Notre équipe est là pour vous aider dans le cadre de votre démarche de conformité et contentieux relatif au Règlement Général sur la Protection des Données (RGPD ou GDPR) → Consultez-nous !

Dans l’attente de vous rencontrer, voici déjà quelques ressources qui s’avéreront utiles :

1. Texte du RGPD et des lois belges d’application
2. Lexiques
3. Représentation graphique du RGPD
4. Modèles de registre des activités de traitement (art. 30 RGPD)
5. Modèle de notification à l’autorité de contrôle d’une violation de données (art. 33 et 34 RGPD)
6. Modèle d’Analyse d’Impact relative à la Protection des Données (art. 35 RGPD)
7. Désignation d’un Délégué à la Protection des Données (art. 37 RGPD)
8. Pays assurant une protection adéquate et clauses contractuelles types pour le transfert de données vers des pays tiers (art. 46 RGPD)
9. Marketing direct
10. Techniques de nettoyage de données et de destruction de supports de données
11. Elections sociales
12. Lignes directrices du Comité européen à la protection des données (ancien Groupe de travail Article 29)
13. Recueil de textes et vidéos
14. Actualités

Texte du RGPD et des lois belges d’application 

• Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données)
• Loi du 3 décembre 2017 portant création de l’Autorité de protection des données
  • Arrêté du 13 juin 2018 de la Directrice Générale Recrutement et Développement du SPF Stratégie et Appui fixant le règlement d’ordre relatif aux tests linguistiques organisés conformément à la loi portant création de l’Autorité de protection des données du 3 décembre 2017
  • Règlement d’ordre intérieur de l’Autorité de protection des données approuvé le 18 décembre 2018 par la Chambre des représentants
  • Politique de l’Autorité de protection des données du 23 décembre 2020 en matière de publication des décisions de la Chambre contentieuse
  • Politique de l’Autorité de protection des données du 23 décembre 2020 en matière d’astreinte
  • Politique de l’Autorité de protection des données du 7 janvier 2021 relative à la politique linguistique de la Chambre Contentieuse
  • Politique de l’Autorité de protection des données du 15 février 2021 relative à la position du plaignant dans la procédure au sein de la Chambre Contentieuse
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
  • Règlement d’ordre intérieur de l’organe de contrôle de l’information policière
  • Arrêté royal du 11 mars 2019 relatif aux modalités d”interrogation directe de la Banque de Données nationale générale visée à l’article 44/7 de la loi sur la fonction de police au profit du Service public fédéral justice dans le but de contribuer à l’identification unique des détenus
  • Recommandation n° 02/2020 du 31 janvier 2020 de l’Autorité de protection des données – La portée de l’obligation de conclure un protocole afin de formaliser les communications de données à caractère personnel en provenance du secteur public fédéral
• Loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du RGPD
  • Arrêté royal du 12 novembre 2018 portant approbation du règlement d’ordre intérieur du comité de sécurité de l’information
• Protocole de coopération du 26 novembre 2020 entre DNS Belgium asbl et l’Autorité de protection des données [sur la façon de rendre indisponibles les noms de domaine “.be” qui enfreignent le RGPD]

• Règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données
• Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
  • Lignes directrices de la Commission européenne relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne

Lexiques 

• Le lexique de l’Autorité de protection des données
• Le lexique français-anglais de la Commission Nationale de l’Informatique et des Libertés

Représentation graphique du RGPD

• le Dataviz de la Commission Nationale de l’Informatique et des Libertés
• la cartographie d’exploration des outils et pratiques de protection de la vie privée de la Commission Nationale de l’Informatique et des Libertés
• l’infographie publiée par le CLUSIF

Modèles de registre des activités de traitement (art. 30 RGPD)

Devez-vous tenir un registre ? Décidez à l’aide de la recommandation relative au registre des activités de traitements de l’Autorité de protection des données mais également de la prise de position du Comité européen à la protection des données et utilisez :

• le modèle détaillé de l’Autorité de protection des données
• le modèle simplifié de l’Autorité de protection des données pour les responsables du traitement et les sous-traitants
• le modèle de la Commission Nationale de l’Informatique et des Libertés
• le GDPR Compliance Support Tool de la Commission nationale pour la protection des données du Luxembourg intègre un tel registre

Modèle de notification à l’autorité de contrôle d’une violation de données (art. 33 et 34 RGPD)

En cas de violation de données à caractère personnel, consultez les lignes directrices du Comité européen à la protection des données

• Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement 2016/679 (wp250rev.01)
• [Draft] Guidelines 01/2021 on Examples regarding Data Breach Notification

et utilisez :

