RGPD

• Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données)
• Proposition de règlement établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679
• Loi du 3 décembre 2017 portant création de l’Autorité de protection des données
  • Arrêté du 13 juin 2018 de la Directrice Générale Recrutement et Développement du SPF Stratégie et Appui fixant le règlement d’ordre relatif aux tests linguistiques organisés conformément à la loi portant création de l’Autorité de protection des données du 3 décembre 2017
  • Règlement d’ordre intérieur de l’Autorité de protection des données approuvé le 25 avril 2024 par son Comité de direction
  • Politique de l’Autorité de protection des données du 23 décembre 2020 en matière de publication des décisions de la Chambre contentieuse
  • Politique de l’Autorité de protection des données du 23 décembre 2020 en matière d’astreinte
  • Politique de l’Autorité de protection des données du 7 janvier 2021 relative à la politique linguistique de la Chambre Contentieuse

La Cour constitutionnelle par son arrêt du 28 novembre 2024 a jugé que l’article 57 de la loi du 3 décembre 2017 « portant création de l’Autorité de protection des données » viole l’article 30 de la Constitution.

Il appartient dès lors au législateur de remédier à l’inconstitutionnalité constatée. Afin de garantir le traitement des procédures devant le service d’inspection et la Chambre contentieuse, la Cour a jugé qu’il convient, dans l’attente d’une intervention du législateur, d’appliquer par analogie les lois sur l’emploi des langues en matière administrative à ces procédures.

• • Politique de l’Autorité de protection des données du 15 février 2021 relative à la position du plaignant dans la procédure au sein de la Chambre Contentieuse
  • Politique de l’Autorité de protection des données du 18 juin 2021 de classement sans suite de la Chambre Contentieuse
  • Charte du Service d’Inspection de l’Autorité de protection des données (juin 2024)
  • Politique de transaction de la Chambre Contentieuse de l’APD
  • La pratique d’avis du Service d’Autorisation et d’Avis de l’APD
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
  • Règlement d’ordre intérieur de l’organe de contrôle de l’information policière
  • Arrêté royal du 11 mars 2019 relatif aux modalités d”interrogation directe de la Banque de Données nationale générale visée à l’article 44/7 de la loi sur la fonction de police au profit du Service public fédéral justice dans le but de contribuer à l’identification unique des détenus
  • Recommandation n° 02/2020 du 31 janvier 2020 de l’Autorité de protection des données – La portée de l’obligation de conclure un protocole afin de formaliser les communications de données à caractère personnel en provenance du secteur public fédéral
• Loi du 5 septembre 2018 instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du RGPD
  • Arrêté royal du 12 novembre 2018 portant approbation du règlement d’ordre intérieur du comité de sécurité de l’information
• Protocole de coopération du 26 novembre 2020 entre DNS Belgium asbl et l’Autorité de protection des données [sur la façon de rendre indisponibles les noms de domaine “.be” qui enfreignent le RGPD]

• Règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données
• Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
  • Lignes directrices de la Commission européenne relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne

• Le lexique de l’Autorité de protection des données
• Le lexique français-anglais de la Commission Nationale de l’Informatique et des Libertés

• le Dataviz de la Commission Nationale de l’Informatique et des Libertés
• la cartographie d’exploration des outils et pratiques de protection de la vie privée de la Commission Nationale de l’Informatique et des Libertés
• l’infographie publiée par le CLUSIF

Des clauses contractuelles types entre les responsables du traitement et les sous-traitants ont été adoptées le 4 juin 2021 par la Commission, en application de l’article 28, paragraphe 7, du règlement (UE) 2016/679 :

• Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725
• Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)

Devez-vous tenir un registre ? Décidez à l’aide de la recommandation relative au registre des activités de traitements de l’Autorité de protection des données, mais également de la prise de position du Comité européen à la protection des données et utilisez :

• le modèle détaillé de l’Autorité de protection des données
• le modèle simplifié de l’Autorité de protection des données pour les responsables du traitement et les sous-traitants
• le modèle de la Commission Nationale de l’Informatique et des Libertés

Vous êtes confronté à un problème en matière de protection des données et vous souhaitez que l’Autorité intervienne ?

Vous pouvez demander une médiation : https://www.autoriteprotectiondonnees.be/citoyen/agir/demander-une-mediation

Le Service de Première Ligne essayera de parvenir à un accord entre les parties. Si aucun accord n’est trouvé, la requête sera convertie en plainte après votre accord.

