publié le 22 mars 2019
Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Gé Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »(...)
COMMISSION DE LA PROTECTION DE LA VIE PRIVEE
Décision du Secrétariat Général n° 1/2019 du 16 janvier 2019 Objet : Adoption de la liste des catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Général sur la Protection des données (CO-A-2018-001) Le Secrétariat Général de l'Autorité de protection des données (ci-après « le Secrétariat Général »);
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en particulier ses articles 35.1, 35.4 et 64 (ci-après « RGPD »);
Vu la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 03/12/2017 pub. 10/01/2018 numac 2017031916 source service public federal justice Loi portant création de l'Autorité de protection des données fermer relative à la loi portant création de l'Autorité de protection des données, en particulier l'article 20, § 1er, 2° (ci-après « LCA »); Vu la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, en particulier ses articles 58 et 59 (ci-après « LTD »);
Vu le Règlement d'ordre intérieur de l'Autorité de Protection des données, en particulier son article 10 (ci-après « ROI ») ;
Vu l'avis 2/2018 du 25 septembre 2018 du Comité Européen de la Protection des données relatif au projet de liste de l'Autorité de Protection des données belge concernant les catégories de traitement devant faire l'objet d'une analyse d'impact relative à la protection des données conformément à l'article 35.4 du Règlement Général sur la Protection des données (ci-après « l'avis » et « le Comité »);
Vu les lignes directrices concernant l'analyse d'impact relative à la protection des données du 4 octobre 2017 du Groupe de protection des données Article 29, (ci-après : "Lignes directrices AIPD" et « Groupe 29 ») ;
Vu la Recommandation d'initiative 01/2018 du 28 février 2018 concernant l'analyse d'impact relative à la protection des données et la consultation préalable ;
Vu le rapport de Debeuckelaere Willem;
Emet, le 16 janvier 2019, la décision suivante : 1. Conformément à l'article 35.4 du RGPD, chaque Autorité nationale de Protection des données est tenue d'établir et de publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise. Avant la publication de cette liste, l'Autorité est tenue de communiquer cette liste au Comité afin qu'il puisse rendre un avis. 2. Dans l'attente de la mise en place de l'Autorité, la Commission de la Protection de la Vie Privée a souhaité adopter une Recommandation relative aux AIPD.Elle a pour ce faire procédé en amont à une consultation publique en soumettant un premier projet de recommandation qu'elle a remanié en tenant compte des retours obtenus ainsi que de l'article 35 et des Lignes Directrices du Groupe 29.
C'est ainsi qu'elle a pu adopter sa recommandation 01/2018 en date du 28 février 2018 à laquelle était notamment annexé un projet de liste des opérations de traitements impliquant obligatoirement la réalisation d'une AIPD. 3. L'Autorité a ensuite ratifié ce projet afin de le soumettre à l'avis du Comité conformément à la procédure de l'article 64 du RGPD.4. En date du 25 septembre 2018, le Comité a rendu un avis impliquant des modifications au projet de liste adoptée par la Commission et ensuite ratifié par l'Autorité.5. Le Secrétariat général, chargé d'adopter la liste relative aux AIPD conformément à l'article 20, § 1er, 2° de la LCA, a ainsi tenu compte des remarques et observations faites par le Comité dans son avis ainsi que des critères retenus par le Groupe 29 dans ses Lignes Directrices et a soumis un projet de liste adapté au Comité.6. Après validation du projet par ce dernier, et consultation du Comité de Direction de l'Autorité, le Secrétariat général adopte par la présente décision la liste suivante : 1) lorsque le traitement utilise des données biométriques(1) en vue de l'identification unique des personnes concernées se trouvant dans un lieu public ou dans un lieu privé accessible au public ;2) lorsque des données à caractère personnel sont collectées auprès de tiers afin d'être prises ensuite en considération dans le cadre de la décision de refuser ou de cesser un contrat de service déterminé avec une personne physique ;3) lorsque des données de santé d'une personne concernée sont collectées par voie automatisée à l'aide d'un dispositif médical implantable actif(2) ;4) lorsque des données sont collectées à grande échelle auprès de tiers afin d'analyser ou de prédire la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;5) lorsque des catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD(3) ou des données de nature très personnelle (comme des données sur la pauvreté, le chômage, l'implication de l'aide à la jeunesse ou le travail social, des données sur les activités domestiques et privées, des données de localisation) sont échangées systématiquement entre plusieurs responsables du traitement ; 6) lorsqu'il est question d'un traitement à grande échelle de données générées au moyen d'appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de "l'Internet des objets", comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d'énergie intelligents, etc.) et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ; 7) lorsqu'il est question d'un traitement à grande échelle et/ou systématique de données de téléphonie, d'Internet ou d'autres données de communication, de métadonnées ou de données de localisation de personnes physiques ou permettant de mener à des personnes physiques (par exemple le wifi-tracking ou le traitement de données de localisation de voyageurs dans les transports publics) lorsque le traitement n'est pas strictement nécessaire pour un service demandé par la personne concernée ;8) lorsqu'il est question de traitements de données à caractère personnel à grande échelle où le comportement(4) de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé.7. Cette liste est annexée à la Recommandation 01/2018 et vient remplacer le projet de liste qui y était anciennement annexée.8. Le responsable du traitement qui envisage un des types de traitements précités est obligé de réaliser une AIPD avant de procéder au traitement à compter de l'entrée en vigueur de cette décision.9. Le Secrétariat général attire l'attention des responsables de traitement sur le fait qu'un type d'opération de traitement ne se retrouve pas parmi la liste ci-dessus n'exclut qu'une AIPD doive être réalisée.Il s'agit d'être attentif aux articles 35.1 et 35.3. 10. Le Secrétariat Général attire encore l'attention sur le fait que cette liste est évolutive et peut être adaptée s'il s'avère qu'elles n'atteignent pas leur objectif.L'article 10 du ROI prévoit en effet que « cette liste est actualisée tous les six mois, en fonction notamment de l'évolution des nouvelles technologies ». 11. La présente décision sera publiée sur le site de l'APD et entrera en vigueur le 1er avril 2019. Le Directeur du Secrétariat Général, An Machtens, Administrateur f.f.
Willem Debeuckelaere, Président _______ Notes (1) L'article 4(14) du RGPD définit les "données biométriques" comme étant les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.(2) Il s'agit de tout dispositif médical actif qui est conçu pour être implanté en totalité ou en partie dans le corps humain ou, dans un orifice naturel et qui est destiné à rester après l'intervention.(3) Les catégories spéciales de données incluent en particulier, conformément à l'article 9 du RGPD, les donnée à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuse ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle d'une personne physique. (4) Par exemple le comportement de visionnage, d'écoute, de navigation, de clic, physique ou d'achat.