Devez-vous désigner un délégué à la protection des données ?
Quels sont les traitements de données auxquels vous pouvez procéder ?
Quelles sont vos obligations vis-à-vis des bénévoles et des donateurs ?
Que pouvez-vous faire avec les données particulières ?
par Fanny COTON et Victor ROUARD
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal #6 - ASBL : Comment vous conformer au RGPD sans compromettre l’activité de votre association ?
1. ASBL: comment vous conformer
au RGPD
sans compromettre l’activité de
votre association ?
Fanny COTON
Victor ROUARD
2. www.earlegal.beGroupe Larcier / Lexing
Présentation et logistique
Présentation co-organisée par Groupe Larcier et Lexing Belgium
à Bruxelles et à Liège
La présentation vous est envoyée par courriel
Les vidéos sont disponibles en ligne quelques semaines plus
tard : https://creactivity.lexing.be/earlegal/
Un fil rouge
Quatre questions
2
3. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Dispose d’une base de données avec ses membres, qu’elle
consulte pour différentes raisons
• Organise des évènements en ayant recours à des bénévoles
• Fait appel à des donateurs particuliers pour financer ses
projets
• Offre des services de soutien à des tiers
ASBL active
dans la
défense du
mouvement
LGTBQIA+
4. www.earlegal.beGroupe Larcier / Lexing
Programme
Comment identifier les traitements que vous réalisez
?
Est-ce que ces traitements respectent le RGPD ?
Quelles précautions pour les données particulières ?
Quelles sont vos obligations ?
4
5. Groupe Larcier / Lexing www.earlegal.be
Comment identifier les
traitements que vous réalisez ?
5
6. www.earlegal.beGroupe Larcier / Lexing
Notion de données à caractère personnel
Toute information se
rapportant à une personne
physique identifiée ou
identifiable
Ex : nom, numéro
d'identification, données
de localisation, plaque
d’immatriculation,
identifiant en ligne,
adresse IP, résultats
médicaux, e-mails,
affiliations.
6
7. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Fiches de contact des membres
Avis des membres sur les sujets d’actualité
Fiches de contact des donateurs
Données bancaires des donateurs
Fiches de contact de fournisseurs
Données relatives au personnel (salaires,
horaires, photos, certificats médicaux etc,)
…
7
8. www.earlegal.beGroupe Larcier / Lexing
Données qui font l’objet d’une protection particulière
8
Santé
Données judiciaires
Motifs de discrimination
(origine raciale/ethnique
opinions politiques,
religion
appartenance syndicale
vie/orientation sexuelle)
9. www.earlegal.beGroupe Larcier / Lexing
Notion de traitement de données à caractère personnel
Pas seulement analyser des données …
12. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Gère ses fournisseurs
• Gère son personnel et les bénévoles
• Envoie des newsletters à ses membres
• Consulte ses membres sur l’actualité
politique relative au mouvement LGTBQIA+
• Contacte des donateurs pour
solliciter des nouveaux dons
ASBL active
dans la
défense du
mouvement
LGTBQIA+
13. Groupe Larcier / Lexing www.earlegal.be
Est-ce que ces traitements
respectent le RGPD ?
13
14. www.earlegal.beGroupe Larcier / Lexing
Enjeux
14
Amendes : maximum
20.000.000 EUR ou 4%
du CA annuel mondial
du groupe de l’exercice
précédent
Réputation
Confiance
15. www.earlegal.beGroupe Larcier / Lexing
Fondement juridique du traitement
15
Justifier chaque finalité (but poursuivi par le traitement)
18. www.earlegal.beGroupe Larcier / Lexing
2 types de fondements juridiques du traitement
SOIT la personne concernée a
donné son consentement
18
SOIT le traitement est nécessaire:
à l'exécution d'un contrat
au respect d'une obligation légale
à l'exécution d'une mission
d'intérêt public
à la sauvegarde des intérêts vitaux
de la personne concernée ou d'une
autre personne physique
aux fins des intérêts légitimes
poursuivis par le responsable du
traitement ou par un tiers
(SAUF POUR LES AUTORITES PUBLIQUES)
19. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Fondement juridique ?
•Gestion des fournisseurs ?
•Gestion du personnel et des bénévoles
?
•Envoi de newsletters ?
•Consultation des membres ?
•Contact de donateurs existants ?
•Contact de nouveaux donateurs ?
•Offrir des services de soutien ?
ASBL active
dans la
défense du
mouvement
LGTBQIA+
20. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Fondement juridique ?
•Gestion des fournisseurs
•Gestion du personnel et des bénévole
•Envoi de newsletters
ASBL active
dans la
défense du
mouvement
LGTBQIA+
21. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Fondement juridique
(suite) ?
