Il n'est pas rare que la police prenne contact avec des entreprises afin d'élucider des faits. Les autorités demandent alors la transmission d'enregistrements de vidéosurveillance, d'adresses IP, de noms de conducteurs de voitures d'entreprise ou d'autres données personnelles similaires. Mais quand cette communication est-elle conforme aux exigences de la protection des données ?
Découvrez ici les étapes de la liste de contrôle pour fournir des informations à la police et autres avant de pouvoir transmettre des données personnelles aux autorités.
1. identification de l'autorité requérante
Avant même de procéder à un examen des données concernées, il est important d'identifier l'autorité requérante. Il ne s'agit pas d'une obligation découlant du RGPD, mais d'une mesure d'autoprotection. Si, par la suite, il est reproché à votre entreprise un transfert non autorisé (violation de la protection des données), vous devez être en mesure de prouver dans quelles circonstances le transfert a eu lieu et qu'il était conforme à la protection des données.
Déterminez donc au sein de l'entreprise qu'aucun renseignement concernant des données personnelles ne sera donné par téléphone. En cas de demandes écrites, les collaborateurs devraient toujours vérifier attentivement l'expéditeur. Chaque communication doit être documentée.
2. vérification de la demande d'information
En tant que responsable, vous devez alors vérifier si l'autorité requérante est en droit d'exiger les données en question. Une demande d'accès doit toujours avoir une base juridique. Il peut s'agir d'une décision judiciaire, d'une demande de renseignements du ministère public ou d'un paragraphe du code de procédure pénale (CPP), accompagné d'une brève justification ou d'un exposé des faits.
Faites impérativement appel à ce moment-là à votre délégué à la protection des données, parallèlement au service juridique ou autre. Celui-ci peut rapidement identifier les risques éventuels et vous conseiller en conséquence.
3. vérification de la base juridique
Selon l'article 5 du RGPD, un traitement ne peut être effectué que si la base juridique correspondante l'autorise. Il faut donc une justification de la transmission via l'article 6 du RGPD ou l'article 9 du RGPD pour les données de catégorie particulière.
a. Art. 6 I lit. c RGPD : obligation légale
Le responsable peut transmettre les données qu'il collecte sur la base d'une obligation légale correspondante. Si, par exemple, la police souhaite obtenir des informations sur la base du code de procédure pénale, l'entreprise est en principe tenue de fournir des informations dans le cadre du code de procédure pénale. Dans ce cas, il peut également s'agir d'une obligation volontaire ou d'un droit de refus de témoigner.
b. Art. 6 I let. f RGPD : intérêts légitimes prépondérants
Dans le cas contraire, l'accès peut être justifié par des intérêts légitimes prépondérants. Le considérant 50 du RGPD stipule que les poursuites pénales constituent un tel intérêt légitime.
c. Art. 9 RGPD : données à caractère personnel particulières
Si les données concernant l'information sont des données de la catégorie particulière selon l'article 9 du RGPD, la protection plus élevée doit être respectée. Le législateur allemand a toutefois fait usage ici de la possibilité d'une clause d'ouverture selon l'article 9 II lettre g en relation avec l'article IV du RGPD et a créé l'article 4 III BDSG. Celui-ci réglemente entre autres la transmission de matériel issu de la vidéosurveillance de locaux accessibles au public à des fins de poursuite pénale. D'autres types de vidéosurveillance, comme par exemple les zones internes à l'entreprise auxquelles seuls les employés ont accès, ne sont toutefois pas concernés.
Dans ce cas également, il convient de toujours consulter le délégué à la protection des données au cas par cas.
4. édition et documentation
Si des données sont finalement communiquées, cela doit également être documenté.
Lors du renseignement, il faut surtout veiller au principe de minimisation des données, de sorte que le matériel doit toujours être raccourci ou noirci autant que possible. En outre, des mesures techniques et organisationnelles doivent également être mises en place pour protéger les données. Toutes les étapes de la liste de contrôle et la procédure correspondante de l'entreprise doivent être documentées en détail.
Conclusion
Dans le domaine de la protection des données dans l'entreprise, il est important de créer des lignes directrices uniformes auxquelles on peut se référer à chaque fois que l'on traite des données personnelles. Ces lignes directrices doivent être connues de tous les collaborateurs, comme la liste de contrôle expliquée ici sur la manière de traiter les demandes d'informations des autorités telles que la police. Une évaluation régulière Formation de tous les collaborateurs est indispensable à cet égard.
L'implication du délégué à la protection des données facilite également la procédure et évite bien des violations de la protection des données. Le délégué à la protection des données doit être choisi avec soin et formé régulièrement. Il est judicieux de faire appel à un délégué à la protection des données externe et professionnel.
Vous recherchez un délégué à la protection des données externe ou vous avez besoin d'aide dans le domaine de la protection des données (par ex. sensibilisation en ligne des collaborateurs ou formations en direct adaptées à votre entreprise) ? Contactez-nous ! Notre équipe d'experts se réjouit de vous rencontrer.