30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Chapitre IV Responsable du traitement et sous-traitant
Section 1.re Mesures organisationnelles et techniques
Article 50
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées. Lorsque cela est proportionné au regard des activités de traitement, ces mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
Le responsable du traitement est en mesure de démontrer que le traitement est effectué conformément à la loi.
Ces mesures sont réexaminées et actualisées si nécessaire.
Article 51
§ 1
er
Compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles visées à l'article 50, sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de protéger les droits de la personne concernée, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même.
§ 2
Les mesures techniques et organisationnelles appropriées visées à l'article 50 garantissent que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans une intervention humaine.
Section 2 Responsables conjoints du traitement
Article 52
Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
Un accord définit de manière transparente les obligations respectives des responsables conjoints de traitement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et la communication des informations visées aux articles 37 et 38, sauf si, leurs obligations respectives sont définies par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international.
Un seul point de contact pour les personnes concernées peut être désigné dans l'accord.
Section 3 Sous-traitant
Article 53
§ 1
er
Lorsque le traitement est confié à un sous-traitant, le responsable du traitement choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements.
§ 2
Le sous-traitant recrute un autre sous-traitant avec l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
§ 3
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, et définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:
- 1°
- n'agit que sur instruction du responsable du traitement;
- 2°
- veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
- 3°
- aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée;
- 4°
- supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes, à moins que la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international n'exige la conservation des données à caractère personnel;
- 5°
- met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect du présent article;
- 6°
- respecte les conditions visées aux paragraphes 2 et 3 pour recruter un autre sous-traitant.
§ 4
Le contrat ou l'autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.
§ 5
Si, en violation du présent titre, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme le responsable du traitement pour ce qui concerne ce traitement.
Article 54
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut traiter ces données, que sur instruction du responsable du traitement, ou en vertu de la loi, du décret, de l'ordonnance, du droit de l'Union européenne ou de l'accord international.
Section 4 Obligations
Article 55
§ 1
er
Chaque responsable du traitement et sous-traitant tient un registre des catégories d'activités de traitement effectuées sous sa responsabilité. Ce registre contient les éléments suivants:
- 1°
- le nom et les coordonnées du responsable du traitement ou sous-traitant, de son délégué ou représentant
- 2°
- le nom et les coordonnées du délégué à la protection des données;
- 3°
- les finalités du traitement;
- 4°
- les catégories de personnes concernées;
- 5°
- les catégories de données à caractère personnel;
- 6°
- les catégories de destinataires;
- 7°
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
- 8°
- les délais prévus pour l'effacement des différentes catégories de données;
- 9°
- une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 50;
- 10°
- le recours au profilage;
- 11°
- la base juridique;
- 12°
- la catégorie de sources externes;
- 13°
- le protocole visé à l'article 20 ainsi que l'avis du délégué à la protection des données et la motivation visé
§ 2
Le délégué à la protection des données est associé à l'élaboration et au maintien du registre.
§ 3
Le registre est mis à la disposition de l'autorité de contrôle compétente.
Article 56
§ 1
er
Les fichiers de journalisation sont établis dans des systèmes de traitement automatisé au moins pour les traitements suivants: la collecte, la modification, la consultation, la communication, y compris les transferts, l'interconnexion et l'effacement.
Les fichiers de journalisation de consultation et de communication permettent d'établir:
- 1°
- le motif, la date et l'heure de ces traitements;
- 2°
- les catégories de personnes qui ont consulté les données à caractère personnel, et si possible, l'identification de la personne qui a consulté ces données;
- 3°
- les systèmes qui ont communiqué ces données;
- 4°
- et les catégories de destinataires des données à caractère personnel, et si possible, l'identité des destinataires de ces données.
Le Roi peut déterminer, par arrêté délibéré en Conseil des ministres après avis de l'autorité de contrôle compétente, d'autres types de traitements pour lesquels les fichiers de journalisation sont établis.
§ 2
Les fichiers de journalisation sont utilisés uniquement à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et à des fins visées à l'article 27.
§ 3
Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l'autorité de contrôle compétente, sur demande.
Article 57
Le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle compétente, à la demande de celle-ci, dans l'exécution de ses missions.
Article 58
Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement effectue préalablement au traitement une analyse d'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
L'analyse visée à l'alinéa 1er contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent titre, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.
Article 59
§ 1
er
Le responsable du traitement ou son sous-traitant consulte l'autorité de contrôle compétente du responsable du traitement préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer:
- 1°
- lorsqu'une analyse d'impact relative à la protection des données, telle qu'elle est prévue à l'article 58, indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; ou
- 2°
- lorsque le type de traitement, en particulier, en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.
L'autorité de contrôle compétente est consultée dans le cadre de l'élaboration d'une loi, d'un décret ou d'une ordonnance, ou d'une mesure réglementaire fondée sur une telle loi, un tel décret ou une telle ordonnance, qui se rapporte au traitement.
§ 2
L'autorité de contrôle compétente peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable conformément au paragraphe 1er.
