Notification des traitements de données à risque

Une consultation préalable est-elle requise ?

La LPD prévoit en son article 58 que le responsable du traitement (en l’occurrence la police) doit effectuer une DPIA préalablement au traitement lorsqu'un traitement projeté « est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques », et détermine également le contenu de cette analyse. La DPIA doit être transmise au COC.

L’article 59 de la LPD prévoit ensuite sous certaines conditions une obligation de consultation préalable du COC pour le responsable du traitement ou le sous-traitant. Le COC peut alors rendre un avis non contraignant sur le traitement projeté dans un délai de 6 semaines (pouvant éventuellement être prolongé d’un mois) s’il est d’avis que les risques en termes de protection des données n’ont pas été suffisamment reconnus ou limités.

Si votre DPIA implique l'utilisation de caméras, il est recommandé de prendre en compte les avis que l'Organe de contrôle a émis dans le passé sur ces sujets, qui peuvent d'ailleurs être consultés sur ce site web. Par exemple, on peut se référer à :

- l'avis d'initiative du COC CON19008 du 08.05.2020 suite aux constatations dans le cadre d'une enquête sur l'utilisation de bodycams ;

- l'avis d'initiative du COC BD200007 du 17.08.2020 concernant l’introduction, par la police intégrée, de la surveillance par caméra à des fins de contrôle du respect des conditions de travail.

Des obligations similaires (voir les articles 35 et 36 du RGPD) s’appliquent pour les traitements non opérationnels de la police qui relèvent du RGPD. Le COC peut également établir une liste du type de traitements ne nécessitant pas de DPIA.

Vous pouvez nous transmettre votre DPIA par e-mail à l’adresse info(at)organedecontrole.be.

Vous pouvez joindre des annexes à la DPIA (maximum 20 MB pour l’ensemble constitué par les annexes et la DPIA). Ces annexes peuvent être établies dans une des trois langues nationales ou en anglais.