générale 2
Structure 8.responsable du traitement et sous-traitant 8.1. approche basée sur les risques 8.2. privacy by design/default 8.3.rapport avec le sous-traitant 8.4.protection 8.5.documentation 8.6.notification des incidents de sécurité 8.7. analyse d'impact relative à la protection des données 8.8. autorité de contrôle 3
Structure 9.délégué à la protection des données 10.divers utilisation numéro unique codes de conduite et certification transfert de données à des pays tiers one-stop shop imposer une amende administrative 11. points d'action 4
1. Généralités 5
après quatre ans de négociations, le Conseil, la Commission européenne et le Parlement européen sont parvenus à un accord sur un nouveau règlement en matière de protection de données à caractère personnel durant ces quatre années de négociations intensives, les inquiétudes des secteurs social et de la santé belges ont toujours été prises en compte dans le mandat de négociation -évolution vers un texte exécutable, garantissant les principaux principes -les nouveaux aspects sont indiqués en couleur dans la présentation 6
1. Généralités le règlement est entré en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018 règlement à effet direct et application globale et plus uniforme des règles, tandis que la directive devait être transposée en droit national par les Etats membres, ce qui entraînait nécessairement des différences 7
1. Généralités néanmoins larges possibilités de préciser les principes dans la réglementation nationale : révision profonde de la loi relative à la vie privée (LVP) -veiller à ce que l'échange électronique de données aisé dans le secteur social et le secteur de la santé ne soit pas inutilement entravé certains points pourraient entrer en vigueur avant 2018 suite à une adaptation de la LVP -notamment la suppression de la déclaration, la notification d'incidents de sécurité et la compétence de contrôle et de sanction pour le secteur public de nombreuses exceptions sont prévues -l'adaptation complémentaire de certains aspects du règlement est possible via la législation nationale 8
1. Généralités manque de précision et besoin d'interprétation; besoin d'harmonisation au niveau européen (par le Comité européen de la protection des données), par exemple -quelles activités donnent lieu à la désignation d'un délégué à la protection des données ? -qu'est-ce qu'un risque (élevé) ? … les traitements déjà en cours à la date d'application de ce règlement doivent être mis en conformité avec ce règlement dans un délai de deux ans après son entrée en vigueur 9
2. Champ d'application 10
2 Champ d'application matériel -le règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier -en général, pas de grands changements par rapport à la LVP, les mêmes termes sont maintenus 11
2. Champ d'application territorial -lorsqu'un responsable du traitement ou le sous-traitant est établi sur le territoire de l'UE, que le traitement ait lieu ou non dans l'UE -lorsque le responsable du traitement ou le sous-traitant n'est pas établi dans l'UE et que les intéressés se trouvent sur le territoire de l'UE (p.ex. sites web, services cloud d'entreprises aux Etats-Unis) dans ce cas, le responsable du traitement ou le sous-traitant désignent, par écrit, un responsable au sein de l'Union (pas applicable au secteur public !) 12
3. Principes généraux 13
3. Principes généraux licéité, loyauté et transparence -les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée limitation des finalités -les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités 14
3. Principes généraux minimisation des données (précédemment proportionnalité) -les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées exactitude -les données doivent être exactes et, si nécessaire, tenues à jour limitation de la conservation -les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées 15
3. Principes généraux intégrité et confidentialité -les données doivent être traitées de façon à garantir une sécurité appropriée à l'aide de mesures techniques ou organisationnelles appropriées responsabilité -en fonction du niveau de risque, le responsable du traitement est responsable du respect des principes (conformité des traitements de données) et est en mesure de démontrer ce respect 16
4. Licéité du traitement 17
4. Licéité du traitement le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie -la personne concernée a donné son consentement -le traitement est nécessaire : à l'exécution d'un contrat au respect d'une obligation légale à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique à l'exécution d'une mission d'intérêt public aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (pas pour les pouvoirs publics !) 18
5. Conditions applicables au consentement 19
5. Conditions applicables au consentement dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant exigences (explicites dans le règlement) -une action positive et explicite ; une action de l'intéressé est requise ; le consentement implicite n'est plus accepté -démontrable -retrait simple du consentement -informer clairement l'intéressé de cette possibilité 20
5. Conditions applicables au consentement le traitement de données d'un enfant âgé de moins de 16 ans (jusque l'âge de 15 ans) n'est licite que si le consentement est donné par un des parents (règle de base) Les Etats membres peuvent prévoir un âge inférieur à 15 ans, mais pas inférieur à 13 ans ; dans ce cas, le consentement parental sera requis jusqu'à l'âge déterminé par la loi 21
6. Données sensibles 22
6. Données sensibles le traitement portant sur des catégories particulières de données à caractère personnel, notamment appartenance syndicale, données de santé,... "données concernant la santé" ( définition large, pas d'approche téléologique) -les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne 23
