RGPD
Notre équipe est là pour vous aider dans le cadre de votre processus de mise en conformité au RGPD, mais voici déjà quelques ressources qui s’avéreront utiles :
Le texte du RGPD en 24 langues
Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) (les considérants 71, 134 et 143 et les articles 9, 10, 37, 41, 42, 43, 47, 53, 57, 64, 65, 69 et 70 ont été modifiés par un rectificatif du 23 mai 2018)
Lexique français – anglais sur la protection des données
Ce lexique est émis par la Commission Nationale de l’Informatique et des Libertés.
Représentation graphique du RGPD
- le Dataviz de la Commission Nationale de l’Informatique et des Libertés
- la cartographie d’exploration des outils et pratiques de protection de la vie privée de la Commission Nationale de l’Informatique et des Libertés
- l’infographie publiée par le CLUSIF
Convention de sous-traitance (art. 28 RGPD)
Des clauses contractuelles types entre les responsables du traitement et les sous-traitants ont été adoptées le 4 juin 2021 par la Commission, en application de l’article 28, paragraphe 7, du règlement (UE) 2016/679 :
Modèles de registre des activités de traitement (art. 30 RGPD)
Devez-vous tenir un registre ? Décidez à l’aide du schéma de l’Autorité de protection des données et de sa recommandation relative au registre des activités de traitements mais également de la prise de position du Comité européen à la protection des données et utilisez :
- le modèle de l’Autorité belge de protection des données
- le modèle de la Commission Nationale de l’Informatique et des Libertés
- le GDPR Compliance Support Tool de la Commission nationale pour la protection des données du Luxembourg intègre un tel registre
Modèles de notification à l’autorité de contrôle d’une violation de données à caractère personnel (art. 33 et 34 RGPD)
En cas de violation de données à caractère personnel, consultez les lignes directrices du Comité européen à la protection des données (ces lignes directrices n’ont pas encore été traduites en français) et utilisez :
- le formulaire de notification de l’Autorité belge de protection des données
- le modèle de la Commission Nationale de l’Informatique et des Libertés
- le modèle de la Commission nationale pour la protection des données du Luxembourg
Modèles d’analyse d’impact relative à la protection des données (AIPD, art. 35 RGPD)
Devez-vous effectuer une AIPD ? Décidez à l’aide du schéma de l’Autorité belge de protection des données et des lignes directrices du Comité européen à la protection des données et utilisez : :
- le modèle de la Commission Nationale de l’Informatique et des Libertés
Désignation d’un Délégué à la protection des données (art. 37 RGPD)
Devez-vous désigner un Délégué à la Protection des Données ? Décidez à l’aide du schéma de l’Autorité de protection des données et des lignes directrices du Comité européen à la protection des données.
→ Vous cherchez un DPD externe ? Consultez-nous !
Pays assurant une protection adéquate, clauses contractuelles types ou codes de conduite pour le transfert de données vers des pays tiers (art. 46 RGPD)
Notons que le RGPD est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.
La Commission européenne a reconnu les pays suivants comme assurant une protection adéquate : Andorre, Argentine, Canada (organisations commerciales), Iles Féroé, Guernsey, Israel, Ile de Man, Jersey, Japon, Nouvelle-Zélande, Royaume-Uni, Suisse et Uruguay.
Le 16 juin 2021, la Commission a lancé la procédure d’adoption d’une décision d’adéquation pour les transferts de données personnelles vers la Corée du Sud.
L’EDPB invite les États membres de l’UE à évaluer et, le cas échéant, à revoir leurs accords internationaux qui impliquent des transferts internationaux de données personnelles et qui ont été conclus avant le 24 mai 2016 pour les aligner, le cas échéant, sur la législation de l’UE sur la protection des données : Statement 04/2021 on international agreements including transfers
Des clauses contractuelles types pour le transfert de données vers les autres pays tiers ont été adoptées le 4 juin 2021 par la Commission, en application de l’article 46, paragraphe 1, du règlement (UE) 2016/679 :
Pour donner suite à l’arrêt SCHREMS II de la CJUE , le CEPD a adopté des recommandations sur des mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance :
- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
- Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance
Au sujet des Codes de conduite :
→ Vous êtes un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union et cherchez un représentant ? Consultez-nous !
