Référentiel RGPD

Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. La notion est large : nom, n° de client, adresse IP, données de localisation, identifiant en ligne.

Données dont le traitement est interdit par principe, sauf exception : origine raciale/ethnique, opinions politiques, convictions religieuses/philosophiques, appartenance syndicale, données de santé, vie/orientation sexuelle, données génétiques et biométriques (à des fins d'identification).

Donnée traitée de façon à ne plus être attribuée à une personne sans information supplémentaire conservée séparément. La personne reste identifiable → cela reste une donnée personnelle (≠ anonymisation).

Donnée rendue irréversiblement non identifiable. Elle sort alors du champ du RGPD. Le seuil est exigeant : la réidentification ne doit pas être possible par des moyens raisonnables.

Celui qui détermine les finalités et les moyens du traitement. C'est le décideur — et le premier responsable de la conformité.

Celui qui traite des données pour le compte du responsable, sur instruction. Relation encadrée par un contrat de sous-traitance (art. 28). Un hébergeur cloud, un prestataire de paie en sont des exemples.

Deux entités ou plus qui déterminent ensemble finalités et moyens. Elles doivent définir, par accord, la répartition de leurs obligations.

La personne physique à qui se rapportent les données. C'est elle que le règlement protège, et qui exerce les droits (accès, rectification, effacement…).

Chargé d'informer, conseiller et contrôler la conformité ; point de contact de l'autorité et des personnes. Indépendant, sans conflit d'intérêts. Désignation obligatoire dans certains cas (art. 37.1).

Le destinataire est celui à qui les données sont communiquées ; le tiers est une entité distincte du RT, du ST et des personnes autorisées sous leur autorité.

Autorité publique indépendante chargée de surveiller l'application du RGPD. En Belgique : l'APD/GBA (Autorité de protection des données). Pouvoirs d'enquête et de sanction (art. 58).

Le RT doit fournir, de manière transparente, concise et accessible, les informations sur le traitement : identité du RT, finalités, base légale, destinataires, durée de conservation, droits, etc. Art. 13 = données collectées directement auprès de la personne ; art. 14 = données obtenues indirectement (auprès d'un tiers).

La personne peut obtenir confirmation que ses données sont (ou non) traitées, y accéder et en recevoir une copie, ainsi que les informations sur les finalités, catégories, destinataires, durée, origine et l'existence d'une décision automatisée.

Faire corriger sans délai des données inexactes, ou compléter des données incomplètes (déclaration complémentaire). Corollaire direct du principe d'exactitude (art. 5.1.d).

Obtenir l'effacement dans certains cas : données non nécessaires, consentement retiré, opposition exercée, traitement illicite, obligation légale. Non absolu : exceptions pour liberté d'expression, obligation légale, intérêt public, défense de droits en justice.

« Geler » le traitement (conservation seule, sans autre usage) le temps de vérifier l'exactitude contestée, en cas de traitement illicite dont l'effacement n'est pas voulu, ou pendant l'examen d'une opposition.

Le RT doit notifier à chaque destinataire toute rectification, tout effacement ou toute limitation, sauf effort disproportionné, et en informer la personne si elle le demande.

Recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable. Champ restreint : uniquement les données fournies par la personne, traitées sur la base du consentement ou d'un contrat, et par moyens automatisés.

S'opposer, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime ou la mission d'intérêt public. Opposition absolue et sans motif pour la prospection / marketing direct (art. 21.2-3).

Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques ou significatifs. Exceptions : nécessaire au contrat, autorisée par la loi, ou consentement explicite — avec garanties (intervention humaine, contestation).

Autorité publique indépendante instituée par chaque État membre pour surveiller l'application du règlement. Dispose de pouvoirs d'enquête, de pouvoirs correcteurs (avertissement, injonction, amende) et de pouvoirs consultatifs/d'autorisation (art. 58). Elle traite les réclamations et coopère avec ses homologues.

L'autorité de contrôle belge (en néerlandais Gegevensbeschermingsautoriteit), qui a succédé en 2018 à la Commission de la protection de la vie privée. Instituée par la loi du 3 décembre 2017, elle est indépendante et rattachée à la Chambre des représentants.

L'organe juridictionnel administratif de l'APD : elle instruit les dossiers, peut ordonner des mesures correctrices et prononcer des amendes administratives. C'est devant elle qu'une organisation est assignée en cas de manquement.

