Notre équipe est là pour vous aider dans le cadre de votre processus de mise en conformité au Règlement Général sur la Protection des Données (RGPD ou GDPR) → Consultez-nous !

Dans l’attente de nous rencontrer, voici déjà quelques ressources qui s’avéreront utiles:

Texte du RGPD et des lois belges d’application 

• Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) (les considérants 71, 134 et 143 et les articles 9, 10, 37, 41, 42, 43, 47, 53, 57, 64, 65, 69 et 70 ont été modifiés par un rectificatif du 23 mai 2018)
• Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (modifiée par les lois des 4 mars et 25 mai 2018)
  • Arrêté du 13 juin 2018 de la Directrice Générale Recrutement et Développement du SPF Stratégie et Appui fixant le règlement d’ordre relatif aux tests linguistiques organisés conformément à la loi portant création de l’Autorité de protection des données du 3 décembre 2017
  • Règlement d’ordre intérieur de l’Autorité de protection des données approuvé le 18 décembre 2018 par la Chambre des représentants 
  • Règlement d’ordre intérieur transitoire de l’Autorité de protection des données approuvé le 18 décembre 2018 par la Chambre des représentants (dans l’attente de la désignation définitive des membres du comité de direction et vu la nécessité d’assurer la continuité du fonctionnement de l’APD)
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
  • Règlement d’ordre intérieur de l’organe de contrôle de l’information policière
• Loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du RGPD
  • Arrêté royal du 12 novembre 2018 portant approbation du règlement d’ordre intérieur du comité de sécurité de l’information

• [Loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du RGPD]
• Règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données
• [Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne]

Lexiques 

• Le lexique de l’Autorité de protection des données
• Le lexique français-anglais de la Commission Nationale de l’Informatique et des Libertés

Représentation graphique du RGPD

• le Dataviz de la Commission Nationale de l’Informatique et des Libertés
• la cartographie d’exploration des outils et pratiques de protection de la vie privée  de la Commission Nationale de l’Informatique et des Libertés
• l’infographie publiée par le CLUSIF

Modèles de registre des activités de traitement (art. 30 RGPD)

Devez-vous tenir un registre ? Décidez à l’aide du schéma de l’Autorité de protection des données et de sa recommandation relative au registre des activités de traitements mais également de la prise de position du Comité européen à la protection des données et utilisez :

• le modèle de l’Autorité de protection des données
• le modèle de la Commission Nationale de l’Informatique et des Libertés
• le GDPR Compliance Support Tool de la Commission nationale pour la protection des données du Luxembourg intègre un tel registre

Modèle de notification à l’autorité de contrôle d’une violation de données (art. 33 et 34 RGPD)

En cas de violation de données à caractère personnel, consultez les lignes directrices du Comité européen à la protection des données (ces lignes directrices n’ont pas encore été traduites en français) et utilisez :

• le formulaire de notification de l’Autorité de protection des données

Modèle d’Analyse d’Impact relative à la Protection des Données (art. 35 RGPD)

Devez-vous effectuer une AIPD ? Décidez à l’aide du schéma de l’Autorité de protection des données, de sa recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable , sa liste des types d’opérations de traitement pour lesquelles une AIPD est requise et des lignes directrices du Comité européen à la protection des données et utilisez :

• le logiciel de la Commission Nationale de l’Informatique et des Libertés

Désignation d’un Délégué à la Protection des Données  (art. 37 RGPD)

Devez-vous désigner un Délégué à la Protection des Données ? Décidez à l’aide du schéma de l’Autorité de protection des données et de ses recommandations relatives au délégué à la protection des données dans le cadre de l’application du RGPD et au cumul de la fonction de DPD avec d’autres fonctions et des lignes directrices du Comité européen à la protection des données. Consultez également les éléments essentiels minimums qu’une formation DPD doit contenir pour l’Autorité de protection des données et utilisez :

• le formulaire de communication des coordonnées du DPD de l’Autorité de protection des données

→ Vous cherchez un DPD externe ? Consultez-nous !