§ 3
Le responsable du traitement fournit à l'autorité de contrôle compétente l'analyse d'impact relative à la protection des données en vertu de l'article 58 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle compétente d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
§ 4
Lorsque l'autorité de contrôle compétente est d'avis que le traitement prévu, visé au paragraphe 1er, constituerait une violation des dispositions adoptées en vertu du présent titre, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle compétente fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit non contraignant au responsable du traitement, et le cas échéant au sous-traitant, et elle peut faire usage des pouvoirs qui lui sont conférés par la loi. Ce délai peut être prolongé d'un mois, en fonction de la complexité du traitement prévu. L'autorité de contrôle compétente informe le responsable du traitement et, le cas échéant, le sous-traitant de toute prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, ainsi que des motifs du retard.
Article 60
§ 1
er
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des données à caractère personnel, visées à l'article 34 de la présente loi, et compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, afin de garantir un niveau de sécurité adapté au risque.
§ 2
En ce qui concerne le traitement automatisé, le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:
- 1°
- empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement;
- 2°
- empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée;
- 3°
- empêcher l'introduction non autorisée de données à caractère personnel dans le fichier, ainsi que la consultation, la modification ou l'effacement non autorisé de données à caractère personnel enregistrées;
- 4°
- empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données;
- 5°
- garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu'aux données à caractère personnel sur lesquelles porte leur autorisation;
- 6°
- garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données;
- 7°
- garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites;
- 8°
- empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée;
- 9°
- garantir que les systèmes installés puissent être rétablis en cas d'interruption;
- 10°
- garantir que les fonctions du système opèrent, que les erreurs de fonctionnement éventuelles soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.
Article 61
§ 1
er
Le responsable du traitement notifie la brèche de sécurité, à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, au plus tard dans un délai de 72 heures après en avoir pris connaissance. Cette obligation de notification n'est pas applicable lorsqu'il est raisonnable de croire que la brèche de sécurité en question n'engendre pas de risque pour les droits et les libertés d'une personne physique.
Lorsque la notification à l'autorité de contrôle compétente n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
§ 2
Le sous-traitant notifie au responsable du traitement toute brèche de sécurité dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance.
§ 3
La notification visée au paragraphe 1
er contient notamment:
- 1°
- la description de la nature de la brèche de sécurité y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
- 2°
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
- 3°
- la description des conséquences probables de la brèche de sécurité;
- 4°
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la brèche de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
§ 4
Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
§ 5
Lorsque la brèche de sécurité porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d'un autre État membre de l'Union européenne ou à celui-ci, les informations visées au paragraphe 3 sont communiquées au responsable du traitement de cet État membre dans les meilleurs délais.
§ 6
Le responsable du traitement documente toute brèche de sécurité visée au paragraphe 1er, en indiquant les faits, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle compétente de vérifier le respect du présent article.
Article 62
§ 1
er
Lorsqu'une brèche de sécurité est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la brèche de sécurité à caractère personnel à la personne concernée dans les meilleurs délais.
§ 2
La communication à la personne concernée visée au paragraphe 1er décrit, la nature de la brèche de sécurité et contient au moins les informations et mesures visées à l'article 61, § 3, 2° à 4°.
§ 3
La communication à la personne concernée visée au paragraphe 1
er n'est pas nécessaire si l'une des conditions suivantes est remplie:
- 1°
- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
- 2°
- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1er n'est plus susceptible de se matérialiser;
- 3°
- elle exigerait des efforts disproportionnés.
Dans le cas visé à l'alinéa 1er, 3°, il est procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
§ 4
Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la brèche de sécurité la concernant, l'autorité de contrôle compétente peut, après avoir examiné si cette brèche de sécurité est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.
§ 5
La communication à la personne concernée visée au paragraphe 1er peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l'article 37, § 2.
Section 5 Délégué à la protection des données
Article 63
Le responsable du traitement désigne un ou plusieurs délégués à la protection des données.
Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à exercer les missions visées à l'article 65.
Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes ou responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille.
Le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle compétente.
Les modalités de fonctionnement, de désignation ainsi que les compétences requises sont définies par le Roi.
Article 64
Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
Le responsable du traitement fournit au délégué à la protection des données les ressources nécessaires pour exercer ses missions ainsi que l'accès aux données à caractère personnel et aux traitements, et lui permet d'entretenir ses connaissances spécialisées.
Le responsable du traitement veille à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement.
Sauf application des articles 41 et 44, les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits qui leur sont conférés.
Le délégué à la protection des données est soumis au secret ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.
Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement veille à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.
Article 65
Les missions du délégué à la protection des données sont notamment les suivantes:
- 1°
- informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données à caractère personnel;
- 2°
- contrôler le respect de la réglementation et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s'y rapportant;
- 3°
- dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 58;
- 4°
- coopérer avec l'autorité de contrôle compétente;
- 5°
- faire office de point de contact pour l'autorité de contrôle compétente sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 59, et mener des consultations, le cas échéant, sur tout autre sujet.