6. Données sensibles bases du traitement, notamment -consentement explicite de l'intéressé -nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale -par une association à but non lucratif poursuivant une finalité syndicale, dans le cadre de ses activités légitimes et moyennant les garanties appropriées 24
6. Données sensibles 25 traitement possible, notamment -nécessaire pour des motifs d'intérêt public important ; pour des motifs d'intérêt public dans le domaine de la santé publique tels que la santé publique, la protection sociale et la gestion des services de soins de santé -nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale; dans ce cas, par ou sous la responsabilité d'un professionnel de la santé soumis à une obligation de secret professionnel, ou par une autre personne également soumise à une obligation de secret
6. Données sensibles Les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé 26
7. Droits de la personne concernée 27
7.1. Modalités générales renforcement des droits existants et introduction d'un nouveau droit modalités générales -transparent la personne concernée doit disposer d'informations et communications relatives au traitement qui sont concises, transparentes, aisément accessibles et faciles à comprendre -gratuit aucun paiement n'est exigé pour fournir les informations et pour procéder à toute communication et prendre toute mesure (à moins que les demandes de la personne concernée ne soient manifestement infondées ou excessives) 28
7.1. Modalités générales modalités générales -rapide le responsable du traitement fournit à la personne concernée des informations dans les meilleurs délais et en tout état de cause dans un délai d'un mois (actuellement 45 jours !) à compter de la réception de la demande formulée (ce délai peut, au besoin, être prolongé de deux mois compte tenu de la complexité) -prudent lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée 29
7.2. Droits spécifiques droit à l’information -la personne concernée doit obtenir des informations sur les données à caractère personnel la concernant qui sont traitées et sur les finalités de ce traitement -nouveautés la référence au délégué à la protection des données catégories de destinataires les bases de licéité du traitement le cas échéant, les intérêts légitimes du responsable du traitement l'information relative au transfert des données -le responsable du traitement qui a l'intention de procéder à un traitement ultérieur des données à des fins autres que celles pour lesquelles les données à caractère personnel ont été collectées, doit au préalable fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire 30
7.2. Droits spécifiques droit à l’information -notamment les nouveaux éléments suivants si le responsable du traitement estime que c'est nécessaire pour garantir un traitement loyal et transparent le délai de conservation ou les paramètres permettant de déterminer le délai de conservation le droit de retirer son consentement le droit d'introduire une réclamation auprès de l'autorité de contrôle la finalité du traitement ultérieur et les éléments d'information pertinents relatifs à ce traitement ultérieur l'existence d'une prise de décision automatisée des informations sur les nouveaux droits et le droit d'opposition dans tous les cas (et non seulement dans le cas de prospection) 31
7.2. Droits spécifiques droit à l’information -peut être fournie accompagnée d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu (lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine) -de nombreuses exceptions, notamment lorsque la personne concernée dispose déjà des informations ou (en cas de collecte indirecte) lorsque l'obtention ou la communication des informations sont expressément prévues par le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée 32
7.2. Droits spécifiques accès aux données -la personne concernée a le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel (copie ou sous forme électronique) ainsi que p.ex. les informations suivantes les finalités du traitement les catégories de données à caractère personnel concernées les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales si possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée le droit d'introduire une réclamation auprès d'une autorité de contrôle 33
7.2. Droits spécifiques rectification -la personne concernée a le droit d'obtenir, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes droit à l’oubli -le responsable du traitement a l'obligation d'effacer les données dans les meilleurs délais, lorsque l'un des motifs suivants s'applique : les données à caractère personnel ne sont plus nécessaires au regard des finalités la personne concernée retire le consentement sur lequel est fondé le traitement, et il n'existe pas d'autre fondement au traitement 34
7.2. Droits spécifiques droit à l’oubli la personne concernée s'oppose au traitement et il n'existe pas de motif légitime impérieux pour le traitement les données à caractère personnel ont fait l'objet d'un traitement illicite les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis -lorsque le responsable du traitement a rendu publiques les données à caractère personnel, il prend des mesures raisonnables pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci (engagement de moyen) -exceptions, notamment : lorsque le traitement de données à caractère personnel est prévu par la loi pour des motifs d'intérêt public dans le domaine de la santé publique 35
7.2. Droits spécifiques droit à la limitation du traitement -notamment lorsque l'exactitude des données à caractère personnel est contestée par la personne concernée obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement -le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement, à moins que cela se révèle impossible ou exige des efforts disproportionnés -le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande 36
