Directives relatives au statut
Longtemps après l’adoption de la loi n ° 13 de 2016 sur la protection de la confidentialité des données personnelles (la loi sur la protection des données), en janvier 2021, le ministère des Transports et des Communications (MoTC) a publié un ensemble de lignes directrices sur la protection de la confidentialité des données personnelles ( des lignes directrices). Il s’agit d’une évolution positive car elle apporte une plus grande clarté sur l’application des lois en matière de protection des données. Selon les directives, le Département de la conformité et de la protection des données (CDP) du ministère des Transports et des Communications est désigné comme le service compétent pour la mise en œuvre de la loi sur la protection des données et pour la clarification et le développement des contrôles et des procédures connexes.
Les lignes directrices, bien que n’étant pas équivalentes à une législation contraignante, fournissent un ensemble de lignes directrices, de contrôles et de listes de contrôle pour soutenir le respect de la loi sur la protection des données et pour mettre en œuvre les décisions concernant la confidentialité des données. Il doit prouver son utilité pour clarifier les nombreux problèmes et exigences liés à la confidentialité des données qui ne sont pas détaillés dans la loi sur la protection des données, à la fois pour les entités qui agissent en tant qu’observateurs ou sous-traitants de données pour eux et pour les particuliers en termes de leurs droits à la vie privée.
Application des lignes directrices / le rôle du CDP
Aux fins de cet article, nous nous concentrerons sur la manière d’appliquer les directives aux organisations qui agissent en tant qu’observateurs ou sous-traitants de données, désignées dans les directives comme des «entités réglementées». Les directives ne visent pas à s’appliquer de la même manière dans tous les domaines à toutes les organisations. Cela est démontré par les données des lignes directrices elles-mêmes, qui déclarent que «chaque organisation est différente et il n’y a pas de réponse universelle. [Data Protection Law] Non obligatoire, et ces lignes directrices ont été créées pour aider les entités réglementées à gérer leurs responsabilités sous [Data Protection Law] … Cependant, le CDP ne peut pas décider exactement quelles précautions les entités réglementées devraient prendre, et comment elles devraient les mettre en œuvre …
D’après ce qui précède, il est évident que les lignes directrices visent à aider les organisations à comprendre comment les dispositions de la loi sur la protection des données leur sont spécifiquement appliquées. Il est nécessaire de faire la distinction entre les petites entreprises, qui ne traitent pas de grandes quantités de données personnelles et qui peuvent ne pas être en mesure de se conformer à toutes les directives, et les grandes organisations qui traitent de grandes quantités de données personnelles, y compris le transfert de ces données en dehors du Qatar. En règle générale, les lignes directrices imposent différents niveaux de conformité en ce qui concerne le traitement des données à caractère personnel. Il n’y a aucune obligation pour toutes les organisations de se conformer à tous les aspects des lignes directrices, mais plutôt une recommandation aux organisations de mener une évaluation initiale, et si cela n’est pas applicable, consigner les raisons pour lesquelles certaines des lignes directrices n’ont pas été mises en œuvre.
Principaux domaines de conformité
Bien que les lignes directrices aient une large portée, certains des principaux domaines des organisations (des petites aux grandes entreprises) dont vous devez être conscient concernent: 1) l’établissement d’un contrat avec des sous-traitants de données; B) Mettre en place un système de gestion des données personnelles (PDMS); 3) Mener une étude d’impact sur les données personnelles (PDIA); 4) Restrictions sur le marketing direct. Et 5) créer un registre des activités de traitement (ROPA). Ils sont mis en évidence ci-dessous pour donner une compréhension de base de ce que les organisations sont censées faire pour assurer la conformité.
Convention
Les responsables du traitement doivent conclure un contrat avec les sous-traitants pour vérifier que leurs sous-traitants respectent la loi sur la protection des données et leurs instructions et qu’ils ont mis en place les précautions appropriées. Ces contrats couvrent généralement des questions liées à la nature, à la finalité et à la durée du traitement, aux instructions de traitement, aux mesures de sécurité appropriées, aux audits / examens et aux droits individuels. L’étendue du contrat dépend de facteurs tels que le type, le montant et la méthode de traitement. Un tel contrat est le meilleur moyen d’enregistrer les droits et obligations des responsables du traitement et des sous-traitants à des fins de conformité à la loi sur la protection des données. La conformité doit être surveillée régulièrement dans le cadre du PDMS établi.
