C9: Délégation de traitement; Registre des fichiers (nLPD); Délégué à la protection; Représentant dans l'UE

Question 1

Où est comment se définit la délégation du traitement? Quels sont des sous-traitants fréquents?

Answer 1

LPD 10a
= résultat de la division du travail de traitement et de la communication de l’information

–> cas fréquents: institut de sondage; fiduciaire

Question 2

Conditions pour délégation a. s. d. LPD 10a?

Answer 2

1. Convention (en privé, p. ex. outsourcing général, prestation avocat, etc.) ou base légale (en public)
   - -> peut être sur partie des données slmnt
2. Limitation aux traitements que le mandant serait en droit d’effectuer lui-même (al. 1 let. a)
   - -> s’explique automatiquement; en gros, respect des principes généraux
3. Respect des obligations légales ou contractuelles de garder le secret (al. 1 let. b)
4. Véritable tiers
5. Le choix du tiers
6. 1. choisir
7. 2. instruire
8. 3. surveiller

Question 3

Faut-il une forme spécifique pour la convention?

Answer 3

Non; le plus souvent c’est un mandat (CO 394 ss) ou un contrat d’entreprise/Werkvertrag (CO 363 ss) ou encore un contrat mixte

Question 4

Contenu de la convention?

Answer 4

En particulier:

• Type
• Etendue
• Respect de la confidentialité
• technologies à mettre en œuvre
• Accès
• Développement et maintenance des bases de données générées en sous-traitance
• Sécurité
• Localisation du matériel
• Instructions, contrôles et audits
• Eventuelle faculté de sous-délégation
• Conservation et archivage

Question 5

Comment se traduisent les 3 dimensions de la diligence nécessaire dans le cadre de la délégation?

Answer 5

1. Choisir: personnel et infrastructure, n. b. sécurité (cf. al. 2)
2. Instruire: But et étendue, éventuellement exigences spécifiques à la sécurité (cf. al. 2)
3. Surveiller: vérifier en tout temps la manière dont le traitement délégué est effectué, n. b. sécurité (cf. al. 2)

Question 6

Quel est la diligence requise du mandant?

Answer 6

Exercer l’instruction et la surveillance avec tte diligence, y c.

• -> réagir sans délai en cas d’indices
• -> év. audits réguliers
• -> tjrs en fonctions des circonstances concrètes

Question 7

Que faut-il pour une sous-sous-traitance?

Answer 7

Consentement expresse du mandant (≠ explicite/forme particulière)

En cas d’admission: Mandant doit s’assurer d’une chaîne d’instruction et surveillance complète

Question 8

Est-ce qu’une obligation de garder le secret a. s. d. LPD 10a I let. b signifie tjrs que la délégation est automatiquement prohibée?

Answer 8

Non; il faut vérifier dans la loi s’appliquant ou par interprétation de la clause si l’obligation englobe la délégation aussi.

Question 9

Quelle est la conséquence si la clause contractuelle prohibe la délégation, mais l’auteur a quand-même saisi un délégataire?

Answer 9

Responsabilité contractuelle, pénale et/ou administrative

Question 10

Qu’est-ce qui est un “véritable tiers”?

Answer 10

= toute personne différente du mandant, même si elle lui est liée économiquement ou juridiquement (p. ex. société fille ou sœur dans le même groupe

≠ au sein de la même personne morale (succursale, autre service ou collaborateur)

• -> principes généraux s’appliquent dans les deux cas
• -> et aussi les règles de dilligence dans le choix, l’instruction, et le contrôle

Question 11

Qui est le maître du fichier s’il y a délégation (3 cas de figure)?

Answer 11

1. Généralement, le mandant est maître du fichier; ou au moins l’auteur principal du traitement
2. Mandant et délégataires sont maître du fichier en commun = les deux ont certaines tâches
3. Délégataire est le seul maître du fichier (qu’il exploite pour le compte d’un tiers)
   = p. ex. institut d’étude du marché menant une enquête pour le compte du client

Question 12

A quoi faut-il penser si le délégataire se trouve p. ex. en Allemagne?

Answer 12

Communication transfrontière –> LPD 6 s’applique (aussi si communication pas à un véritable tiers et ainsi pas de délégation)

Question 13

Par rapport à quel art. LPD 10a est lex specialis?

Answer 13

LPD 12 II c –> en cas de délégation, il suffit de remplir les conditions de LPD 10a pour le traitement de données sensibles ou des profils de la personnalité (!) sans autre motif justificatif

Question 14

Quels art. s’appliquent pas lors qu’il y a délégation?