7.2. Droits spécifiques droit à la portabilité des données -la personnes concernée a le droit de recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine (uniquement lorsque le traitement est fondé sur le consentement ou sur un contrat et qu'il est effectué à l'aide de procédés automatisés) -la personne concernée a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible exception : ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement 37
7.2. Droits spécifiques droit d'opposition -la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant pour la réalisation d'une mission d'intérêt public ou pour la défense de ses intérêts légitimes exception : le responsable du traitement démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée 38
7.2. Droits spécifiques décision individuelle automatisée -la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire exception : ne s'applique pas notamment lorsque la décision est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ou si la décision est fondée sur le consentement explicite de la personne concernée 39
7.3. Exception générale le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent limiter la portée des droits de la personne concernée -à condition que cette limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique -pour garantir notamment des objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale 40
7.3. Exception générale toute mesure législative introduisant ces limitations contient des dispositions spécifiques relatives, au moins, le cas échéant : -aux finalités du traitement ou des catégories de traitement -aux catégories de données à caractère personnel -à l'étendue des limitations introduites -aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites -à la détermination du responsable du traitement ou des catégories de responsables du traitement -aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement -aux risques pour les droits et libertés des personnes concernées -au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation 41
8. Responsable du traitement et sous-traitant 42
8.1. Approche basée sur les risques approche basée sur les risques -nouvelle approche basée sur le risque : le responsable du traitement devra dorénavant évaluer, de manière objective, le degré de probabilité et de gravité des risques pour les droits des personnes lorsqu'il effectue un traitement (fil conducteur dans l'ensemble du règlement) -certaines obligations sont toujours applicables, quel que soit le risque; lors de leur mise en œuvre il sera tenu compte du risque -certaines obligations font l'objet d'une exemption sur la base du risque -certaines obligations sont uniquement d'application si le risque est élevé (« high risk ») 43
8.1. Approche basée sur les risques responsabilité du responsable du traitement -compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des divers risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement 44
8.2. Privacy by design/default privacy by design -compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des divers risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée 45
8.2. Privacy by design/default privacy by default -le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée. 46
8.2. Privacy by design/default privacy by design/default -ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel pseudonymiser les données à caractère personnel dès que possible, garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel permettre à la personne concernée de contrôler le traitement des données permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer 47
8.3. Rapport avec le sous-traitant rapport avec le sous-traitant -choix judicieux d'un sous-traitant : lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée 48
8.3. Rapport avec le sous-traitant rapport avec le sous-traitant -régler la sous-traitance dans un contrat, comprenant notamment les éléments suivants ( plus large que le régime LVP ) : les finalités du traitement de données le type de données à caractère personnel les catégories de personnes concernées la protection adéquate des données l'exécution d'audits détruire les données ou les rendre au responsable à l'issue du traitement -le responsable du traitement doit garder le contrôle et le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement (important dans le cas d'environnements cloud) 49
8.4. Sécurité sécurité -compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des divers risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque 50
8.4. Sécurité ces mesures comprennent, selon les besoins, notamment : -la pseudonymisation et le chiffrement des données à caractère personnel -des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement -des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique -une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement voir les directives et les mesures de référence de la CPVP 51
8.5. Documentation documentation – registre des activités de traitement -le responsable du traitement ainsi que le sous-traitant doivent obligatoirement tenir par écrit (éventuellement en version électronique) un registre dans lequel sont décrites toutes les activités dans le cadre desquelles des données à caractère personnel sont traitées. Ce registre comporte notamment les informations suivantes: données de contact les finalités du traitement de données une description des catégories de personnes concernées et des catégories de données à caractère personnel les catégories de destinataires des données si possible, les délais de conservation envisagés si possible, une description des mesures de sécurité 52
8.5. Documentation documentation – registre des activités de traitement -le cas échéant, le registre est mis à la disposition de l'autorité de contrôle -ce registre n'est pas obligatoire pour les organisations comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données "sensibles" l'obligation de déclaration préalable est annulée 53
8.6. Notification des incidents de sécurité notification des incidents de sécurité -en cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l'autorité de contrôle compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques -lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. 54