•Consultation des membres
•Contact de donateurs existant /
•Contact de nouveaux donateurs
• Offrir un service de soutien
ASBL active
dans la
défense du
mouvement
LGTBQIA+
22. www.earlegal.beGroupe Larcier / Lexing
Conditions applicables au consentement
Spécifique, éclairé et explicite (transparence)
Exprès
Doit pouvoir être prouvé par le responsable de traitement
(accountability)
Peut être retiré à tout moment
22
23. Groupe Larcier / Lexing www.earlegal.be
Quelles précautions pour
les données particulières ?
23
25. www.earlegal.beGroupe Larcier / Lexing
Données particulières …
… donc des particularités :
Moins de fondements juridiques
possibles
Liste de catégories de personnes qui y
accèdent
Si à grande échelle :
Analyse d’impact
Délégué à la protection des données
25
26. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Fondement juridique ?
•Recueillir l’avis politique des membres ?
•Inscrire les membres et les bénévoles dans une
base de données ?
•Réaliser des statistiques concernant les actes de
violence à l’égard des personnes homosexuelles ?
ASBL active
dans la
défense du
mouvement
LGTBQIA+
27. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Fondement juridique ?
•Recueillir l’avis politique des membres
•Inscrire les membres et les bénévoles dans une base de
données
•Réaliser des statistiques dans
des quartiers sur les actes de +
violence à l’égard des
personnes homosexuelles
ASBL active
dans la
défense du
mouvement
LGTBQIA+
29. www.earlegal.beGroupe Larcier / Lexing
Dès que le traitement présente un risque élevé:
3 cas :
3. Réalisation d’une analyse d’impact
dans l’espace public
30. www.earlegal.beGroupe Larcier / Lexing
A grande échelle
Pas de nombre précis dans RGPD ou lignes directrices, seulement
exemples (par un hôpital >< cabinet unipersonnel)
Facteurs à prendre en compte :
Nombre de données
Étendue géographique
Durée
Données « particulières » à grande échelle
31. www.earlegal.beGroupe Larcier / Lexing
Contenu de l’analyse d’impact
AIPD doit contenir:
- description des opérations de traitement
et des finalités
- évaluation de la nécessité et de la
proportionnalité
- évaluation des risques
- mesures envisagées pour faire face aux
risques
Si risque subsiste :
consultation de l’APD qui rend un avis
délai de 8 semaines voire 14 semaines
31
32. www.earlegal.beGroupe Larcier / Lexing
Pas une question de taille de l’entreprise :
(abandon du critère des 5.000 personnes concernées)
Obligatoire dans 3 cas :
MAIS l’Union ou un État membre pourront prévoir d’autres cas
obligatoires risque de disparités nationales
4. Désigner un DPD ?
33. www.earlegal.beGroupe Larcier / Lexing
Mission minimale du DPD
33
CONSEIL
DECISION
CONSCIENTISATION
INTERMEDIAIRE
VERIFICATION
Informer et
conseiller sur les
obligations qui
leur incombent en
vertu du RGPD et
du droit belge
% réalisation analyse d’impact
Audits
Sensibilisation
Formation du personnel
culture « vie privée »
Point de contact
pour l‘APD et
personnes
concernées
Coopération avec
l’APD
34. www.earlegal.beGroupe Larcier / Lexing
Un DPD indépendant et protégé
• Pas de conflit d’intérêts
• Fait directement rapport au niveau le
plus élevé de la direction
• Aucune instruction, mais
• pas de pouvoir décisionnel
• pas d’obligation de dénonciation
• Ne peut être licencié ou pénalisé (même
simple menace) en raison de l'exercice de
ses missions.
35. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Identifie les fondements
• Dresse la liste de catégories
de personne qui y ont accès
• Réalise une analyse d’impact
• Désigne un DPD
ASBL active
dans la
défense du
mouvement
LGTBQIA+
36. Groupe Larcier / Lexing www.earlegal.be
Quelles sont vos obligations?
36
37. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Quelles sont ses obligations :
• Vis-à-vis des bénévoles et
donateurs ?
• Vis-à-vis de l’Autorité de
protection des données?
ASBL active
dans la
défense du
mouvement
LGTBQIA+
38. www.earlegal.beGroupe Larcier / Lexing
1. Vis-à-vis des bénévoles et des donateurs
Bénévoles, donateurs, personnel, fournisseurs …
= « personnes concernées »
Vos obligations :
• A priori : les informer et si nécessaire, obtenir leur
consentement
• A posteriori : répondre dans le mois à leurs demandes
d’accès, rectification, effacement etc.
38
39. www.earlegal.beGroupe Larcier / Lexing
Quelles informations fournir ?
Identité et coordonnées du responsable de traitement
Coordonnées du DPD
Finalités (et fondements juridiques) du traitement
Destinataires
Transfert de données hors UE? ( ! Google Drive, MailChimp,…)
Durée de conservation
Droits des personnes concernées
Droit d’introduire une réclamation devant l’Autorité de Protection des
Données
39
41. www.earlegal.beGroupe Larcier / Lexing
Quid de la base de données existante ?