• le formulaire de notification de l’Autorité de protection des données

Modèle d’Analyse d’Impact relative à la Protection des Données (art. 35 RGPD)

Devez-vous effectuer une AIPD ? Décidez à l’aide du guide de l’Autorité de protection des données,

de sa recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable,

de sa décision n ° 01/2019 du 16 janvier 2019 adoptant la liste des traitements pour lesquels une analyse d’impact sur la protection des données doit être effectuée conformément à l’article 35.4 du RGPD

et de l’ Avis 2/2018 du Comité européen à la protection des données sur le projet de liste établi par l’autorité de contrôle compétente de la Belgique concernant les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (article 35, paragraphe 4, du RGPD)

et de ses lignes directrices et utilisez :

• le logiciel de la Commission Nationale de l’Informatique et des Libertés

S’il échet, demandez à l’Autorité de protection des données une consultation préalable sur les traitements de données à haut risque résiduel

Désignation d’un Délégué à la Protection des Données (art. 37 RGPD)

Devez-vous désigner un Délégué à la Protection des Données ? Décidez à l’aide de la recommandation relative au cumul de la fonction de DPD avec d’autres fonctions de l’Autorité de protection des données et des lignes directrices du Comité européen à la protection des données. Consultez également les éléments essentiels minimums qu’une formation DPD doit contenir pour l’Autorité de protection des données et utilisez :

• le formulaire de communication des coordonnées du DPD de l’Autorité de protection des données

→ Vous cherchez un DPD externe ? Consultez-nous !

• Check-list du DPD de l’Autorité de protection des données
• Modèles de demande d’avis pour le DPD de l’Autorité de protection des données :
  Version simplifiée
  Version détaillée

Pays assurant une protection adéquate et clauses contractuelles types pour le transfert de données vers des pays tiers (art. 46 RGPD)

Notons que le RGPD est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

La Commission européenne a reconnu les pays suivants comme assurant une protection adéquate : Andorre, Argentine, Canada (organisations commerciales), Iles Féroé, Guernsey, Israel, Ile de Man, Jersey, Japon, Nouvelle-Zélande, Suisse et Uruguay.

L’EDPB invite les États membres de l’UE à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données personnelles et qui ont été conclus avant le 24 mai 2016 pour les aligner, le cas échéant, sur la législation de l’UE sur la protection des données : Statement 04/2021 on international agreements including transfers

Aux termes de l’article FINPROV.10A de l’accord de coopération entre le Royaume-Uni et l’UE du 25 décembre 2020 (pp.414-415), la transmission de données personnelles de l’UE au Royaume-Uni n’est pas considérée comme un transfert vers un pays tiers, au moins jusqu’au 30 juin 2021, la Commission et le Royaume-Uni s’engageant à travailler durant cette période à une décision d’adéquation relative au transfert de données. Un projet de décision est à présent disponible :

• Déclaration du CEPD sur le retrait du Royaume-Uni de l’Union européenne
• Note d’information du CEPD sur les transferts de données en vertu du RGPD vers le Royaume-Uni après la période de transition
• Draft decision on the adequate protection of personal data by the United Kingdom
• EDPB Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom

Les clauses contractuelles types pour le transfert de données vers les autres pays tiers ont été  adoptées le 4 juin 2021 par la Commission, en application de l’article 46, paragraphe 1, du règlement (UE) 2016/679 :

• Décision d’exécution de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679

Pour donner suite à l’arrêt SCHREMS II de la CJUE , le CEPD a adopté des recommandations sur des mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance :

• [Draft] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
• Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance

→ Vous êtes un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union et cherchez un représentant ? Consultez-nous !

Marketing direct

Recommandation n° 01/2020 du 17 janvier 2020 de l’Autorité de protection des données relative aux traitements de données à caractère personnel à des fins de marketing direct

Techniques de nettoyage de données et de destruction de supports de données

Recommandation n° 03/2020 du 11 décembre 2020 de l’Autorité de protection des données relative aux techniques de nettoyage de données et de destruction de supports de données

Elections sociales

Lignes directrices de 2020 de l’Autorité de protection des données pour l’organisation des élections sociales au sein des entreprises

Lignes directrices du Comité européen à la protection des données (ancien Groupe de travail Article 29)