Answer 14

LPD 8 II let. b: Le délégué n’est pas “destinataire”; il faut pas donner accès à cette information/les coordonnées du délégué du traitement

LPD 11 III –> devoir d’info pour données sensibles et profils tombe.
–> Raison: pas de communication à un véritable tiers, tant et aussi longtemps que le délégataire n’utilise pas les données pour ses propres fins

LPD 14 II let . c: ibid. LPD 8 II let. b

LPD 14 III in fine: La communication au délégué n’est pas “communication à un tiers”

Question 15

Est-ce que les devoir particuliers du maître du fichier s’appliquent au délégataire? Ça sera toujours le cas dans la nLPD?

Answer 15

En principe non; à moins que le délégataire est lui-même maître du fichier

nLPD 14 III: sous-traitant devra mener un registre des activités de traitement

Question 16

Peut le délégataire se prévaloir d’une justification?

Answer 16

Oui, dans la même mesure que le mandant (al. 3) –> LPD 13

Question 17

Si la délégation correspond aux exigences de LPD 10a, faut-il informer la personne concernée? Ou faut-il même son consentement?

Answer 17

Non (cf. en haut: LPD 11 III; 14 II let. c et III ne s’appliquent pas faute de manque des ECO)

Question 18

Est-ce que le délégataire peut se fier du label de qualité du mandant (LPD 11)?

Answer 18

Non

Question 19

Conséquence pour le mandant s’il a délégué sans les préjudices nécessaires?

Answer 19

Responsabilité délictuelle ou contractuelle

Question 20

nLPD

Answer 20

nLPD

Question 21

Dans la nLPD, qui devra comment documenter ses activités de traitement?

Answer 21

nLPD 12: Registre des activités de tratiement (cf. aussi RGPD 30)
–> Incombe au responsable et au sous-traitant

Question 22

Est-ce que le registre est le journal détaillé?

Answer 22

Non, indique, par écrit, les activités importantes (cf. al. 2, p. ex. identité du responsable, finalité, destinataire, conservation, etc.)
–> permet de savoir si un traitement de données est, en principe, conforme ou non à la protection des données

Question 23

Quel est le contenu du registre du sous-traitant (délégataire en LPD)?

Answer 23

nLPD 12 III: liste raccourci

• identité sous-traitant + responsable du traitemetn
• catégories de traitements effectués
• indications de al. 2 let. f-g

Question 24

Qu’est-ce qui changera pour les organes fédéraux concernant le registre des activités?

Answer 24

Rien (cf. LPD 11a II; OLPD 16)

Question 25

Où est réglé le conseiller à la protection des données, existe-il déjà?

Answer 25

• Existe déjà; est un moyen pour se délier du devoir de tenir un registre des fichiers (LPD 11a V let. e)
• Réglé à OLPD 12a et 12b

Question 26

Que fait le conseiller/Data Protection Officer (DPO)?

Answer 26

• assure bonne application des normes sur la protection de données
• lien avec les maîtres des fichiers (conseiller, accompagner)
• former les employés pour les rendre conscients sur la protection de données (culture de protection)
• -> employés doivent savoir s’ils sont responsables de traitement p. ex.

-accompagner les projets

Question 27

Est-ce qu’il y a une obligation légale d’avoir un DPO dans la LPD ou la nLPD?

Answer 27

privés: pas dans loi CH, ni sous LPD (11a V let. e) ni sous nLPD (10)

mais oui pour les organes fédéraux

Question 28

Obligation du DPO selon RGPD?

Answer 28

oui, dans certains cas (RGPD 37 I)
–> en général des grandes entreprises, p. ex. assurances

PEUT S’APPLIQUER AUSSI AUX RESPONSABLES NON ETABLIS EN UE (3 II) ET AINSI AUX RESPONSABLES SUISSES !!

Question 29

Comment nommer le DPO? Interne ou externe? De quoi faut-il tenir compte?

Answer 29

Soit nommer qqn à l’interne

• -> pas de conflits d’intérêts; doit/devrait être indépendant ≠ s’il traite lui-même des données aussi, p. ex. (mais en pratique ça arrive souvent)
• -> au mieux qqn du service compliance si au sein de l’entreprise; en Belgique, amende pour avoir nommé un auditeur

Soit nommer qqn à l’externe

Le choix est devenu difficile

Question 30

Est-ce que le DPO et le maître du fichier sont la même personne?

Answer 30

NON !

Question 31

Quels sont les défis particuliers pour une DPO dans une petite entreprise?

Answer 31

• si on parle d’engager un DPO, on pense aux grandes entreprises; mais aussi dans les petites entreprises ça existe, mais juste peu de traitement en même temps
• vrmnt intéressant: moyennes entreprises
• à nouveau: c’est pas facile de trouver le bon DPO, notamment le DPO assez neutre

Question 32

Quels sont les premiers pas après avoir engagé un nouveau DPO, pour lui-même, mais aussi pour l’entreprise?