Le bras d'enquête de l'APD. L'inspecteur général mène les investigations (auditions, saisies, accès aux locaux et systèmes) et transmet ses constats à la Chambre contentieuse. C'est lui qui « contacte le DPO pour un rendez-vous urgent ».

Dans un traitement transfrontalier, l'autorité de l'établissement principal du responsable joue le rôle d'interlocuteur unique (« guichet unique »), en coopération avec les autorités concernées. Mécanisme de cohérence évitant des décisions divergentes.

Organe de l'UE doté de la personnalité juridique, regroupant le chef de chaque autorité de contrôle nationale et le Contrôleur européen. Il garantit l'application cohérente du RGPD : lignes directrices, avis, et décisions contraignantes en cas de litige entre autorités (mécanisme de l'art. 65).

Autorité indépendante qui contrôle le traitement de données par les institutions et organes de l'Union européenne eux-mêmes. Régi par un règlement propre (2018/1725), il siège aussi à l'EDPB.

Hors mécanisme de contrôle, elle joue un rôle clé sur les transferts internationaux : elle adopte les décisions d'adéquation (art. 45) reconnaissant un niveau de protection suffisant dans un pays tiers, et les clauses contractuelles types (CCT/SCC).

Celui qui détermine, seul ou conjointement, les finalités et les moyens du traitement. Il est le premier responsable de la conformité (art. 24) et doit pouvoir la démontrer (accountability). Sa qualification résulte de la réalité factuelle, pas d'une simple désignation contractuelle.

Deux responsables ou plus qui déterminent ensemble finalités et moyens. Ils définissent par accord transparent la répartition de leurs obligations (notamment l'exercice des droits et l'information). La personne peut exercer ses droits auprès de chacun d'eux.

Traite des données pour le compte du RT, uniquement sur instructions documentées. S'il détermine lui-même les finalités, il devient responsable pour ces traitements (art. 28.10). Obligations propres : sécurité (32), registre (30.2), notification des violations au RT (33.2), assistance au RT.

Acte juridique obligatoire et écrit encadrant la relation RT–ST. Mentions imposées : objet, durée, nature et finalité, type de données, obligations du RT, et engagements du ST (agir sur instruction, confidentialité, sécurité, sous-traitance ultérieure encadrée, assistance, sort des données en fin de contrat, audits).

Le ST ne peut recruter un autre sous-traitant qu'avec l'autorisation (spécifique ou générale) du RT, et doit lui imposer les mêmes obligations contractuelles. Le ST reste pleinement responsable envers le RT du respect par le sous-traitant ultérieur.

L'analyse est factuelle et fonctionnelle : peu importe l'intitulé du contrat. Questions clés : qui décide « pourquoi » et « comment » ? Un prestataire qui n'a aucune marge sur les finalités est ST ; dès qu'il poursuit ses propres finalités, il (co-)devient responsable. Lignes directrices EDPB 07/2020.

La Commission européenne constate qu'un pays tiers (ou un secteur) offre un niveau de protection essentiellement équivalent à celui de l'UE. Le transfert s'effectue alors sans autorisation spécifique. Exemples : Royaume-Uni, Suisse, Japon, Corée du Sud, et le EU-US Data Privacy Framework (entreprises certifiées).

À défaut d'adéquation : clauses contractuelles types (CCT/SCC) adoptées par la Commission, règles d'entreprise contraignantes (BCR), codes de conduite ou mécanismes de certification approuvés, assortis d'engagements contraignants et exécutoires. Pas d'autorisation préalable pour les CCT/BCR.

Politiques internes juridiquement contraignantes applicables au sein d'un groupe d'entreprises pour encadrer les transferts intra-groupe. Approuvées par l'autorité de contrôle compétente via le mécanisme de cohérence (avis de l'EDPB).

La CJUE a invalidé le Privacy Shield et confirmé la validité des CCT sous condition : le responsable doit vérifier, au cas par cas, que le pays de destination offre une protection équivalente, et adopter des mesures supplémentaires si nécessaire.

Évaluation au cas par cas du droit et des pratiques du pays destinataire (accès des autorités, voies de recours), pour déterminer si les garanties (ex. CCT) sont effectives ou s'il faut des mesures supplémentaires (chiffrement, pseudonymisation, garanties contractuelles renforcées). Méthodologie des recommandations EDPB 01/2020.

En l'absence d'adéquation et de garanties, le transfert reste possible dans des cas limités et non répétitifs : consentement explicite et éclairé sur les risques, exécution d'un contrat, motifs d'intérêt public important, constatation/exercice/défense de droits en justice, intérêts vitaux. À interpréter strictement (caractère exceptionnel).