• Lignes directrices relatives au droit à la portabilité des données (wp242rev.01)
• Lignes directrices concernant les délégués à la protection des données (DPD) (wp243rev.01)
• Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (wp244rev.01)
• Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679 (wp248rev.01)
  • Avis 2/2018 sur le projet de liste établi par l’autorité de contrôle compétente de la Belgique concernant les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (article 35, paragraphe 4, du RGPD)
• Avis 2/2017 sur le traitement des données sur le lieu de travail (wp249)
• Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement 2016/679 (wp250rev.01)
• Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement 2016/679 (wp251rev.01)
• Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 (wp253)
• Document de travail établissant les critères de référence pour l’adéquation (wp254rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes (wp256rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01)
• Lignes directrices sur la transparence au sens du règlement 2016/679 (wp260rev.01)
• Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR (wp263rev.01)
• Recommendation on the approval of the Controller Binding Corporate Rules form (wp264)
• Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
• Position Paper related to article 30(5)
• Lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement 2016/679
  • Document du CEPD relatif à la procédure d’approbation des critères de certification par le CEPD aboutissant à une certification commune, le label européen de protection des données
  • [Draft] Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
• Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement 2016/679
• Lignes directrices 3/2018 relatives au champ d’application territorial du règlement 2016/679 (article 3)
• Lignes directrices 4/2018 relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement 2016/679
• Avis 3/2019 concernant les questions et réponses sur l’interaction entre le règlement relatif aux essais cliniques et le règlement 2016/679 [article 70 (1) (b)]
  
• Lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement 2016/679
  • Opinion 2/2020 on the Belgium data protection supervisory authority draft accreditation requirements for a code of conduct monitoring body pursuant to article 41 GDPR
  • Document du CEPD relatif à la procédure d’élaboration des séances informelles consacrées aux codes de conduite
    • Décision d’approbation 05/2021 de l’Autorité de protection des données du Eu Cloud CoC.
    • Décision d’accréditation 06/2021 de l’Autorité de protection des données de Scope Europe.
• Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, § 1er, b), du règlement 2016/679 dans le cadre de la fourniture de services en ligne aux personnes concernées
• Lignes directrices 3/2019 sur le traitement des données à caractère personnel par des dispositifs vidéos
• Lignes directrices 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut
• Lignes directrices 5/2019 sur les critères du droit à l’oubli au titre du RGPD dans le cas des moteurs de recherche (partie 1)
• Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
• Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
• Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19
• Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19
• Lignes directrices 5/2020 sur le consentement au sens du règlement 2016/679
• Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
• [Draft] Guidelines 07/2020 on the concepts of controller and processor in the GDPR
• Guidelines 08/2020 on the targeting of social media user
• Lignes directrices 09/2020 relatives à l’objection pertinente et motivée au titre du règlement (UE) 2016/679
• [Draft] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
• Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance
• [Draft] Guidelines 10/2020 on restrictions under Article 23 GDPR
• [Draft] Guidelines 01/2021 on Examples regarding Data Breach Notification
• [Draft] Guidelines 02/2021 on Virtual Voice Assistants
• Statement 04/2021 on international agreements including transfers
• [Draft] Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
• Recommendations 02/2021 on the legal basis for the storage of credit card data for the sole purpose of facilitating further online transactions

Ressources offertes par Lexing

Vous pouvez commander notre recueil de textes à cette adresse.

Lexing commercialise différents packs en matière de protection des données.

Nous vous proposons également quelques vidéos :

• earlegal #8 Données à caractère personnel, anonymisation/pseudonymisation ?
• earlegal #8 Comment concilier RGPD, loi caméra, droit à l’image et CCT n°68 ?
• earlegal #4 – La protection des données à caractère personnel au sein des administrations publiques
• earlegal #3 – Vers un nouveau règlement sur la protection des données

et des actualités :