Answer 32

Entreprise: annoncer au préposé de la protection des données (OLPD 12a I let. b)

premier jour du DPO:

• normes applicables
• créer un aperçu des traitements qui sont faits au sein de l’entreprise
• compliance = conseiller les maîtres des fichiers

Question 33

Est-ce que la tenue des registres de traitement est une tâche du DPO?

Answer 33

théoriquement: non, c sont les maîtres des fichiers

pratiquement: oui, c souvent le DPO
- -> des fois aussi en faisant l’aperçu des traitements

Question 34

Est-ce que le DPO a un impact?

Answer 34

Hering: certainement; même si ça dépend aussi de la taille de l’entreprise

le DPO établit quelles données sont collectées dans quel but; cb de temps sont ils gardés; etc. —> proportionnalité —> avantage concurrentiel

Question 35

Est-ce que le système concernant le DPO changeront pour les organes fédéraux avec la nouvelle loi?

Answer 35

Non

Question 36

Représentant RGDP

Answer 36

Représentant RGDP

Question 37

Qui doit désigner un représentant en UE?

Answer 37

Ceux à qui s’applique la RGPD de manière extra-territoriale (art. 3 II); p. ex. entreprise suisse qui offre biens ou services en UE ou qui fait des profilages des citoyens EEE

SAUF s’il y a une exception a. s. d. RGPD 27 II

Question 38

Quelle est le plus fréquemment la base entre le responsable du traitement et son représentant en UE?

Answer 38

Contrat

Question 39

Le représentant, peut-il 1) être une personne physique aussi bien qu’une personne morale; et 2) peut un représentant représenter plusieurs responsable; et 3) faut-il un représentant pour chaque activité distincte du responsable/sous-responsable?

Answer 39

1) Oui, PP ou PM, égal
2) Oui
3) Non; la représentation peut être générale

Question 40

Est-ce que le représentant peut être DPO à la fois?

Answer 40

Non (indépendance)

• -> doit pas communiquer des décisions du responsable et en son nom qu’il a déconseillé en tant que DPO
• -> il y aurait aussi conflit d’intérêts si le DPO devrait représenter le responsable devant les tribunaux (et se prononcer sur une décision qu’il a déconseillé)

Question 41

Faut-il communiquer l’dentité du représentant à une autorité nationale/européenne?

Answer 41

Non

Par contre, il faut l’indiquer envers la personne concernée.

L’info evraient en outre être facilement accessibles aux autorités de contrôle afin de faciliter l’établissement d’un contact pour les besoins de la coopération.

Question 42

Quels sont les conditions de l’exemption de l’obligation du représentant?

Answer 42

RGPD 27 II

let. a: le traitement est «occasionnel, n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement».
let. b: le traitement est effectué par «une autorité publique ou un organisme public».

Question 43

Que veut dire “traitement occasionnel”?

Answer 43

en dehors du cours normal des affaires ou des activités du responsable du traitement ou du sous-traitant

Question 44

Quand est-ce qu’on parle d’un “traitement à grande échelle”? Quels sont les critères?

Answer 44

• Nombre de personnes absolu ou relatif
• Volume de données et/ou le spectre des données traitées;
• la durée, ou la permanence, des activités de traitement des données;
• l’étendue géographique de l’activité de traitement

Question 45

Dans quel Etat membre le représentant doit se trouver?

Answer 45

RGPD 27 III: là, où il y a au moins une proportion significative des personnes concernées/destinataires de l’offre de biens ou services

Question 46

Qu’est-ce que le représentant fait?

Answer 46

Il agit au nom du responsable du traitement ou du sous-traitant qu’il représente en ce qui concerne les obligations qui incombent à ces derniers en vertu du GDPR. Notamment:

• Obligations liées à l’exercice des droits des personnes concernées et,
• à cet égard, l’identité et les coordonnées du représentant doivent être fournies aux personnes concernées conformément aux articles 13 et 14.
• le représentant doit faciliter la communication entre les personnes concernées et le responsable du traitement ou le sous-traitant représenté, afin que l’exercice des droits des personnes concernées soit effectif.

Question 47

Est-ce que le représentant est lui-même responsable du respect des droits des personnes concernées?

Answer 47

Non, le responsable du traitement

Question 48

Peut le responsable ou sous-responsable confier la tâche de mener un registre des activités (RGPD 30) au représentant?

Answer 48

Jein; il faut un registre chez le représentant et chez le responsable du traitement