Notre équipe est là pour vous aider dans le cadre de votre démarche de conformité au Règlement Général sur la Protection des Données (RGPD ou GDPR) → Consultez-nous !

Dans l’attente de nous rencontrer, voici déjà quelques ressources qui s’avéreront utiles :

Texte du RGPD et des lois belges d’application 

• Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) (les considérants 71, 134 et 143 et les articles 9, 10, 37, 41, 42, 43, 47, 53, 57, 64, 65, 69 et 70 ont été modifiés par un rectificatif du 23 mai 2018)
• Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (modifiée par les lois des 4 mars et 25 mai 2018)
  • Arrêté du 13 juin 2018 de la Directrice Générale Recrutement et Développement du SPF Stratégie et Appui fixant le règlement d’ordre relatif aux tests linguistiques organisés conformément à la loi portant création de l’Autorité de protection des données du 3 décembre 2017
  • Règlement d’ordre intérieur de l’Autorité de protection des données approuvé le 18 décembre 2018 par la Chambre des représentants
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Un recours en annulation de l’article 221, § 2 est pendant devant la Cour constitutionnelle [7135 (FR)])
  • Règlement d’ordre intérieur de l’organe de contrôle de l’information policière
  • Arrêté royal du 11 mars 2019 relatif aux modalités d”interrogation directe de la Banque de Données nationale générale visée à l’article 44/7 de la loi sur la fonction de police au profit du Service public fédéral justice dans le but de contribuer à l’identification unique des détenus
  •  Arrêté royal n° 18 du 4 mai 2020 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19
  • Recommandation n° 02/2020 du 31 janvier 2020 de l’Autorité de protection des données – La portée de l’obligation de conclure un protocole afin de formaliser les communications de données à caractère personnel en provenance du secteur public fédéral
• Loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du RGPD
  • Arrêté royal du 12 novembre 2018 portant approbation du règlement d’ordre intérieur du comité de sécurité de l’information

• Loi luxembourgeoise du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du RGPD
• Règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données
• Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
  • Lignes directrices de la Commission européenne relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne

Lexiques 

• Le lexique de l’Autorité de protection des données
• Le lexique français-anglais de la Commission Nationale de l’Informatique et des Libertés

Représentation graphique du RGPD

• le Dataviz de la Commission Nationale de l’Informatique et des Libertés
• la cartographie d’exploration des outils et pratiques de protection de la vie privée  de la Commission Nationale de l’Informatique et des Libertés
• l’infographie publiée par le CLUSIF

Modèles de registre des activités de traitement (art. 30 RGPD)

Devez-vous tenir un registre ? Décidez à l’aide de la recommandation relative au registre des activités de traitements de l’Autorité de protection des données mais également de la prise de position du Comité européen à la protection des données et utilisez :

• le modèle de l’Autorité de protection des données
• le modèle de la Commission Nationale de l’Informatique et des Libertés
• le GDPR Compliance Support Tool de la Commission nationale pour la protection des données du Luxembourg intègre un tel registre

Modèle de notification à l’autorité de contrôle d’une violation de données (art. 33 et 34 RGPD)

En cas de violation de données à caractère personnel, consultez les lignes directrices du Comité européen à la protection des données et utilisez :

• le formulaire de notification de l’Autorité de protection des données

Modèle d’Analyse d’Impact relative à la Protection des Données (art. 35 RGPD)

Devez-vous effectuer une AIPD ? Décidez à l’aide du guide de l’Autorité de protection des données,

de sa recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable ,

de sa décision n ° 01/2019 du 16 janvier 2019 (disponible en néerlandais) adoptant la liste des traitements pour lesquels une analyse d’impact sur la protection des données doit être effectuée conformément à l’article 35.4 du règlement 2016/679 et de l’ EDPB Opinion 2/2018 on the draft list of the competent supervisory authority of Belgium regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR)

et des lignes directrices du Comité européen à la protection des données et utilisez :

• le logiciel de la Commission Nationale de l’Informatique et des Libertés

S’il échet, demandez à l’Autorité de protection des données une consultation préalable sur les traitements de données à haut risque résiduel

