ALL OVER THE WORLD
Earlegal -
Comment se
préparer à un
contrôle de
l’Autorité de
protection des
données ?
20 janvier 2022
Fanny COTON
Marie DEJAER

Présentation et logistique
• Présentation co-organisée par Larcier-Intersentia et Lexing
Belgium
• La présentation est enregistrée – possibilité de couper votre
caméra
• La présentation vous est envoyée par courriel
• Les vidéos sont disponibles en ligne quelques jours plus tard
https://lexing.be/academie/earlegal/
• Un fil rouge - quatre questions

4 questions
1. Comment limiter les risques de contrôle en amont
2. Comment se déroule concrètement un contrôle ? Comment
y réagir ?
3. Quel est l’ensemble de la documentation à pouvoir produire
?
4. Que doit pouvoir prouver le DPO par rapport à l’exercice de
sa propre mission ?

1.
Comment limiter les risques en
amont ?

Pourquoi ?
Violations
du RGPD,
de la loi du 30 juillet 2018
mais aussi :
de la loi caméra
de la loi registre national

Qui peut se faire contrôler ? Quand ?
En pratique :
Une enquête fait suite à :
A. Une plainte
B. Une notification de fuite de données
C. Une priorité stratégique de l’APD

A. Plaintes - Principales sources
• Réponse insatisfaisante à
une requête
• Usage des caméras
• Marketing direct

A. Plaintes – Difficulté de qualifier les requêtes
Ex: Décision de l’APD 79-2021 : Le plaignant a adressé un courrier
à un magazine, qui a été traité par le département « abonnements »,
mais aucune suite n’a été donnée à la demande d’accès aux
données.
- La personne concernée ne doit pas préciser l’article du RGPD
sur laquelle elle se fonde.
- Il n’est pas nécessaire non plus qu’elle adresse sa demande via
le canal dédié.
« Madame, Monsieur,
J'ai reçu ce jour, une lettre datée du … concernant un prétendu contrat
[...] suite à un appel téléphonique qui n'a jamais eu lieu avec moi.
Veuillez me communiquer dans les 8 jours toutes les données que vous
possédez à mon sujet et, le cas échéant, au sujet de l'adresse de mon
domicile, cf. le RGPD. Comment avez-vous eu connaissance d’un numéro de
compte bancaire ? Je n'autorise jamais de domiciliations.

B. Notifications - Tentation de les éviter
?
• L’absence de toute notification pour
des gros acteurs est considérée
comme suspecte par l’APD
• Alourdissement des sanctions devant
la chambre contentieuse
• Ne pas notifier = infraction en soi
 pas une bonne stratégie

C. Priorités 2023 de l’APD
• Les DPO
• Les smart cities
• Les cookies
18 janvier 2023 : EDPB Report of the
work undertaken by the Cookie Banner
Taskforce

Comment faire bonne impression ?
A. à distance
B. sur place

A.1.Site internet
• Politique de protection des données accessible en bas de
chaque page
+ affichage spécifique à chaque formulaire
• Bannière cookies conforme

A.2. Ne pas oublier de notifier l’identité du DPD !

B.1. Soigner ce qui est visible depuis l'accueil
• Horaires / périodes de congés
visibles
• Planning des rendez-vous…
• Courrier entrant/sortant en
attente
• Moniteur d’ordinateur visible
• Ecran de visionnage d’une
caméra visible

B.2. Présence du pictogramme caméras
• A chaque entrée (parking
aussi)
• Complété suite à la
modification de la loi caméra en
2018 :
 numéro de téléphone
 coordonnées du DPD
 URL de la politique de protection des
données
 concernant les images des caméras

B.3. Registre des visiteurs
• nom
• adresse professionnelle
• employeur
• véhicule
• nom, section et fonction de la personne visitée
• moment de la visite
Recommandation d'initiative n° 01/2018

2.
Comment se déroule
concrètement un contrôle ?
Comment y réagir ?

Pouvoirs des inspecteurs
• recueillir des informations en ligne et/ou sur place
• se faire communiquer tous renseignements ou documents utiles
• auditionner des personnes
• prendre des mesures provisoires
• accès aux locaux
• saisie et mise sous scellés
• se faire assister par la police

