Comment le Bureau de la protection des données traite-t-il les rapports de traitements non-conformes?

Les rapports de traitement non-conformes sont suivis par le Bureau de la protection des données (ODP) de la manière suivante :

  1. Établissement des faits
    Tout d'abord, l'ODP établit les faits relatifs au traitement des données personnelles concernées. Cela se fait généralement en collaboration avec les services concernés, pour savoir ce qui a été fait par qui, quand et pourquoi. Mais l'étude des documentations, règlements, etc. applicables fait également partie de l'établissement des faits.

  2. Contrôle de conformité
    Ensuite, l'ODP évalue si le traitement était/est conforme à la Circulaire opérationnelle n°. 11 (CO 11). L'ODP vérifie si les principes essentiels du traitement sont respectés, si une base légale existe, si les droits des personnes concernées sont respectés, etc.

  3. Recommandations
    En outre, le cas échéant, l'ODP tente d'identifier les moyens de mettre le traitement en conformité et recommande aux services concernés des mesures spécifiques pour y parvenir. Il peut s'agir par exemple de : "Veuillez publier un avis de confidentialité", ou "Supprimez les données qui ne sont plus nécessaires", ou "Réalisez une Analyse d'impact relative à la protection des données pour étuder les risques et identifier les mesures d'atténuation appropriées."

  4. Suivi
    Enfin, en tant qu'"étape supplémentaire" non définie dans la CO 11, l'ODP donne aux services concernés la possibilité de réagir aux recommandations, par exemple en s'engageant à les mettre en œuvre dans un certain délai.

    La raison pour laquelle l'ODP a ajouté cette étape supplémentaire est que la CO 11 ne prévoit pas de suivi des recommandations, tout en accordant aux personnes concernées le droit de déposer une plainte en cas de mécontentement, à condition que leurs propres données personnelles soient concernées par le traitement non-conforme.

    Ainsi, les personnes concernées disposent de suffisamment d'éléments leur permettant de décider si elles souhaitent déposer une plainte officielle auprès de la Commission de protection des données.

  5. Documentation
    Les étapes ci-dessus sont documentées dans un rapport d'évaluation qui est partagé avec le plaignant et les services concernés. Une copie est également envoyée à la Commission de protection des données pour information.

En principe, l'ODP traite les rapports de manière confidentielle en ne divulguant pas l'identité du plaignant aux services concernés. Toutefois, cela n'est pas toujours possible, en particulier lorsque les données personnelles du plaignant sont concernées.

La CO 11 ne définit pas de délai pour le traitement des rapports de traitement non-conforme. L'ODP essaie de faire de son mieux pour enquêter, évaluer et recommander rapidement. Malheureusement, l'ODP est souvent confronté à une charge de travail importante, ce qui génère certains retards.