Socle du lien avec les normes : le RT et le ST mettent en œuvre des mesures techniques et organisationnelles appropriées (pseudonymisation, chiffrement, confidentialité-intégrité-disponibilité-résilience, restauration, tests réguliers). Le RGPD ne nomme aucun standard : les normes ISO viennent combler ce « comment ».

Norme certifiable définissant un système de management de la sécurité de l'information (SMSI) fondé sur l'analyse de risque et l'amélioration continue (PDCA). Une certification ISO 27001 est un élément de preuve fort de l'art. 32, mais ne vaut pas conformité RGPD : son périmètre est la sécurité de l'information, pas les droits des personnes.

27002 = catalogue de mesures de sécurité (bonnes pratiques, non certifiable seule) ; 27005 = méthode de gestion du risque de sécurité de l'information. Toutes deux nourrissent le volet « mesures » d'une analyse de risque ou d'une AIPD, sans en couvrir la dimension « droits des personnes ».

Extension de l'ISO 27001/27002 dédiée à la protection de la vie privée (Privacy Information Management System). C'est la norme la plus alignée sur le RGPD : elle introduit les rôles RT/ST et propose un mapping vers les articles du règlement. Utile pour structurer et démontrer la conformité, sans la garantir juridiquement.

Cadre européen de cybersécurité imposant aux entités « essentielles » et « importantes » des mesures de gestion des risques et une notification des incidents significatifs. En Belgique, transposée par la loi du 26 avril 2024 (en vigueur le 18 octobre 2024), avec le CCB (Centre pour la Cybersécurité Belgique) comme autorité nationale.

Deux régimes distincts et cumulables. NIS2 vise la résilience des systèmes (autorité : CCB) ; le RGPD vise la protection des personnes (autorité : APD). Un même incident peut déclencher les deux obligations : notification d'incident au CCB (NIS2) et notification de violation à l'APD sous 72 h (art. 33) si des données personnelles sont touchées.

Spécificité de NIS2 : les organes de direction doivent approuver et superviser les mesures de cybersécurité, suivre une formation, et peuvent voir leur responsabilité personnelle engagée. Une logique de gouvernance qui renforce, en pratique, la culture de sécurité utile aussi au RGPD.

Tout traitement doit reposer sur au moins une des six bases : (a) consentement ; (b) exécution d'un contrat ; (c) obligation légale ; (d) sauvegarde des intérêts vitaux ; (e) mission d'intérêt public ; (f) intérêt légitime.

Base mobilisable si l'intérêt du responsable (ou d'un tiers) ne porte pas atteinte aux droits et libertés de la personne. Exige un test de mise en balance en trois temps (LIA) : (1) finalité légitime ; (2) nécessité ; (3) balance des intérêts vs. attentes raisonnables de la personne.

Manifestation de volonté libre, spécifique, éclairée et univoque par un acte positif clair. Pas de cases pré-cochées, pas de consentement « groupé ». Le responsable doit pouvoir prouver le consentement (art. 7.1) et le retrait doit être aussi simple que le recueil (art. 7.3).

Libre : pas de déséquilibre ni de conditionnement abusif d'un service au consentement. Spécifique : par finalité. Éclairé : identité du responsable et finalités connues. Univoque : action affirmative.

La directive « vie privée et communications électroniques » impose le consentement préalable avant tout dépôt ou lecture de traceur non strictement nécessaire (cookies publicitaires, pixels, fingerprinting). Elle s'applique en complément du RGPD (lex specialis) : ePrivacy pour le dépôt du traceur, RGPD pour le traitement des données qui en résulte.

Proposé en 2017 pour remplacer la directive de 2002 et s'aligner sur le RGPD, le règlement ePrivacy a été retiré par la Commission européenne via son programme de travail 2025 (motif : « aucun accord prévisible » entre colégislateurs, et texte devenu obsolète). C'est donc la directive ePrivacy de 2002 (transposée nationalement) qui reste pleinement applicable.

Profilage (art. 4.4) : traitement automatisé évaluant des aspects personnels (préférences, comportement, localisation). L'art. 22 interdit en principe une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs, sauf consentement explicite, contrat ou loi — avec garanties (intervention humaine, contestation).

Mécanisme volontaire attestant la conformité d'un traitement. Délivrée par un organisme agréé ou l'autorité de contrôle, valable 3 ans renouvelables. Élément de preuve d'accountability (art. 24.3), au même titre que l'adhésion à un code de conduite (art. 40-41).