Clauses contractuelles types pour le transfert de données vers des pays tiers (art. 46 RGPD)

Ces clauses n’ont pas encore été adoptées par la Commission européenne. Les clauses adoptées par la Commission, en application de la directive 95/46,  restent d’application jusqu’à l’adoption de nouvelles clauses:

• Décision 2001/497 de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE
• Décision 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

La Commission européenne a reconnu les pays suivants comme assurant une protection adéquate : Andorre, Argentine, Canada (organisations commerciales), Iles Feroe, Guernsey, Israel, Ile de Man, Jersey, Nouvelle-Zelande, Suisse, Uruguay, United States of America (limitée au Privacy Shield framework) et Japon de sorte que de telles clauses ne sont pas nécessaires

Notons que le RGPD est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

Lignes directrices du Comité européen à la protection des données (ancien Groupe de travail Article 29)

• Lignes directrices relatives au droit à la portabilité des données (wp242rev.01)
• Lignes directrices concernant les délégués à la protection des données (DPD) (wp243rev.01)
• Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (wp244rev.01)
• Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement 2016/679 (wp248rev.01)
• Opinion 2/2018 on the draft list of the competent supervisory authority of Belgium regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR)
• Avis 2/2017 sur le traitement des données sur le lieu de travail (wp249)
• Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement 2016/679 (wp250rev.01)
• Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement 2016/679 (wp251rev.01)
• Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 (wp253)
• Document de travail établissant les critères de référence pour l’adéquation (wp254rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes (wp256rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01)
• Lignes directrices sur le consentement au sens du règlement 2016/679 (wp259rev.01)
• Lignes directrices sur la transparence au sens du règlement 2016/679 (wp260rev.01)
• Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR (wp263rev.01)
• Recommendation on the approval of the Controller Binding Corporate Rules form (wp264)
• Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
• Position Paper related to article 30(5)
• Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 – [Draft] Annex 2
• Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement 2016/679
• [Draft] Guidelines 3/2018 on the territorial scope of the Regulation 2016/679 (Article 3)
• Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the Regulation 2016/679 – [Draft] Annex 1
• Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR)
• [Draft] Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679

Ressources offertes par Lexing

Vous pouvez commander notre ouvrage (en anglais) consacré au RGPD à cette adresse.

Lexing commercialise différents packs en matière de protection des données.

Nous vous proposons également quelques vidéos:

• earlegal #4 – La protection des données à caractère personnel au sein des administrations publiques
• earlegal #3 – Vers un nouveau règlement sur la protection des données

et des actualités:

• Vente en ligne – quelles précautions prendre pour les données relatives aux cartes bancaires? (avec Wolters Kluwer)
• Quelles sont les précautions à prendre par rapport aux données des enfants ? (avec Wolters Kluwer)
• Pouvez-vous noter le numéro de registre national de vos clients ? (avec Wolters Kluwer)
• Désignation d’un délégué à la protection des données : quand et comment ? (avec Wolters Kluwer)
• RGPD : quelles seront les particularités belges pour le secteur privé ? (avec Wolters Kluwer)
• Procédure de recrutement : quel régime pour les données des candidats ? (avec Wolters Kluwer)
• Le Règlement général sur la protection des données (suite et pas fin) (avec Wolters Kluwer)
• Application du RGPD à l’analyse Big data (avec Wolters Kluwer)
• Le RGPD s’applique-t-il aussi aux données des visiteurs de votre entreprise ? (avec Wolters Kluwer)
• Quels changements pour les caméras de surveillance avec l’arrivée du RGPD ? (avec Wolters Kluwer)
• Les acteurs du RGPD (avec Wolters Kluwer)
• Quels sont les risques en cas de non-conformité au RGPD ? (avec Wolters Kluwer)
• L’impact du RGPD sur l’e-mailing (avec Wolters Kluwer)
• Quels réflexes avoir en cas de fuite de données ? (avec Wolters Kluwer)

• Data breach : “forewarned is forearmed”
• Health data in Belgium : What you need to know
• Que faire face à une enquête de l’Autorité de protection des données ?
• RGPD & loi : quel impact pour la recherche scientifique en Belgique ? 
• Journalistes, universitaires, artistes : RGPD à la sauce belge
• Le projet de loi belge relatif à la protection des données déposé !
• Faut-il aussi conformer les fan pages Facebook au RGPD ?
• Schriftelijke examenantwoorden, persoonsgegevens en de GDPR
• Minorité digitale, votre entreprise est-elle prête ?
• Les données biométriques comme clef d’accès : sécurité et RGPD
• Pour traiter les données d’un enfant, demandez à ses parents !
• Vos mesures de contrôle des salariés sont-elles conformes au RGPD ?
• Portabilité des données : le nouveau droit consacré par le RGPD !
• Fuite de données : ne pas laisser s’ouvrir la boîte de Pandore
• Gegevensdoorgifte post Brexit: doorgifte naar een normconform eiland?
• Délégué à la protection des données : qui désigner ?
• Le droit à l’effacement des données consacré par le RGPD