Désignation d’un Délégué à la Protection des Données  (art. 37 RGPD)

Devez-vous désigner un Délégué à la Protection des Données ? Décidez à l’aide de la recommandation relative au cumul de la fonction de DPD avec d’autres fonctions de l’Autorité de protection des données et des lignes directrices du Comité européen à la protection des données. Consultez également les éléments essentiels minimums qu’une formation DPD doit contenir pour l’Autorité de protection des données et utilisez :

• le formulaire de communication des coordonnées du DPD de l’Autorité de protection des données

→ Vous cherchez un DPD externe ? Consultez-nous !

Clauses contractuelles types pour le transfert de données vers des pays tiers (art. 46 RGPD)

Ces clauses n’ont pas encore été adoptées par la Commission européenne. Les clauses adoptées par la Commission, en application de la directive 95/46,  restent d’application jusqu’à l’adoption de nouvelles clauses:

• Décision 2001/497 de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE
• Décision 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE (voy. l’arrêt SCHREMS II de la CJUE)

La Commission européenne a reconnu les pays suivants comme assurant une protection adéquate : Andorre, Argentine, Canada (organisations commerciales), Iles Feroe, Guernsey, Israel, Ile de Man, Jersey, Japon, Nouvelle-Zelande, Suisse, Uruguay et United States of America (limitée au Privacy Shield framework et INVALIDEE) et de sorte que de telles clauses ne sont pas nécessaires

Notons que le RGPD est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

Marketing direct

Recommandation n° 01/2020 du 17 janvier 2020 de l’Autorité de protection des données relative aux traitements de données à caractère personnel à des fins de marketing direct

Lignes directrices du Comité européen à la protection des données (ancien Groupe de travail Article 29)

• Lignes directrices relatives au droit à la portabilité des données (wp242rev.01)
• Lignes directrices concernant les délégués à la protection des données (DPD) (wp243rev.01)
• Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (wp244rev.01)
• Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement 2016/679 (wp248rev.01)
• Opinion 2/2018 on the draft list of the competent supervisory authority of Belgium regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR)
• Avis 2/2017 sur le traitement des données sur le lieu de travail (wp249)
• Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement 2016/679 (wp250rev.01)
• Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement 2016/679 (wp251rev.01)
• Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 (wp253)
• Document de travail établissant les critères de référence pour l’adéquation (wp254rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes (wp256rev.01)
• Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01)
• Lignes directrices sur la transparence au sens du règlement 2016/679 (wp260rev.01)
• Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR (wp263rev.01)
• Recommendation on the approval of the Controller Binding Corporate Rules form (wp264)
• Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
• Position Paper related to article 30(5)
• Lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement 2016/679
• Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement 2016/679
• Lignes directrices 3/2018 relatives au champ d’application territorial du règlement 2016/679 (article 3)
• Lignes directrices 4/2018 relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement 2016/679
• Avis 3/2019 concernant les questions et réponses sur l’interaction entre le règlement relatif aux essais cliniques et le règlement 2016/679 [article 70 (1) (b)]
  
• Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
• Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, § 1er, b), du règlement 2016/679 dans le cadre de la fourniture de services en ligne aux personnes concernées
• Lignes directrices 3/2019 sur le traitement des données à caractère personnel par des dispositifs vidéos
• [Draft] Guidelines 4/2019 on Article 25 Data Protection by Design and by Default
• Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
• [Draft] Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
• EDPB document on the procedure for the approval of certification criteria by the EDPB resulting in a common certification, the European Data Protection Seal
• Opinion 2/2020 on the Belgium data protection supervisory authority draft accreditation requirements for a code of conduct monitoring body pursuant to article 41 GDPR
• [Draft] Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
• Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak
• Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak
• Guidelines 05/2020 on consent under GDPR
• Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (projet)
• Guidelines 07/2020 on the concepts of controller and processor in the GDPR (projet)
• Guidelines 08/2020 on the targeting of social media users (projet)

Ressources offertes par Lexing

Vous pouvez commander notre ouvrage (en anglais) consacré au RGPD à cette adresse ou  notre recueil de textes (en français) à cette adresse

Lexing commercialise différents packs en matière de protection des données.

