Lex.be - Legal info
Create account Sign in

Commission pour la Protection de la Vie Privée: Avis (Belgique). RG 98/2019

|
Date :
03-04-2019
Language :
French
Size :
1 page
Section :
Case law
Source :
Justel F-20190403-21
Role number :
98/2019

Summary :

L'Autorité requiert que le demandeur tienne compte dans l'avant-projet de décret relatif aux traitements de données à caractère personnel réalisés par l'entreprise publique des technologies numériques de l'information et de la communication de la communauté française (ETNIC) ou confiés par ses bénéficiaires des remarques suivantes : - Les dispositions du RGPD ne peuvent pas être reprises dans la législation nationale ; - Points 6, 7, 13, 15, 17, 21 - Une clarification et le cas échéant une reformulation des points soulevés est nécessaire ; - Points 8, 9, 12, 16 - L'article 28(3) du RGPD impose que toutes les mentions obligatoires figurent dans le contrat ou l'acte juridique lui-même et non pas dans des annexes à celui-ci ; - Point 11 - L'avant-projet de décret ne peut prévoir un régime de responsabilité différent de celui prévu par le RGPD en exonérant le sous-traitant de sa responsabilité si le sous-traitant exécute une instruction illicite du responsable de traitement ; - Point 14 - Conformément au prescrit de l'article 28(3)(a) du RGPD, la décision de transférer des données en dehors de l'Espace économique européen y compris par le biais d'un soussous-traitant est une prérogative qui relève uniquement du responsable de traitement et le sous-traitant ne peut s'arroger le droit de transférer des données en dehors de l'EEE comme le prévoit l'article 20 de l'avant-projet de décret ; - Point 18 - Ces dispositions sont trop limitatives car les mesures d'audit qui peuvent être requises par le responsable de traitement ne se limitent pas aux mesures de sécurité et ne peuvent pas être circonscrites aux cas de violation de données ou « soupçon de cet ordre » par rapport au prescrit de l'article 28(3)(h) du RGPD ; - Point 19 - Le législateur ne peut priver le responsable de traitement de son droit conformément à l'article 28.2 du RGPD de choisir si son sous-traitant peut ou non sous-traiter le traitement de données dont il est responsable à un autre sous-traitant - Point 20 - Ces dispositions sont trop limitatives par rapport au prescrit de l'article 28.2 RGPD qui ne prévoit pas d'obligation de motivation au refus de sous-traitance consécutive dans le chef du responsable de traitement ni un système de consentement tacite à la sous-traitance consécutive en l'absence de réponse du bénéficiaire.

Avis :

The full and consolidated version of this text is not available.