Ce que vous devez savoir.

La police peut demander à votre entreprise de divulguer des données à caractère personnel. Elle peut par exemple vous demander de lui envoyer des données à caractère personnel sur vos salariés dans le cadre d'une enquête, ou de lui remettre une liste des participants à votre événement pour une vérification des antécédents. Etant donné qu’il est évident que le GDPR ne peut pas empêcher la police de faire son travail et que de telles demandes sont généralement fondées sur la législation nationale, votre entreprise devra très probablement coopérer avec la police.

Le GDPR prévoit que, dans le cadre de telles demandes, la police doit être considérée comme un tiers. Ainsi, la police échappera à l'application des dispositions du GDPR. Par conséquent, bien que la police puisse exiger que certaines données lui soient transférées, elle ne signera en général pas d'accord avec votre entreprise concernant le traitement des données transférées.

Il est toutefois important de noter que la directive dite « Directive sur la police » est entrée en vigueur en même temps que le GDPR. Cette directive de l'UE définit les règles relatives au traitement des données par les autorités policières et devrait fournir les garanties nécessaires permettant d’assurer que les données communiquées à la police soient traitées correctement, même en l’absence de conclusion d'un accord de traitement spécifique.

Ce que vous devez faire.

Conformément au GDPR, de nombreux législateurs nationaux ont adopté des règles établissant des restrictions aux droits des personnes concernées dans le cadre du traitement de leurs données à des fins de prévention, d’enquête et de détection d’infractions pénales. Par conséquent, si votre entreprise reçoit une demande de données de la police, il est important d'obtenir la confirmation de la part de la police que la demande s’inscrit dans le cadre de la prévention, de l'enquête ou de la détection d'une infraction pénale (dans la mesure où cela ne serait pas encore clair). En effet, alors que, dans le cadre du GDPR, votre entreprise est tenue de fournir diverses informations aux personnes concernées, le droit national pourrait lever cette obligation d'information pour un transfert de données dans le cadre d'une enquête de police.

Deuxièmement, il est important de noter qu'une demande de données peut être formulée de manière large par la police. Il est du devoir de votre entreprise de ne pas divulguer plus de données que nécessaire à la police. Par conséquent, votre entreprise devrait discuter avec la police des données nécessaires à la prévention, à l'enquête ou à la détection de l'infraction pénale.

Enfin, une réflexion spécifique doit être menée sur la manière dont votre entreprise mettra les données demandées à la disposition de la police. Ceci est fait de préférence d'une manière qui ne permet pas la modification de ces données par la police. En outre, dans le cas où votre entreprise donne l’accès à la police à un système ou à une base de données contenant les informations demandées, cet accès ne devrait pas être accordé plus longtemps que nécessaire pour que la police puisse s'acquitter de la mission pour laquelle elle a demandé les données.