Comment réagir à une lettre d’inspection de l’Autorité de contrôle des données ?

investigation

Comment réagir à une lettre d’inspection de l’Autorité de contrôle des données ?

Les enquêtes menées par l’Autorité de protection des données sont redoutées par de nombreuses entreprises. Cette crainte s’explique, en grande partie, par le montant potentiel des amendes administratives qui pèse sur les entreprises comme une épée de Damoclès suspendue au-dessus de leurs têtes. Au cours de ce billet, nous vous expliquerons la manière dont l’APD procède pour enquêter en vous dévoilant enfin les injonctions et les questions susceptibles d’être demandées par celle-ci.

L’Autorité et son service d’inspection 

Pour rappel, l’Autorité de protection des données (APD) est l’organe belge de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. Elle est composée d’un Comité de direction et de 5 organes. Parmi ceux-ci, le Service d’Inspection, réel organe d’enquête de l’Autorité,  qui est en charge d’examiner les plaintes relatives à la législation en matière de données à caractère personnel ainsi que les indices sérieux d’infractions à cette législation. 

La saisine du Service d’Inspection peut se faire de différentes manières:

1.     De sa propre initiative lorsqu’il constate l’existence d’indices sérieux d’une infraction

2.     A l’initiative du Comité de Direction 

·       Si ce dernier constate l’existence d’indices sérieux d’une infraction ;

·       Afin de coopérer avec une autorité de protection des données étrangère ;

·       Dans le cas où l’Autorité de protection des données est saisie par une instance judiciaire ou un organe de contrôle administratif.

3.     A l’initiative de la Chambre Contentieuse 

·       Si elle estime nécessaire une enquête à la suite d’un dépôt de plainte 

·       Si elle estime une enquête complémentaire nécessaire

De la théorie à la pratique 

L’Autorité vous indiquera toujours les raisons de sa venue et sur quelle base le Service d’Inspection a été saisi. Ensuite, elle vous ordonnera de fournir de nombreux documents et informations concernant le ou les traitements potentiellement litigieux. Parmi les questions et les injonctions qui sont régulièrement formulées par l’APD:

·       Quelles sont les finalités du ou des traitement(s) potentiellement  litigieux ?

·       Quelle est la base de licéité du ou des traitement(s) potentiellement litigieux par finalité déterminée ?

·       Quelles sont les catégories de personnes concernées par finalité déterminée ?

·       En outre, vous devrez démontrer comment et quand les personnes concernées sont informées de l’opération ;

·        Vous devrez présenter votre registre de traitement (avec sa date de mise à jour), vos analyses d’impact (avec la date de réalisation), les mesures techniques et organisationnelles mises en place en vue de garantir la sécurité des données ;

·       Vous devrez aussi présenter le rôle du délégué à la protection des données (DPO) dans le cadre du ou des traitements litigieux.

Le délai de réponse est généralement court. Toutefois, il vous sera possible de faire une demande de prolongation de délai par lettre recommandé auprès de l’Autorité si vous vous considérez les tâches à effectuer trop importantes dans le délai qui aurait été prescrit. 

De plus, il est impératif de répondre avec précision aux questions posées par l’APD. Il vous est recommandé  de confier cette tâche à la personne responsable de la conformité en matière de protection de données personnelles au sein de votre entreprise (exemple : juriste interne, le responsable de la conformité, etc.). Le délégué à la protection des données devra aussi apporter sa collaboration, mais ne pourra en aucun cas répondre à la place du responsable de traitement. Néanmoins, ce dernier pourra se faire aider d’experts ou de conseillers spécialisés dans le domaine de la protection des données.