PDMS
L’établissement d’un PDMS par les contrôleurs de données comprend généralement ROPA et PDIA (selon le cas) et peut inclure les éléments suivants: 1) responsabilité du respect de la loi sur la protection des données; B) Un enregistrement des processus opérationnels définissant l’utilisation des données personnelles et cartographiant le flux de données; 3) Effectuer des évaluations pour déterminer l’impact sur les droits des personnes concernées; (4) Mettre en œuvre des mesures techniques et organisationnelles pour protéger les droits des détenteurs de données; V) Établir des processus pour la notification des violations, les demandes des personnes concernées et la gestion des approbations; Et 6) mesurer, évaluer et surveiller les performances et le respect de la loi sur la protection des données. Les contrôleurs doivent documenter leurs décisions (à la demande du CDP) concernant l’identification et la révision de leurs traitements. Selon les lignes directrices, la manière dont les responsables du traitement garantiront la conformité et mettront en œuvre les mesures appropriées dépendra de leur situation, de leurs ressources, des données personnelles qu’ils traitent et de la manière dont elles sont traitées. Les directives comprennent une liste de contrôle que les organisations peuvent utiliser en relation avec les exigences PDMS.
DPIA
La DPIA ne semble pas être exigée de tous les responsables du traitement, et là encore, cela dépendra des ressources dont ils disposent et de la nature des données qu’ils traitent. Cependant, les responsables du traitement doivent noter les cas où, selon eux, une analyse d’impact sur la protection de l’enfance n’est pas nécessaire. DPIA fait partie du PDMS, qui est une évaluation visant à déterminer les risques de traitement des données personnelles des individus et à atténuer les risques de traitement à un niveau acceptable. Les lignes directrices stipulent que «les responsables du traitement doivent effectuer une analyse d’impact sur la protection des données (DPIA) avant que les données à caractère personnel ne soient traitées d’une nouvelle manière ou avant qu’une modification majeure ne soit apportée à l’activité de traitement actuelle». En fin de compte, il appartient à chaque responsable du traitement de déterminer le niveau de risque impliqué dans le traitement et si le traitement pourrait ou non causer un préjudice important aux personnes. En cas d’incertitude, les responsables du traitement devraient choisir d’effectuer une analyse d’impact sur la protection des données (DPIA) pour garantir la conformité et démontrer les meilleures pratiques.
Marketing direct
Conformément aux directives, le marketing direct est maintenant plus restrictif et réglementé. Les responsables du traitement ne doivent pas envoyer de marketing direct à des individus à moins qu’ils n’obtiennent leur consentement explicite. Cela s’applique au marketing par voie électronique ou autrement. Le consentement ne doit pas nécessairement être écrit, mais il doit être: 1) explicite et sans ambiguïté; 2) Soumis sur une base «abonnement» (les désabonnements ou les boîtes présélectionnées ne sont plus autorisées); Et 3) facilité de retrait. Les contrôleurs sont tenus de conserver un enregistrement de la manière et du moment où ce consentement a été fourni. Les communications marketing devraient également définir le responsable du traitement et fournir les coordonnées du responsable du traitement afin que les individus puissent facilement retirer leur consentement et cesser de recevoir de telles communications. La correspondance marketing doit indiquer qu’elle est soumise à des fins de marketing direct. Les contrôleurs sont également découragés d’acheter des listes de courriels contenant les coordonnées des individus pour leur envoyer des communications marketing. Bien que les responsables du traitement puissent faire appel à des tiers pour envoyer des communications marketing en leur nom, les responsables du traitement sont responsables de veiller à ce que ces tiers respectent la loi sur la protection des données.
Vêtements
Le ROPA constitue l’épine dorsale du PDMS et couvre la conformité aux exigences telles que: 1) le suivi des approbations; B) publier un avis de confidentialité; C) gérer les évaluations de la confidentialité; (4) Planification de toute formation requise. V) Gérer les violations de données et les notifications; 6) Vérifier la conformité du processeur de données; 7) gérer les flux de données transfrontaliers; Et 8) gérer le traitement des données personnelles sensibles. ROPA doit également inclure un enregistrement de toutes les activités de marketing. Les directives stipulent que «le CDP recommande à tous les régulateurs de mettre en place RoPA pour suivre dans une certaine mesure leurs activités de traitement. En fin de compte, il appartient au responsable du traitement de décider d’un statut RoPA pour soutenir le respect des obligations en vertu de [Data Protection Law]. Si le responsable du traitement ne maintient pas RoPA et qu’une plainte est déposée au sujet de ses obligations, le responsable du traitement peut être passible d’amendes en vertu de l’article 23 et / ou 24 du [Data Protection Law]. «Dans le cas où l’organisation ne pense pas qu’elle est tenue de conserver ROPA, elle devrait au moins garder une trace des raisons pour lesquelles il n’est pas nécessaire.
conclusion
Les organisations au Qatar ont maintenant reçu de nombreux détails sur ce que l’on attend d’elles en termes de respect de la loi sur la protection des données, et plus particulièrement en ce qui concerne les exigences de procédure et d’application. Bien que les lignes directrices soient encore nouvelles et non testées, elles permettent une certaine flexibilité en ce qui concerne les exigences en fonction du volume et du type d’activités de traitement de données à caractère personnel. Cependant, ce qui est clair pour toutes les organisations au Qatar, c’est qu’il faut tenir compte de ces activités de traitement et des réglementations appropriées en place ou, en l’absence de réglementations jugées nécessaires, ces décisions (et leurs raisons) sont clairement consignées. .