Procédure écrite en général
Procédure devant le Service d’Inspection
généralement écrite, à l’exception de:
• visite sur place
• audition décidée uniquement à l’initiative
du Service d’Inspection

Délai
• Dans quel délai faut-il répondre ?
 le Service d'Inspection précise toujours un délai de réponse
 Délai plus court pour des documents qui devraient en principe
pouvoir être présentés immédiatement.
• Quid si délai impossible à respecter ?
 Demande motivée écrite de prolongation au Service
d'Inspection avant l'expiration du délai
• Quid si délai non-respecté ?
Manquement à l’obligation de coopération
Le refus de communiquer certaines pièces doit être motivé et ne
peut porter que sur certains éléments bien déterminés.

Droit d’être entendu ?
D’être assisté par un avocat ?
• Pas de droit à être entendu à ce stade.
• Le Service d’Inspection n’accepte aucune demande de
concertation (même par téléphone).
• Droit à l’assistance d’un avocat :
• Pour répondre aux questions écrites,
• S’il y a une audition,
• En cas de descente.

Droit de faire parvenir au Service d’Inspection
tout document qu’on considère nécessaire
pour assurer sa défense.
MAIS ne pas répondre au-delà de ce qui est
demandé !
Pour ne pas susciter de nouvelles questions

Jusqu’où peut aller l’enquête ?
Ex : extension d’une plainte initiale

Ex 1 : Décision « Proximus »
• Enquête suite à une
 violation de données
 notifiée à l’APD
• Conclut que la violation de
données a bien été gérée – pas de
sanction
• Mais enquête étendue à d’autres
postes, notamment
l’indépendance du DPO
• Sanction de 50.000 EUR en raison
du conflit d’intérêts résultant de la
position du DPO

Ex. 2 : Commune
Plainte d’un locataire concernant le formulaire à remplir par le
propriétaire pour la taxe sur les secondes résidences
Le Service d’inspection avait demandé à la Commune :
• une copie de l’organigramme démontrant où s’y situait le
DPD,
• des documents démontrant à quoi était consacré son emploi
du temps,
• les documents qui démontraient ses compétences à exercer
cette fonction,
• une copie des avis qu’il avait donnés.
 AVERTISSEMENT (décision APD 15/2020)

Langue de la procédure
Note de l’APD relative à la politique linguistique de la Chambre
Contentieuse
La langue de la procédure est celle de la région linguistique du
plaignant.
MAIS si le défendeur est une autorité publique : on utilise la
langue de la région linguistique où elle se trouve.
Objection motivée à formuler dès le premier contact avec le Service
d’inspection – changement de langue doit se demander dès le
début

Quelles infos sur l’origine de l’enquête ?
Droit d'être informé : le Service d’Inspection
doit informer la personne contrôlée :
• du but de l’enquête,
• de la législation applicable.
Mais enquête secrète :
• Pas sûr que vient d’une plainte,
• pas accès à la plainte,
• pas d’info sur l’identité du
plaignant éventuel

Rapport d’inspection
Constatations effectuées par le Service d'Inspection :
- violation ou non-violation d’une législation
particulière,
- constatations permettant de qualifier
juridiquement les faits.
- circonstances aggravantes / atténuantes
- tout élément que le Service d’Inspection
considère pertinent
Toujours secret !
Le RT ne reçoit pas de copie à ce stade

Suites possibles
• Transfert du dossier à la
Chambre Contentieuse
• Classement sans suite du
dossier (par ex. si le
plaignant ne répond
pas)
• Transfert du dossier au
parquet
• Transfert du dossier à
une APD d'un autre état

Si transfert à la Chambre contentieuse
Suites possibles :
• Classement sans suite,
• Enquête complémentaire
• Décision light
(ordonnance non-
contradictoire avec
possibilité d’opposition)
• Décision au fond
• Transfert au parquet

