Vous savez déjà que le Règlement général sur la protection des données à caractère personnel (« RGPD ») est applicable depuis le 25 mai 2018, mais ce n'est pas la seule nouveauté ayant un impact sur le traitement des données. Vous trouverez ci-dessus une sélection des nouveautés du dernier trimestre.
La législation sur les caméras a été adaptée: introduction d'un nouveau système de déclaration pour les caméras de surveillance, d'un registre obligatoire des activités de traitement d'images et de nouvelles mentions pour les pictogrammes
Avec le RGPD, la nouvelle législation sur les caméras est entrée en vigueur le 25 mai 2018. La loi du 21 mars 2018 et ses décrets d'application du 8 mai 2018 et du 28 mai 2018 réforment la loi du 21 mars 2007 sur l'installation et l'utilisation de caméras de surveillance. Cette nouvelle législation prévoit, entre autres, que le responsable du traitement doit tenir un registre des activités de traitement d'images de caméras de surveillance et que la décision d'installer une ou plusieurs caméras de surveillance doit désormais être notifiée aux services de police (et non plus un registre de la commission vie privée). De plus, certaines nouvelles mentions doivent être apposées sur le pictogramme signalant l'existence d'une surveillance par caméra.
Que faut-il faire?
-
D'abord, vous devez tenir un registre des activités de traitement d'images. Outre les informations requises par l'article 30 du RGPD, ce registre doit également contenir les informations suivantes:
- la base légale du traitement;
- l'indication du type de lieu où les caméras sont placées;
- la description technique des caméras de surveillance, ainsi que, s'il s'agit de caméras de surveillance fixes, leur emplacement, le cas échéant indiqué sur un plan;
- s'il s'agit de caméras de surveillance temporaires ou mobiles, la description des zones surveillées par ces caméras de surveillance et les périodes d'utilisation;
- le mode d'information au sujet du traitement;
- le lieu du traitement des images; et
- le fait qu'un visionnage en temps réel est organisé ou non et le cas échéant, la manière dont il est organisé.
- Puis, vous devez remplacer vos déclarations existant auprès de la commission vie privée en introduisant des nouvelles déclarations de caméras de surveillance auprès d'un guichet électronique que vous pouvez consulter sur le site web www.declarationcamera.be. Afin de permettre la régularisation des déclarations existantes, un délai de grâce de 2 ans jusqu'au 25 mai 2020 est prévu.
- Enfin, vous devez modifier les mentions actuelles sur le pictogramme signalant l'existence d'une surveillance par caméra. Outre les mentions existantes, vous devez désormais indiquer également votre numéro de téléphone et, le cas échéant, les cordonnées de votre délégué à la protection des données et les données du site web où les personnes concernées peuvent consulter toutes les informations concernant le traitement d'images (par exemple via un privacy policy). Vous avez jusqu'au 11 décembre 2018 pour ajouter les mentions manquantes à vos pictogrammes.
La Commission vie privée devient l'Autorité de protection des données: nouvelles coordonnées et nouveau site web disponible
Dans une précédente contribution, nous avons déjà fait état de la nouvelle Autorité de protection des données (« APD »). Maintenant que la loi du 3 décembre 2017 est effectivement entrée en vigueur, la Commission vie privée a été remplacée par l'APD avec effet au 25 mai 2018. L'APD est accessible via un nouveau site web et l'adresse de contact a également été modifiée (contact@apd-gba.be). Assurez-vous donc que vos documents d'information sont adaptés à cet égard.
Portail de notification des délégués à la protection des données: notifiez les coordonnées de votre délégué à la protection des données à l'Autorité de protection des données
Le nouveau site web de l'APD comprend également un portail, où vous devez fournir les coordonnées de votre délégué à la protection des données à l'aide du formulaire de communication des coordonnées.
Le groupe de travail « Article 29 » (« G 29 ») devient le Comité Européen de la Protection des Données (« CEPD »)
La Commission vie privée n'est pas la seule à avoir été radicalement réformée. Le groupe de travail « Article 29 », un organe européen indépendant composé de représentants des autorités nationales chargés de la protection des données, a également subi un changement important et est devenu le Comité Européen de la Protection des Données (« CEPD »). Le CEPD contribue à l'application cohérente du RGPD au sein de l'Union européenne. Comme le G 29, il publiera régulièrement des lignes directrices et des documents de travail expliquant l'application du RGPD. Lors de sa première réunion plénière du 25 mai 2018, le CEPD a déjà entrepris plusieurs actions, notamment (ces documents ne sont actuellement disponibles qu'en anglais):
- l'adoption des lignes directrices précédemment publiées par le G 29;
- l'adoption de (projet) des lignes directrices sur la certification; et
- l'appel en faveur d'une adoption rapide du nouveau règlement relatif à la protection de la vie privée dans le secteur des communications électroniques.
Les administrateurs d'une page fan sur Facebook sont conjointement responsables avec Facebook de la protection des données
Les administrateurs d'une page fan sur Facebook sont responsables, avec Facebook, du traitement des données des visiteurs de sa page. C'est ce que la Cour de Justice a déclaré dans un arrêt du 5 juin 2018. Selon la Cour, les administrateurs participent, par leurs actions de paramétrage, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan (à savoir la compilation des statistiques), même si les administrateurs ne reçoivent que des données anonymes. En conséquence de ce jugement, les administrateurs d'une page de fans doivent informer leurs visiteurs de ce qu'il advient de leurs données lorsqu'ils visitent la page.
Encore plus de législation en préparation
Le 11 juin 2018, un projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a été soumis à la Chambre des représentants. Le projet, qui met en œuvre, entre autres, certains aspects du RGPD, est actuellement examiné par la Chambre des représentants. L'ancienne Commission vie privée a rendu un avis défavorable concernant une version précédente du texte. Il reste à voir dans quelle mesure le projet final tiendra compte de l'avis et quand la nouvelle loi entrera effectivement en vigueur.
Même après le 25 mai 2018 la protection des données reste un point d'attention constant
Bien que les entreprises aient fait des efforts importants dans le sprint final précédant l'entrée en vigueur du RGPD, les efforts sur le plan de la protection des données personnelles ne sont pas pour autant terminés. Les entreprises devront, encore après le 25 mai 2018, veiller à traiter les données à caractère personnel avec soin et devront tenir compte de la jurisprudence en constante évolution de la Cour de justice et de l'approche que les nouvelles autorités (européennes) vont prendre dans l'interprétation et l'application de la législation dans la pratique.