Suppression des données ?
oui, si la collecte était déjà illégale sur la base
de la loi du 8 décembre 1992
Si pas, info (+ éventuellement demande de
consentement)
42. www.earlegal.beGroupe Larcier / Lexing
Comment régulariser les contacts existants ?
Le fondement juridique a une incidence :
Consentement => renouveler si pas aux
normes du RGPD
Contrat => informer ou signer un avenant au
contrat
Intérêt légitime => informer
mais droit de retrait
42
43. www.earlegal.beGroupe Larcier / Lexing
2. Obligations v-à-v de l’Autorité de protection
des données
1) Tenue d’un registre des activités de traitement
2) Choix des sous-traitants et formalités
3) Notifier certaines violations de données
4) De façon générale : Accountability
43
44. www.earlegal.beGroupe Larcier / Lexing
Registre des activités de traitement
Les informations relatives au
responsable du traitement (+DPD)
Les finalités,
les catégories de personnes,
Les catégories de données,
les destinataires,
Une description générale des mesures
de sécurité techniques et
organisationnelles
Les preuves de l’analyse d’impact
effectuée + l’éventuel avis de la
Commission Vie Privée
44
45. www.earlegal.beGroupe Larcier / Lexing
Sous-traitants
Faire uniquement appel à des sous-
traitants qui présentent des
garanties suffisantes
Mentions contractuelles obligatoires
45
46. www.earlegal.beGroupe Larcier / Lexing
Signalement en cas de violation de données
46
• Obligation ou non de notifier?
• Respect délai 72 h
• Limiter conséquences négatives
• Documenter l’incident
• Notification contient les données de contact du délégué
APD
47. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
• Met à jour sa politique de gestion des données
et en informe les personnes concernées
• Dresse un registre
• Vérifie que ses sous-traitants respectent le
RGPD et conclut un avenant avec eux
ASBL active
dans la
défense du
mouvement
LGTBQIA+
Demander si certaines données semblent encore plus délicates
ex : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, transmission, interconnexion, destruction
automatisé en tout ou en partie,
non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (= ensemble structuré de données à caractère personnel accessibles selon des critères déterminés)
SAUF dans le cadre d'une activité strictement personnelle ou domestique
Contact de nouveaux donateurs :
Peut se faire sur la base d’une demande adressée à la commune en vue d’accéder au registre de la population afin d’obtenir des listes de personnes.
Différentes conditions à respecter :
Être un organisme de droit belge qui accomplit une mission d’IG (but caritatif, culturel ou philanthropique – pas d’objectif commercial ou lucratif)
Demande écrite motivée mentionnant les finalités pour lesquelles les demandées
La finalité doit faire partie de la description statutaire de l’organisme
Les données demandés doivent être proportionnés à la finalité
! Si d’autres moyens de toucher le public désirer, ces autres moyens doivent être privilégiés et la commune doit refuser
! Si intérêt supralocal, la demande doit être adressée au comité sectoriel du registre national !
Décision du collège des Bourgmestre et Échevins.
Contact de nouveaux donateurs :
Peut se faire sur la base d’une demande adressée à la commune en vue d’accéder au registre de la population afin d’obtenir des listes de personnes.
Différentes conditions à respecter :
Être un organisme de droit belge qui accomplit une mission d’IG (but caritatif, culturel ou philanthropique – pas d’objectif commercial ou lucratif)
Demande écrite motivée mentionnant les finalités pour lesquelles les demandées
La finalité doit faire partie de la description statutaire de l’organisme
Les données demandés doivent être proportionnés à la finalité
! Si d’autres moyens de toucher le public désirer, ces autres moyens doivent être privilégiés et la commune doit refuser
! Si intérêt supralocal, la demande doit être adressée au comité sectoriel du registre national !
Décision du collège des Bourgmestre et Échevins.
Insister sur les risques :
Ex. En cas de fuite dans la base de données, le fait d’y apparaitre pourrait laisser croire qu’on appartient au mouvement LGTBQIA+ et ainsi donner des indices, fondés ou non, sur l’orientation sexuelle. Dans tous les cas, cela donne une idée des convictions politiques ou philosophiques (même si le fait d’être considéré comme sympathisant du mouvement est, de nos jours, quelque chose de commun).
Insister sur les risques :
Ex. En cas de fuite dans la base de données, le fait d’y apparaitre pourrait laisser croire qu’on appartient au mouvement LGTBQIA+ et ainsi donner des indices, fondés ou non, sur l’orientation sexuelle. Dans tous les cas, cela donne une idée des convictions politiques ou philosophiques (même si le fait d’être considéré comme sympathisant du mouvement est, de nos jours, quelque chose de commun).
Seulement
every form, direct or indirect, of penalty: absence or delay of promotion, prevention from career advancement, denial from benefits that other employees receive, transfer to another function or office
Expliquer par quel moyen informer :
Avenant au contrat de travail, PVP, si les donateurs sont trouvés sur internet, par le biais d’un lien en bas de l’e-mail de contact expliquant comment adresse a été trouvée (source accessible au public) et renvoyant vers la PVP