Vous pouvez évidemment introduire une plainte immédiatement :

• https://www.autoriteprotectiondonnees.be/citoyen/agir/introduire-une-plainte
• Template Complaint form and Template Acknowledgement of receipt

En cas de violation de données à caractère personnel, consultez les lignes directrices du Comité européen à la protection des données

• Lignes directrices 9/2022 sur la notification de violations de
  données à caractère personnel en vertu du RGPD

• Lignes directrices 01/2021 sur des exemples concernant la notification de violations de données à caractère personnel

et utilisez :

• le formulaire de notification de l’Autorité de protection des données

→ Nous sommes à votre disposition 24 x 7 pour vous accompagner dans la gestion d’une violation de données ? Consultez-nous !

Devez-vous effectuer une AIPD ? Décidez à l’aide du guide de l’Autorité de protection des données,

de sa recommandation d’initiative concernant l’analyse d’impact relative à la protection des données et la consultation préalable,

de sa décision n ° 01/2019 du 16 janvier 2019 adoptant la liste des traitements pour lesquels une analyse d’impact sur la protection des données doit être effectuée conformément à l’article 35.4 du RGPD

et de l’ Avis 2/2018 du Comité européen à la protection des données sur le projet de liste établi par l’autorité de contrôle compétente de la Belgique concernant les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (article 35, paragraphe 4, du RGPD)

et de ses lignes directrices et utilisez :

• le logiciel de la Commission Nationale de l’Informatique et des Libertés

S’il échet, demandez à l’Autorité de protection des données une consultation préalable sur les traitements de données à haut risque résiduel

Devez-vous désigner un Délégué à la Protection des Données ? Décidez à l’aide de la recommandation relative au cumul de la fonction de DPD avec d’autres fonctions de l’Autorité de protection des données et des lignes directrices du Comité européen à la protection des données. Consultez également les éléments essentiels minimums qu’une formation DPD doit contenir pour l’Autorité de protection des données et utilisez :

• le formulaire de communication des coordonnées du DPD de l’Autorité de protection des données
• Check-list du DPD de l’Autorité de protection des données
• Modèles de demande d’avis pour le DPD de l’Autorité de protection des données :
  Version simplifiée
  Version détaillée

et le rapport sur la désignation et la fonction des délégués à la protection des données

→ Vous cherchez un DPD externe ? Consultez-nous !

Notons que le RGPD est entré en vigueur en Islande, Norvège et Liechtenstein le 20 juillet 2018.

La Commission européenne a reconnu les pays suivants comme assurant une protection adéquate : Andorre, Argentine, Canada (organisations commerciales), Corée du Sud, Etats-unis (Data Privacy Framework), Iles Féroé, Guernsey, Israël, Ile de Man, Jersey, Japon, Nouvelle-Zélande, Royaume-Uni, Suisse et Uruguay.

Des clauses contractuelles types pour le transfert de données vers les autres pays tiers ont été adoptées le 4 juin 2021 par la Commission, en application de l’article 46, paragraphe 1, du règlement (UE) 2016/679 :

• Décision d’exécution de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679
• Questions and Answers for the two sets of Standard Contractual Clauses

Pour donner suite à l’arrêt SCHREMS II de la CJUE , le CEPD a adopté des recommandations sur des mesures qui complètent les outils de transfert pour assurer le respect du niveau de protection des données à caractère personnel de l’UE, ainsi que des recommandations sur les garanties essentielles européennes pour les mesures de surveillance :

• Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
  
• Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance

  • Legal study on Government access to data in third countries (China, India and Russia)

  • Statement 02/2022 on personal data transfers to the Russian Federation

• Lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD

Au sujet des Codes de conduite :

• Lignes directrices 04/2021 sur les codes de conduite en tant qu’outils pour les transferts

Au sujet des Certifications :

• Lignes directrices 07/2022 sur la certification en tant qu’outil au
  service des transferts

Au sujet des BCR :

• EDPB Document Setting Forth a Co-Operation procedure for the approval of Binding Corporate Rules for controllers and processors
• Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)

→ Vous êtes un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union et cherchez un représentant ? Consultez-nous !