8.6. Notification des incidents de sécurité notification des incidents de sécurité -la notification à la personne concernée n'est pas nécessaire le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser si la notification exigerait des efforts disproportionnés, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace application de l'exception générale aux droits de la personne concernée (voir slide 31) 55
8.7. Analyse d'impact relative à la protection des données analyse d'impact relative à la protection des données -lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel ; une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires 56
8.7. Analyse d'impact relative à la protection des données analyse d'impact relative à la protection des données -une telle analyse est, en particulier, requise en cas de profilage, de traitement à grande échelle de catégories particulières de données ou de surveillance systématique à grande échelle d'une zone accessible au public. A cet égard, il est déterminé pour quelle raison, de quelle manière et pendant combien de temps des données à caractère personnel sont traitées. Les risques présents doivent être inventoriés et évalués. Dans certains cas, il est même obligatoire de discuter l'analyse avec les personnes concernées 57
8.7. Analyse d'impact relative à la protection des données analyse d'impact relative à la protection des données -l'analyse contient au moins : une description systématique des opérations de traitement envisagées et des finalités du traitement une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques -l'autorité de contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise 58
8.7. Analyse d'impact relative à la protection des données analyse d'impact relative à la protection des données -une nouvelle analyse d'impact n'est pas nécessaire lorsque le traitement est justifié par la nécessité de respecter une obligation légale ou est exécuté dans l'intérêt général si celle-ci a déjà été exécutée lors de l'approbation de la base légale -pas obligatoire s'il s'agit du traitement de données à caractère personnel de patients ou clients par un médecin individuel, un autre professionnel des soins ou par un avocat -l'autorité de contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise 59
8.8. Autorité de contrôle consultation préalable de l'autorité de contrôle -le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque nouvelle obligation pour le responsable du traitement et le sous-traitant de coopération avec l'autorité de contrôle lorsque ce dernier le demande 60
8.8. Autorité de contrôle les comités sectoriels sont en principe maintenus, y compris les dispositions nationales en la matière -le droit des Etats membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. -le législateur doit se prononcer sur l'avenir des comités sectoriels : les missions, l'indépendance des membres, la désignation, etc. sont déterminés par la loi 61
8.8. Autorité de contrôle nécessité absolue de maintien des comités sectoriels -important facteur critique de succès pour l'informatisation du secteur social et du secteur de la santé -compétence normative (en conformité avec le règlement) : sens large de la notion de "loi", qui comprend p.ex. également les autorisations d'un comité sectoriel et qui augmente la flexibilité : lorsqu'il est fait référence à une base juridique ou à une mesure législative dans ce règlement, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée -concrétisation de "mesures appropriées", auxquelles il est régulièrement fait référence dans le règlement 62
8.8. Autorité de contrôle nécessité absolue de maintien des comités sectoriels -composition équilibrée avec d'une part des membres de la CPVP experts en matière de protection de la vie privée et de sécurité de l'information et d'autre part des experts indépendants, nommés par le Parlement -la suppression du système d'autorisations et le manque de flexibilité entraînerait un alourdissement et ralentissement des procédures existantes, une diminution du nombre de flux d'échange de données entre les institutions de sécurité sociale et les acteurs des soins de santé et, à terme, un affaiblissement de l'effectivité et de l'efficience, qui pourrait rendre impossibles les engagements de l'accord gouvernemental (e.a. datamatching, datamining,...) 63
9. Délégué à la protection des données 64
9. Désignation du délégué à la protection des données le délégué à la protection des données est une personne qui surveille la manipulation des données à caractère personnel au sein d'une organisation et qui vérifie si l'organisation respecte la loi et la réglementation applicable. Il doit fonctionner de manière indépendante comme personne de contact et peut être désigné de manière interne ou externe obligatoire pour -les instances publiques -les organisations qui effectuent un suivi régulier et systématique à grande échelle des personnes concernées -les organisations qui traitent des "données sensibles" à grande échelle -dans les cas déterminés par un Etat membre facultatif dans les autres cas 65
9. Désignation du délégué à la protection des données lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions qui lui sont confiées 66
9. Désignation du délégué à la protection des données le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle l'impact sur la fonction actuelle (et le cumul autorisé) du préposé à la protection des données et du conseiller en sécurité doit être clarifié ! 67
9. Désignation du délégué à la protection des données le responsable du traitement et le sous-traitant -veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel -aident le délégué à la protection des données à exercer ses missions en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées -veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions et ce dernier ne peut être relevé de ses fonctions ou pénalisé par eux pour l'exercice de ses missions -veillent à ce que les autres missions et tâches du délégué à la protection des données n'entraînent pas de conflit d'intérêts 68
