Notification des traitements de données à risque

Votre analyse d'impact relative à la protection des données (« data protection impact assessment » ou DPIA) a révélé que le traitement que vous projetez induit un risque élevé ? Et vous ne parvenez pas à trouver des mesures pour limiter ce risque ? Dans ce cas, vous devez vous concerter avec le COC avant d’entamer le traitement. C’est ce que l’on appelle une consultation préalable.

Procédure

Une consultation préalable est-elle requise ?

La LPD prévoit en son article 58 que le responsable du traitement (en l’occurrence la police) doit effectuer une DPIA préalablement au traitement lorsqu'un traitement projeté « est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques », et détermine également le contenu de cette analyse. La DPIA doit être transmise au COC.

L’article 59 de la LPD prévoit ensuite sous certaines conditions une obligation de consultation préalable du COC pour le responsable du traitement ou le sous-traitant. Le COC peut alors rendre un avis non contraignant sur le traitement projeté dans un délai de 6 semaines (pouvant éventuellement être prolongé d’un mois) s’il est d’avis que les risques en termes de protection des données n’ont pas été suffisamment reconnus ou limités.

Dayne Topkin U5Zt Hoocrm Unsplash 1

Des obligations similaires (voir les articles 35 et 36 du RGPD) s’appliquent pour les traitements non opérationnels de la police qui relèvent du RGPD. Le COC peut également établir une liste du type de traitements ne nécessitant pas de DPIA.

Vous pouvez nous transmettre votre DPIA par e-mail à l’adresse info(at)organedecontrole.be.

Vous pouvez joindre des annexes à la DPIA (maximum 20 MB pour l’ensemble constitué par les annexes et la DPIA). Ces annexes peuvent être établies dans une des trois langues nationales ou en anglais.