Nous vous proposons également quelques vidéos:

• earlegal #4 – La protection des données à caractère personnel au sein des administrations publiques
• earlegal #3 – Vers un nouveau règlement sur la protection des données

et des actualités:

• Vente en ligne – quelles précautions prendre pour les données relatives aux cartes bancaires? (avec Wolters Kluwer)
• Quelles sont les précautions à prendre par rapport aux données des enfants ? (avec Wolters Kluwer)
• Pouvez-vous noter le numéro de registre national de vos clients ? (avec Wolters Kluwer)
• Désignation d’un délégué à la protection des données : quand et comment ? (avec Wolters Kluwer)
• RGPD : quelles seront les particularités belges pour le secteur privé ? (avec Wolters Kluwer)
• Procédure de recrutement : quel régime pour les données des candidats ? (avec Wolters Kluwer)
• Le Règlement général sur la protection des données (suite et pas fin) (avec Wolters Kluwer)
• Application du RGPD à l’analyse Big data (avec Wolters Kluwer)
• Le RGPD s’applique-t-il aussi aux données des visiteurs de votre entreprise ? (avec Wolters Kluwer)
• Quels changements pour les caméras de surveillance avec l’arrivée du RGPD ? (avec Wolters Kluwer)
• Les acteurs du RGPD (avec Wolters Kluwer)
• Quels sont les risques en cas de non-conformité au RGPD ? (avec Wolters Kluwer)
• L’impact du RGPD sur l’e-mailing (avec Wolters Kluwer)
• Quels réflexes avoir en cas de fuite de données ? (avec Wolters Kluwer)

• Caméras de vidéosurveillance : la date limite du 25 mai approche !
• Privacy policy : ne pas oublier les réseaux sociaux !
• Pouvez-vous prouver avoir bien choisi votre DPD ?
• Employeurs : comment gérer les soupçons/cas avérés de contamination ?
• Combattre la mort par la technologie, où mettre la limite ?
• Lanceurs d’alerte: Un mécanisme interne obligatoire dès décembre 2021
• California Consumer Privacy Act – 10 Things You Should Know
• RGPD et finalité du traitement : l’APD serre la vis !
• Amende pour publicité électorale contraire au RGPD
• Caméras et location de bureaux : quelles obligations ?
• Real estate as a service : n’oubliez pas le RGPD !
• Hoe ver dient de verwijdering van links door zoekmachines te gaan ?
• Consentement et case cochée par défaut ? Pas de cookies…
• GDPR : Should non-EU companies designate a DPO/a representative/both?
• RGPD : Quand faire une analyse d’impact en Belgique ?
• Cybersurveillance des travailleurs : quelles sont les limites ?
• Uitoefening rechten in sociale media na enkele klikken (GDPR)
• Chèques-entreprises : une réforme bienvenue !
• [1er novembre] 2019 : (Br)exit la protection des données ?
• Data breach : “forewarned is forearmed”
• Health data in Belgium : What you need to know
• Que faire face à une enquête de l’Autorité de protection des données ?
• RGPD & loi : quel impact pour la recherche scientifique en Belgique ? 
• Journalistes, universitaires, artistes : RGPD à la sauce belge
• Le projet de loi belge relatif à la protection des données déposé !
• Faut-il aussi conformer les fan pages Facebook au RGPD ?
• Schriftelijke examenantwoorden, persoonsgegevens en de GDPR
• Minorité digitale, votre entreprise est-elle prête ?
• Les données biométriques comme clef d’accès : sécurité et RGPD
• Pour traiter les données d’un enfant, demandez à ses parents !
• Vos mesures de contrôle des salariés sont-elles conformes au RGPD ?
• Portabilité des données : le nouveau droit consacré par le RGPD !
• Fuite de données : ne pas laisser s’ouvrir la boîte de Pandore
• Gegevensdoorgifte post Brexit: doorgifte naar een normconform eiland?
• Délégué à la protection des données : qui désigner ?
• Le droit à l’effacement des données consacré par le RGPD