9. Position du délégué à la protection des données le délégué à la protection des données -fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant -peut être contacté par les personnes concernées au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement -est soumis au secret professionnel et à une obligation de confidentialité 69
9. Tâches du délégué à la protection des données informer et conseiller le responsable du traitement ou le sous- traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu des dispositions en matière de protection des données contrôler le respect des dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant 70
9. Tâches du délégué à la protection des données dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci coopérer avec l'autorité de contrôle et faire office de point de contact pour l'autorité de contrôle 71
10. Divers 72
10.1. Utilisation numéro unique statu quo -article spécifique permettant l'utilisation d'un numéro unique -les autorités nationales déterminent les conditions spécifiques avec des garanties adéquates afin de garantir les droits individuels -pas d'obligation : les autres Etats membres peuvent toujours refuser l'utilisation d'un numéro unique 73
10.2. Codes de conduite et certification codes de conduite -encourager l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement -avis, enregistrement et publication par l'autorité de contrôle -contrôle du respect du code de conduite par une organisme agréé par l'autorité de contrôle compétente (ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics) certification -encourager la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement -la certification est délivrée par les organismes de certification ou par l'autorité de contrôle compétente -volontaire et accessible via un processus transparent 74
10.3. Transfert de données à des pays tiers décision d'adéquation Commission : lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat les garanties appropriées peuvent également être fournies par un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle 75
10.3. Transfert de données à des pays tiers le transfert peut également avoir lieu pour des motifs importants d'intérêt public ; l'intérêt public doit être reconnu par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis 76
10.4. One-stop shop compétence autorité de contrôle -l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous- traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier -chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement -lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base d'une obligation légale ou d'une tâche d'intérêt général ou relevant de l'exercice de l'autorité publique, l'autorité de contrôle de l'État membre concerné est compétente 77
10.5. Imposer une amende administrative l'autorité de contrôle peut imposer des amendes administratives qui sont effectives, proportionnées et dissuasives -les violations font l'objet d'amendes administratives pouvant s'élever jusqu'à EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent chaque Etat membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire Les Etats membres déterminent le régime des autres sanctions applicables en cas de violations qui ne font pas l'objet d'amendes administratives 78
11. Points d'action 79
11. Points d'action analyse et adaptation de la réglementation pertinente, notamment révision profonde de la LVP, notamment en ce qui concerne -la refonte de la CPVP et des comités sectoriels -la suppression de la déclaration -la notification des incidents de sécurité -l'analyse d'impact relative à la protection des données -les dispositions en matière de consultation de l'autorité de contrôle et de concertation et coopération avec l'autorité de contrôle -le mécanisme des codes de conduite et de certification -la compétence de contrôle et de sanction -le statut du délégué à la protection des données -la possibilité de déterminer des conditions supplémentaires en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé... 80
11. Points d'action au besoin, adapter certains aspects du règlement pour le secteur public, notamment en ce qui concerne -les droits de la personne concernée, p.ex. le droit de portabilité -la notification des incidents de sécurité -les règles en matière d'imposition de sanctions administratives maintien de la réglementation existante et des exceptions lorsqu'elles s'inscrivent dans le cadre du règlement adaptation réponses modèles et contrats CPVP 81
11. Points d'action scénario pour toutes les institutions du secteur social et du secteur de la santé, après concertation au sein du groupe de travail compétent de la BCSS, notamment concernant -une policy concernant la collecte, la destruction, l'enregistrement et la recherche de données à caractère personnel -le cas échéant, la rédaction de codes de conduite -une policy relative à la notification d'incidents de sécurité -une policy relative à la nécessité d'une analyse d'impact relative à la protection des données -une policy pour la communication avec les personnes concernées -la détermination des principes de l'exécution d'un audit en matière de protection de la vie privée afin de découvrir les maillons faibles -la sensibilisation des membres du staff des institutions concernées 82
11. Points d'action mesures spécifiques à prendre par chaque institution dans le secteur social et le secteur de la santé, notamment concernant -une culture de processus avec des mesures de politique interne qui répondent aux principes de protection de la vie privée (privacy by design/default) -une policy pour prouver qu'il est satisfait aux standards requis (responsabilité) -la tenue à jour de documentation, qui peut être consultée par l'autorité de contrôle -la désignation du délégué à la protection des données 83
84