Recommandation n° 01/2020 du 17 janvier 2020 de l’Autorité de protection des données relative aux traitements de données à caractère personnel à des fins de marketing direct

Recommandation n° 03/2020 du 11 décembre 2020 de l’Autorité de protection des données relative aux techniques de nettoyage de données et de destruction de supports de données

Déclaration 2/2019 de l’EDPS sur l’utilisation des données à caractère personnel dans le cadre de campagnes politiques

Déclaration 2/2019 de l’EDPB sur l’utilisation des données à caractère
personnel dans le cadre de campagnes politiques

Note de l’autorité de protection des données sur le traitement des données à des fins d’envois personnalisés de propagande électorale et respect de la vie privée des citoyens : principes fondamentaux

Recommandations d’initiative de l’autorité de protection des données en matière d’élections

Recommandation n° 01/2021 de l’Autorité de protection des données sur le traitement des données biométriques

• • Lignes directrices relatives au droit à la portabilité des données (wp242rev.01)
  • Lignes directrices concernant les délégués à la protection des données (DPD) (wp243rev.01)
  • Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679 (wp248rev.01)
    • Avis 2/2018 sur le projet de liste établi par l’autorité de contrôle compétente de la Belgique concernant les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise (article 35, paragraphe 4, du RGPD)
  • Avis 2/2017 sur le traitement des données sur le lieu de travail (wp249)
  • Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement 2016/679 (wp251rev.01)
  • Lignes directrices sur l’application et la fixation des amendes administratives aux fins du règlement 2016/679 (wp253)
  • Document de travail établissant les critères de référence pour l’adéquation (wp254rev.01)
  • Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (wp257rev.01)
  • Lignes directrices sur la transparence au sens du règlement 2016/679 (wp260rev.01)
  • EDPB Document Setting Forth a Co-Operation procedure for the approval of Binding Corporate Rules for controllers and processors
  • Recommendation on the approval of the Processor Binding Corporate Rules form (wp265)
  • Position Paper related to article 30(5)
  • Lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement 2016/679
    • Document du CEPD relatif à la procédure d’approbation des critères de certification par le CEPD aboutissant à une certification commune, le label européen de protection des données
    • [Draft] Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
  • Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement 2016/679
  • Lignes directrices 3/2018 relatives au champ d’application territorial du règlement 2016/679 (article 3)
  • Lignes directrices 4/2018 relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement 2016/679
  • Avis 3/2019 concernant les questions et réponses sur l’interaction entre le règlement relatif aux essais cliniques et le règlement 2016/679 [article 70 (1) (b)]
    
  • Lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement 2016/679
    • Opinion 2/2020 on the Belgium data protection supervisory authority draft accreditation requirements for a code of conduct monitoring body pursuant to article 41 GDPR
      • Code de conduite de la Chambre nationale des notaires du 28 janvier 2021 précisant certaines modalités d’application du Règlement général sur la protection des données (UE) 2016/679 (RGPD) pour les notaires, établi par la Chambre nationale des notaires
    • Document du CEPD relatif à la procédure d’élaboration des séances informelles consacrées aux codes de conduite
      • Décision d’approbation 05/2021 de l’Autorité de protection des données du Eu Cloud CoC
      • Décision d’accréditation 06/2021 de l’Autorité de protection des données de Scope Europe
  • Lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, § 1er, b), du règlement 2016/679 dans le cadre de la fourniture de services en ligne aux personnes concernées
  • Lignes directrices 3/2019 sur le traitement des données à caractère personnel par des dispositifs vidéos
  • Lignes directrices 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut
  • Lignes directrices 5/2019 sur les critères du droit à l’oubli au titre du RGPD dans le cas des moteurs de recherche (partie 1)
  • Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité
  • Lignes directrices 2/2020 relatives à l’article 46, paragraphe 2, point a), et paragraphe 3, point b), du règlement (UE) 2016/679 pour les transferts de données à caractère personnel entre les autorités et organismes publics établis dans l’EEE et ceux établis hors de l’EEE
    • Déclaration 04/2021 sur les accords internationaux, y compris les transferts
  • Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19
  • Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19
  • Lignes directrices 5/2020 sur le consentement au sens du règlement 2016/679
  • Lignes directrices 6/2020 relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD
  • Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD
  • Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux
  • Lignes directrices 09/2020 relatives à l’objection pertinente et motivée au titre du règlement (UE) 2016/679
  • Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
    
  • Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance
  • Lignes directrices 10/2020 concernant les limitations au titre de l’article 23 du RGPD
  • Lignes directrices 01/2021 sur des exemples concernant la notification de violations de données à caractère personnel
  • Lignes directrices 02/2021 sur les assistants vocaux virtuels
  • Lignes directrices 03/2021 relatives à l’application de
    l’article 65, paragraphe 1, point a), du RGPD
  • Recommandations 02/2021 sur la base juridique pour le stockage des données relatives aux cartes de crédit dans le seul but de faciliter la poursuite des transactions en ligne
  • Lignes directrices 04/2021 sur les codes de conduite en tant qu’outils pour les transferts
  • Lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD
  • Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès
  • Lignes directrices 02/2022 relatives à l’application de l’article 60 du RGPD
  • Lignes directrices 03/2022 relatives aux interfaces trompeuses dans les interfaces des plateformes de médias sociaux: comment les reconnaître et les éviter ?
  • Lignes directrices 04/2022 sur le calcul des amendes administratives au titre du RGPD
  • Lignes directrices 05/2022 sur l’utilisation de la technologie
    de reconnaissance faciale dans le domaine répressif
  • Lignes directrices 06/2022 sur la mise en œuvre pratique des règlements amiables
  • Lignes directrices 07/2022 sur la certification en tant qu’outil au
    service des transferts
  • Lignes directrices 08/2022 concernant la désignation d’une
    autorité de contrôle chef de file d’un responsable du
    traitement ou d’un sous-traitant
  • Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD
  • Recommandations 1/2022 concernant la demande d’approbation et les éléments et principes des règles d’entreprise contraignantes pour les responsables du traitement (article 47 du RGPD)
  • 2022 Coordinated Enforcement Action: Use of cloud-based services by the public sector
  • Report of the work undertaken by the Cookie Banner Taskforce
  • Modèle de formulaire d’introduction d’une réclamation et Modèle d’accusé de réception
  • Guidelines 01/2023 on Article 37 Law Enforcement Directive
  • Lignes directrices 2/2023 sur le champ d’application technique de l’article 5, paragraphe 3, de la directive vie privée et communications électroniques
  • Avis 08/2024 sur la validité du consentement dans le cadre des modèles «consentir ou payer» mis en place par les grandes plateformes en ligne
  • Avis 22/2024 relatif à certaines obligations découlant du recours à un ou plusieurs sous-traitant(s) ou sous-traitant(s) ultérieur(s)
  • [Draft] Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR
  • [Draft] Guidelines 02/2024 on Article 48 GDPR
  • Avis 28/2024 relatif à certains aspects de la protection des données liés au traitement de données à caractère personnel dans le contexte des modèles d’IA
  • [Draft] Guidelines 01/2025 on Pseudonymisation
  • Position paper on Interplay between data protection and competition law
  • [Draft] Guidelines 02/2025 on processing of personal data through blockchain technologies

Vous pouvez commander notre recueil de textes à cette adresse.

⇒ Lexing commercialise différents packs en matière de protection des données que vous retrouvez ci-dessous.

Nous vous proposons également quelques vidéos :

• earlegal #11 – La cybersécurité : quels défis pour votre entreprise ?
• earlegal #11 – Techno-sécurité : données biométriques et reconnaissance faciale
• #hors-serie – RGPD : 5 ans après, quel bilan ? L’ADP de plus en plus sévère : zoom sur les amendes
• earlegal #10 – Comment se préparer à un contrôle de l’APD ?
• earlegal #10 – Cookies, comment ne pas commettre de faux pas ?
• earlegal #9 « RGPD : comment réaliser une analyse d’impact ? »
• earlegal #9 Marketing digital – vérifiez la conformité RGPD de vos campagnes
• earlegal #9 Cyberattaque – Comment se préparer et bien s’assurer ?
• earlegal #9 Archivage et destruction de documents – comment s’y prendre ?
• earlegal #9 Comment mettre en place un mécanisme d’alerte interne ?
• #hors-serie Transferts internationaux de données à caractère personnel – Actualités
• earlegal #8 Données à caractère personnel, anonymisation/pseudonymisation ?
• earlegal #8 Comment concilier RGPD, loi caméra, droit à l’image et CCT n°68 ?
• earlegal #4 – La protection des données à caractère personnel au sein des administrations publiques
• earlegal #3 – Vers un nouveau règlement sur la protection des données