Lignes directrices du Comité européen à la protection des données (ancien Groupe de travail Article 29)
- Lignes directrices relatives au droit à la portabilité des données (wp242rev.01)
- Lignes directrices concernant les délégués à la protection des données (DPD) (wp243rev.01)
- Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (wp244rev.01)
- Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679 (wp248rev.01)
- Avis 2/2017 sur le traitement des données sur le lieu de travail (wp249)
- Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement 2016/679 (wp250rev.01)
- Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement 2016/679 (wp251rev.01)
- Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 (wp253)
- Document de travail établissant les critères de référence pour l’adéquation (wp254rev.01)
- Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes (wp256rev.01)
- Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01)
- Lignes directrices sur la transparence au sens du règlement 2016/679 (wp260rev.01)
- Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR (wp263rev.01)
- Recommendation on the approval of the Controller Binding Corporate Rules form (wp264)
- Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
- Position Paper related to article 30(5)
- Lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement 2016/679
- Document du CEPD relatif à la procédure d’approbation des critères de certification par le CEPD aboutissant à une certification commune, le label européen de protection des données
- [Draft] Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
- Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement 2016/679
- Lignes directrices 3/2018 relatives au champ d’application territorial du règlement 2016/679 (article 3)
- Lignes directrices 4/2018 relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement 2016/679
- Avis 3/2019 concernant les questions et réponses sur l’interaction entre le règlement relatif aux essais cliniques et le règlement 2016/679 [article 70 (1) (b)]
- Lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement 2016/679
- Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, § 1er, b), du règlement 2016/679 dans le cadre de la fourniture de services en ligne aux personnes concernées
- Lignes directrices 3/2019 sur le traitement des données à caractère personnel par des dispositifs vidéos
- Lignes directrices 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut
- Lignes directrices 5/2019 sur les critères du droit à l’oubli au titre du RGPD dans le cas des moteurs de recherche (partie 1)
- Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité
- Lignes directrices 2/2020 relatives à l’article 46, paragraphe 2, point a), et paragraphe 3, point b), du règlement (UE) 2016/679 pour les transferts de données à caractère personnel entre les autorités et organismes publics établis dans l’EEE et ceux établis hors de l’EEE
- Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19
- Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19
- Lignes directrices 5/2020 sur le consentement au sens du règlement 2016/679
- Lignes directrices 6/2020 relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD
- Guidelines 07/2020 on the concepts of controller and processor in the GDPR
- Guidelines 08/2020 on the targeting of social media user
- Lignes directrices 09/2020 relatives à l’objection pertinente et motivée au titre du règlement (UE) 2016/679
- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
- Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance
- [Draft] Guidelines 10/2020 on restrictions under Article 23 GDPR
- [Draft] Guidelines 01/2021 on Examples regarding Data Breach Notification
- Guidelines 02/2021 on Virtual Voice Assistants
- Statement 04/2021 on international agreements including transfers
- [Draft] Guidelines 03/2021 on the application of Article 65(1)(a) GDPR
- Recommandations 02/2021 sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne
- [Draft] Guidelines 04/2021 on codes of conduct as tools for transfers
Les ressources offertes par Lexing et Lexing Switzerland
Vous pouvez commander notre ouvrage (en anglais) consacré au RGPD à cette adresse.
Lexing Switzerland commercialise différents packs en matière de protection des données, respectivement de RGPD.
Ces packs peuvent être acquis ici. Deux modèles de documents vous sont offerts, soit une requête de portabilité et une procédure en cas de fuite de données.
Vous pouvez également consulter les vidéos réalisées en relation avec le RGPD :
- Introduction au RGPD
- Le Règlement Général sur la Protection des Données pourrait trouver application pour les administrations et collectivités suisses et valaisannes
D’autres ouvrages ont été publiés en relation avec le RGPD par nos associés en Belgique et en France. Les voici :
- Alain Bensoussan, La protection des données personnes de A à Z, Paris 2017
- Jean-François HENROTTE, Catherine DI LORENZO, Protection des données personnelles – Recueil de textes, Legitech, Luxembourg, Bertrange, 2019 ; seconde éd. 2021
- Alexandre Cassart, Droit des Drones, Belgique, France, Luxembourg (l’ouvrage comporte également une analyse de la conformité au RGPD), Bruxelles 2017
- Virginie Bensoussan-Brûlé et Coauteurs, Le Data Protection Officer, Une fonction nouvelle dans l’entreprise, Paris 2017
- Alain Bensoussan / Frédéric Forster, Droit des objets connectés et telecoms, Paris 2017
- Virginie Bensoussan-Brûlé et Chloé Torres, Failles de sécurité et violation de données personnelles, Paris 2016