L’Inspection nationale de la protection des données (SDPI), dans l’exercice de ses fonctions d’autorité de contrôle de la protection des données à caractère personnel prévues par le règlement général sur la protection des données (RGPD), a prévu de mener 16 inspections planifiées et 10 visites de contrôle en 2024 dans des organisations planifiées du secteur public et du secteur privé.
Grâce aux inspections planifiées et à la surveillance, l’autorité de contrôle se renseigne sur les activités réelles de traitement des données à caractère personnel dans les organisations inspectées, vise à identifier les risques et à aider les organisations à s’améliorer. Le DPAA choisit d’examiner les activités de quelques organisations seulement dans le secteur, mais il est important de noter que les résultats des inspections ne sont pas seulement pertinents pour l’organisation inspectée, mais aussi pour d’autres dans le secteur. Une fois les inspections terminées, l’autorité de contrôle prépare et publie un résumé des inspections, qui est mis à la disposition de chaque organisation. Cela permet à chaque secteur d’évaluer ses propres performances sur la base des résultats des inspections.
En 2024, la DPAI a prévu de contrôler 10 organisations en ce qui concerne les mesures de sécurité, c’est-à-dire l’accès privilégié, la destruction des données personnelles, l’utilisation d’outils de cryptage et la gestion du changement.
La DPAI a également prévu de réinspecter 6 organisations qui ont été inspectées les années précédentes et pour lesquelles des déficiences ont été identifiées et/ou des instructions ont été émises. En 2024, un suivi sera effectué sur la mise en œuvre des instructions données et/ou la rectification des déficiences identifiées.
En 2024, 10 organisations ont prévu des inspections sur l’application du droit d’accès des personnes concernées. Il s’agit d’inspections dans les États membres de la Communauté économique européenne, initiées et coordonnées par le Comité européen de la protection des données (CEPD) et réalisées par les autorités de contrôle nationales. Ces inspections utiliseront des questionnaires convenus avec les autorités de contrôle. Plus d’informations dans les Nouvelles du CEPD>>
Coopération avec l’autorité de contrôle
Il est important que les organisations inspectées coopèrent avec l’autorité de contrôle effectuant les inspections et le suivi. Toute entrave à l’exercice des droits ou des devoirs conférés au personnel de l’ASAD par la législation régissant leurs activités, le non-respect ou l’exécution incorrecte d’instructions et de demandes légitimes, telles que le refus de fournir des informations, la dissimulation de documents, l’absence de présence et d’explications, etc., entraînera une responsabilité, c’est-à-dire que le non-respect d’une instruction de l’ASAD ou de l’accès (article 58, paragraphe 1, du GDPR) entraînera la responsabilité de l’entité inspectée (article 83, paragraphe 5, point e), du GDPR). Veuillez noter qu’en 2023, sur les 13 amendes imposées, pas moins de 6 amendes (d’un montant total de 21 360 EUR) ont été imposées par l’ASAD pour non-respect des instructions de l’autorité de contrôle.