En raison de l’intérêt accru du public pour l’instruction relative à la mise en œuvre pratique des activités de contrôle de la Commission pour la protection des données à caractère personnel, la Commission (CPDP) informe elle-même les responsables du traitement et les contrôleurs des données qu’elle a publié.
Instruction sur la mise en œuvre pratique des activités de contrôle de la Commission pour la protection des données à caractère personnel:
L’instruction est un document interne adopté sur la base de l’article 12(10) de la loi sur la protection des données personnelles par décision de la CPDP en date du 29.05.2020 (Procès-verbal n° 23/2020), modifiée et complétée par une décision en date du 24.06.2021 (Procès-verbal n° 27/2021). En définissant la méthodologie de réalisation des différents types de contrôles (sectoriels, contrôles conjoints avec d’autres autorités de contrôle, consultation préalable, etc.), l’instruction vise à établir des règles uniformes et une approche unifiée des activités de contrôle de la CPDP et de son administration.
En annexe de l’instruction, la Commission a adopté une méthodologie pour déterminer le niveau de risque de violation des données personnelles et un questionnaire pour effectuer des contrôles lors des activités de supervision de la CPDP. La méthodologie est un outil important dans les activités de l’autorité de contrôle lorsqu’elle examine les notifications de violation de données personnelles soumises sur la base de l’article 33 du règlement (UE) 2016/679, respectivement de l’article 67 de la loi sur la protection des données personnelles. En fonction de l’évaluation du niveau de risque, la Commission décide du suivi et de la communication avec le responsable du traitement des données affecté par la violation (voir le chapitre quatre, section VII du CPDP et son règlement intérieur).
L’objectif du questionnaire de suivi dans le cadre des activités de contrôle du CPDP est de collecter des informations préliminaires afin de clarifier le contexte du traitement des données à caractère personnel et de faciliter l’établissement de faits et de circonstances pertinents pour l’objet de la vérification spécifique. Le questionnaire est envoyé à l’avance à l’attention de chaque contrôleur contrôlé.
Avec la publication de l’instruction et de ses annexes, la Commission vise à sensibiliser aux questions liées à l’exercice de ses pouvoirs de contrôle, en contribuant à l’application cohérente du règlement (UE) 2016/679 et de la loi sur la protection des données. Toutefois, la Commission attire l’attention sur le fait que ces documents sont de nature purement interne et ne créent pas de droits ou d’obligations pour les responsables du traitement des données, les responsables du traitement des données et les personnes concernées. La (non) connaissance du contenu des documents publiés et/ou la (non) application de ces documents dans les activités d’un responsable du traitement/traitement n’est pas pertinente pour les conclusions de l’autorité de contrôle sur la présence ou l’absence de conformité aux exigences en matière de protection des données et ne peut être considérée comme une circonstance atténuante ou aggravante dans un cas spécifique.
Pour rédiger ces documents, la Commission a tenu compte de l’expérience nationale et étrangère dans le domaine des activités de contrôle, des lignes directrices du Conseil européen de la protection des données, du cadre juridique dans le domaine de la protection des données à caractère personnel et des exigences minimales en matière de sécurité des réseaux et de l’information. L’Instruction sur la mise en œuvre pratique des activités de contrôle de la protection des données de la Commission et ses annexes font l’objet d’une mise à jour régulière afin de tenir compte des meilleures pratiques accumulées au niveau national et européen et de prendre en compte la dynamique des relations sociales soumises au contrôle.
Méthodologie pour déterminer le niveau de risque en cas de violation de la sécurité des données personnelles:
Questionnaire pour la réalisation d’inspections au cours de l’activité de surveillance de la CPDP:
SOURCE: AUTORITÉ DE PROTECTION DES DONNÉES DE BULGARIE – CPDP