• EC published the new Standard Contractual Clauses (SCCs)
• Toute obligation légale justifie-t-elle un traitement de données ?
• De verantwoordelijkheid voor gegevensbeveiligingsmaateregelen
• Recours aux caméras intelligentes et protection des données
• Data transfers et recherche clinique, l’anonymisation comme solution ?
• Copropriété : la vidéosurveillance des communs
• RGPD : consentement de l’enfant, comment procéder ? 
• Minorité digitale : interprétation très large du concept par l’APD
• Transfert de données vers le Royaume-Uni – no worries? Not yet!
• RGPD : Le chatbot de votre site est-il conforme ?
• Envoi de newsletter : comment respecter le RGPD ?
• Comment réagir à une enquête de l’Autorité de protection des données ?
• AVG-Sanctie voor niet ondertekende verwerkersovereenkomst?
• Puis-je utiliser la carte d’identité électronique de mes clients ?
• Surveillance par drones en France : sanctions de la CNIL
• Exonération des autorités publiques des amendes prévues par le RGPD
• L’APD va-t-elle sonner le glas du tracking publicitaire en ligne ?
• Caméra de surveillance dans un magasin : Big Brother sous conditions
• Les drones ne pourront pas s’inviter à votre table lors des fêtes
• Which UK-companies need to hurry to find a GDPR-representative in EU?
• Airlines compliance with the GDPR : The British Airways Case
• Le transfert de données au Royaume-Uni post Brexit
• Gegevenslek – Mogelijk om een administratieve boete te voorkomen?
• Are the new SCCs sufficient after Schrems II?
• Which contractual and organisational precautions after Schrems II?
• Which technical measures should be taken after Schrems II?
• New EDPB draft Guidance for international data transfers
• Case cochée par défaut ? Pas de consentement valable !
• Vous comptez ouvrir un « e-commerce » ? N’oubliez pas le RGPD !
• Quel est le sort de vos données numériques après votre décès ?
• Mon concurrent ne respecte pas le RGPD… que faire ?
• Caméras de vidéosurveillance : la date limite [reportée] !
• Privacy policy : ne pas oublier les réseaux sociaux !
• Pouvez-vous prouver avoir bien choisi votre DPD ?
• Employeurs : comment gérer les soupçons/cas avérés de contamination ?
• Combattre la mort par la technologie, où mettre la limite ?
• Lanceurs d’alerte: Un mécanisme interne obligatoire dès décembre 2021
• California Consumer Privacy Act – 10 Things You Should Know
• RGPD et finalité du traitement : l’APD serre la vis !
• Amende pour publicité électorale contraire au RGPD
• Caméras et location de bureaux : quelles obligations ?
• Real estate as a service : n’oubliez pas le RGPD !
• Hoe ver dient de verwijdering van links door zoekmachines te gaan ?
• Consentement et case cochée par défaut ? Pas de cookies…
• GDPR : Should non-EU companies designate a DPO/a representative/both?
• RGPD : Quand faire une analyse d’impact en Belgique ?
• Cybersurveillance des travailleurs : quelles sont les limites ?
• Uitoefening rechten in sociale media na enkele klikken (GDPR)
• Chèques-entreprises : une réforme bienvenue !
• [1er novembre] 2019 : (Br)exit la protection des données ?
• Data breach : “forewarned is forearmed”
• Health data in Belgium : What you need to know
• Quelle est la procédure de sanction par l’APD ?
• RGPD & loi : quel impact pour la recherche scientifique en Belgique ? 
• Journalistes, universitaires, artistes : RGPD à la sauce belge
• Le projet de loi belge relatif à la protection des données déposé !
• Faut-il aussi conformer les fan pages Facebook au RGPD ?
• Schriftelijke examenantwoorden, persoonsgegevens en de GDPR
• Minorité digitale : interprétation très large du concept par l’APD
• Les données biométriques comme clef d’accès : sécurité et RGPD
• RGPD : consentement de l’enfant, comment procéder ?
• Vos mesures de contrôle des salariés sont-elles conformes au RGPD ?
• Portabilité des données : le nouveau droit consacré par le RGPD !
• Fuite de données : ne pas laisser s’ouvrir la boîte de Pandore
• Gegevensdoorgifte post Brexit: doorgifte naar een normconform eiland?
• Délégué à la protection des données : qui désigner ?
• Le droit à l’effacement des données consacré par le RGPD

• Vente en ligne – quelles précautions prendre pour les données relatives aux cartes bancaires ? (avec Wolters Kluwer)
• Quelles sont les précautions à prendre par rapport aux données des enfants ? (avec Wolters Kluwer)
• Pouvez-vous noter le numéro de registre national de vos clients ? (avec Wolters Kluwer)
• Désignation d’un délégué à la protection des données : quand et comment ? (avec Wolters Kluwer)
• RGPD : quelles seront les particularités belges pour le secteur privé ? (avec Wolters Kluwer)
• Procédure de recrutement : quel régime pour les données des candidats ? (avec Wolters Kluwer)
• Le Règlement général sur la protection des données (suite et pas fin) (avec Wolters Kluwer)
• Application du RGPD à l’analyse Big data (avec Wolters Kluwer)
• Le RGPD s’applique-t-il aussi aux données des visiteurs de votre entreprise ? (avec Wolters Kluwer)
• Quels changements pour les caméras de surveillance avec l’arrivée du RGPD ? (avec Wolters Kluwer)
• Les acteurs du RGPD (avec Wolters Kluwer)
• Quels sont les risques en cas de non-conformité au RGPD ? (avec Wolters Kluwer)
• L’impact du RGPD sur l’e-mailing (avec Wolters Kluwer)
• Quels réflexes avoir en cas de fuite de données ? (avec Wolters Kluwer)