Procédure au fond devant la Chambre
Contentieuse
• Liste d’articles du RGPD etc. qui seraient violés
• Délai de « conclusions » imposés (+/- 3 mois)
• Accès pour la première fois :
- à la plainte
- au rapport d’inspection
- dossier de pièces à demander expressément
• Droit d’être entendu :
à demander expressément (après l’échange de notes =
plaidoiries)
Présence du DPO utile

3.
Quel est l’ensemble de la
documentation à pouvoir
produire ? ?
3.

Registre des traitements

(Registre en tant que sous-traitant)

Registre des caméras
• type de lieu,
• description technique des caméras,
• emplacement (éventuellement sur plan),
• mode d’information des personnes filmées
• lieu du traitement des images,
• visionnage en temps réel ou non, et manière
dont il est organisé,
• avis positif du conseil communal (pour les lieux
ouverts ou les caméras dirigées vers le périmètre
d’un lieu fermé),
• description des zones surveillées
et les périodes d’utilisation
(pour les caméras temporaires ou mobiles)

Déclaration des caméras
aux services de police
https://declarationcamera.be/
+ validation ANNUELLE

Registre des consultations du reg. national
Avec motif de consultation !

Liste des catégories de personnes ayant accès
:
• aux données de santé
• aux condamnations pénales

Registre de conservation
et procédure d’effacement

Registre de conservation
et procédure d’effacement
• Calendrier réaliste
• Attribution de rôles pour l’effacement

Contrats avec les prestataires
ST :
• Contrats/avenants signés
• Conditions générales à télécharger
pour les contrats d’adhésion
• Clauses contractuelles types et
mesures supplémentaires si hors UE
Fournisseurs de données :
• Contrats
• Due diligence

Documents sociaux
• Contrats/avenants signés avec le
personnel
• Politique de protection des
données
• « IT policy » - charte etc.

Suivi des requêtes des personnes concernées
• Preuve de la réponse
donnée
• Problématique de la
preuve d’effacement

Analyses d’impact
Ou note d’accountability :
absence de nécessité d’une analyse d’impact

Procédure en cas de violation
de données
+/- circonstance atténuante
(Décision APD 22/2020)

Registre des incidents
= registre des violations de données
à caractère personnel.
- Aussi les incidents non-notifiés
- Assure la traçabilité et suivi des
violations en interne
- Démontre à l’APD un niveau
satisfaisant de sécurisation des
traitements

Preuve de conscientisation régulière
• Dates
• Contenu / support
• Mise à niveau des nouveaux
arrivants
• Rappels pop up éventuels

4.
Que doit pouvoir prouver le
DPO par rapport à l’exercice
de sa propre mission ?

Les obligations du DPO pendant l’enquête
Point de contact
Conseille le RT/ST sur la réponse à
apporter
Ne doit pas répondre lui-même, mais
uniquement s’assurer qu’une réponse
soit envoyée
Mais :
• charte du Service d’inspection : possible que le SI exige
explicitement une réponse à une question spécifique de
la part du DPD
• Demande souvent des documents concernant le DPO

Avis du DPD

Preuve que le DPD dispose de suffisamment
de temps

Choix du DPD

Situation du DPD dans l’organigramme
Preuve de rapport à l’échelon le plus élevé
de la direction
• Organigramme
• Rapport annuel
• Possibilité de rapporter à
tout moment

Être bien préparé
Prendre au sérieux :
- toute requête d’une
personne concernée
- toute demande de
renseignements de l’APD
Take away message

Merci
pour votre attention !
Des questions ?

Prochains EARLEGAL
• 17 février 2023 : Infractions
urbanistiques en RW – comment en
sortir ?
• 24 mars 2023 : Recours à l'IA :
comment anticiper le futur cadre
juridique ?
• 21 avril 2023 : Difficultés financières
d’un sous-traitant, quelles
précautions?
• 2 juin 2023 : Comment tirer parti
des règlements DSA/DMA ?

Pensez à notre
SERVICE DE VEILLE
Analyse des décisions de l’APD et
de la Cour des marchés
Renseignements :
f.coton@lexing.be