L’Unisoc a posé la question à l’Autorité de protection des données belge qui a répondu par l’affirmative…
Suite à l’entrée en vigueur du RGPD, le Parlement fédéral a voté une nouvelle loi « vie privée » le 30 juillet 2018 qui définit pour la Belgique la notion d’« autorité publique », notion reprise dans le Règlement général sur la protection des données (RGPD).
Cette loi prévoit que pour son application, on entend notamment par « autorité publique » : « les personnes, quelles que soient leur forme et leur nature qui :
– ont été créées pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial ; et
– sont dotées de la personnalité juridique ; et
– dont soit l’activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance sont désignés par ces autorités ou organismes ; »
Interpellée par cette définition « d’autorité publique », l’Unisoc a pris contact avec l’Autorité de protection des données belge (ADP) afin de s’assurer que cette disposition n’implique pas une obligation générale de désignation d’un DPO à charge de toute asbl financée majoritairement par les pouvoirs publics. Cette interprétation de la loi et l’obligation qui en découle paraissent, par ailleurs, être en décalage avec l’intention du législateur européen.
À titre subsidiaire, l’Unisoc avait également demandé à l’APD de prévoir un moratoire sur les contrôles afin de laisser à l’Unisoc la possibilité de prendre les initiatives politiques nécessaires pour faire trancher ce point.
L’APD a récemment rejeté l’ensemble des arguments de l’Unisoc.
Selon elle, la nouvelle loi belge précise bien la notion « d’autorité publique » au sens du RGPD.
Elle confirme qu’en vertu de la nouvelle loi « vie privée », toute asbl financée majoritairement par les autorités publiques ou dont une majorité des membres du CA sont désignés par les autorités publiques doit être considérée comme une « autorité publique » au sens du RGPD et doit, dès lors, désigner un data protection officer (DPO).
Enfin, l’ADP rejette la demande de moratoire.
Dans ces conditions, nous conseillons à chaque ETA qui rentre dans les critères de la nouvelle loi, de désigner si ce n’est déjà fait, un DPO pour éviter une sanction en cas de contrôle ou de plainte.
Compte tenu de la charge administrative et financière que l’obligation de désigner un DPO représente, nous vous rappelons que le RGPD permet une mutualisation. Plusieurs ETA peuvent dès lors désigner ensemble et se partager les services d’un seul DPO.
L’eweta et l’Unisoc ne manqueront évidemment pas d’interpeller le prochain gouvernement fédéral sur cette interprétation de la nouvelle loi.
Nous restons à votre disposition pour toute précision sur ce dossier.
Source : Unisoc
Aucun commentaire