En raison de l’intérêt fort manifesté par le public à l’égard de l’Instruction de mise en œuvre pratique de l’activité de contrôle de la Commission de protection des données personnelles, la Commission informe les responsables du traitement et les sous-traitants que son texte est publié ici.
L’instruction est un document interne, adopté conformément à l’art. 12, alinéa 10 de la Loi sur la protection des données personnelles, par décision de la CPDP du 29 mai 2020 (Procès-verbal no. 23/2020), amendée par décision du 24 juin 2021 (Procès-verbal no. 27/2021). Fixant la méthodologie de conduite des différents types d’inspections (sectorielles, conjointes avec d’autres autorités de contrôle, consultations préalables, etc.), l’instruction vise à créer des règles uniformes et une approche unique de mise en œuvre de l’activité de contrôle de la CPDP et de son administration.
En annexe à l’Instruction, la Commission a adopté une Méthodologie de détermination du niveau de risque en cas de violations des données personnelles et un Questionnaire pour la réalisation d’inspections dans le cadre de la mise en œuvre de l’activité de contrôle de la CPDP. La méthodologie est un outil important dans l’activité de l’autorité de contrôle, lors de l’examen des notifications de violations des données personnelles, soumises conformément à l’art. 33 du Règlement (UE) 2016/679, respectivement de l’art. 67 de la Loi sur la protection des données personnelles. En fonction de l’appréciation du niveau du risque, la Commission décide du suivi à donner et de la communication avec le responsable du traitement concerné par la violation (voir Chapitre quatre, Section VII des Règles régissant l’activité de la CPDP et de son administration).
L’objectif du Questionnaire pour la réalisation d’inspections dans le cadre de la mise en œuvre de l’activité de contrôle de la CPDP est de collecter des informations préalables susceptibles d’éclairer le contexte du traitement des données à caractère personnel et de faciliter l’établissement des faits pertinents au regard de l’objet de l’inspection spécifique. Le questionnaire est envoyé avant l’inspection à chaque responsable du traitement visé par le contrôle.
Avec la publication de l’instruction et de ses annexes, la Commission vise à sensibiliser le public aux questions liées à l’exercice de ses compétences de contrôle, et à encourager l’application cohérente du Règlement (UE) 2016/679 et de la Loi sur la protection des données personnelles. Toutefois, la Commission attire l’attention sur le fait que ces documents ont une portée entièrement interne et ne créent pas de droits ni d’obligations pour les responsables du traitement, les sous-traitants ou les personnes concernées. La (non) connaissance du contenu des documents publiés et/ou leur (non) application dans l’activité d’un responsable du traitement/sous-traitant sont dépourvues de pertinence pour les constatations de l’autorité de contrôle, concernant la présence ou l’absence de conformité aux exigences en matière de protection des données personnelles, et ne peuvent être considérées comme une circonstance atténuante ou aggravante dans un cas spécifique.
Lors de l’élaboration des documents, la Commission a pris en compte l’expérience nationale et étrangère accumulée dans le domaine de l’activité de contrôle, les lignes directrices du Comité européen de la protection des données, le cadre juridique régissant la protection des données personnelles et les exigences minimales de sécurité réseau et informatique. L’Instruction de mise en œuvre pratique de l’activité de contrôle de la Commission de protection des données personnelles et ses annexes font l’objet d’une mise à jour périodique visant à refléter les bonnes pratiques accumulées à l’échelle nationale et européenne et à répondre à la dynamique des relations sociales visées par le contrôle.
