SlideShare une entreprise Scribd logo

FEB - La protection des données

Bizcover
Bizcover

Suite à la "General Data Protection Regulation", la FEB a édité un guide pratique sur la protection des données.

Business
1  sur  16
Télécharger pour lire hors ligne
Nouvelles dispositions applicables à partir du 25 mai 2018 Impact sur toutes les entreprises installées dans l’espace européen Sanctions importantes en cas de non-respect DATA PROTECTION Le nouveau règlement sur la protection des données et ses conséquences pour les entreprises en Belgique
Rédaction Nathalie Ragheno Editeur responsable FEB asbl Stefan Maes Rue Ravenstein 4 B - 1000 Bruxelles www.feb.be Design et mise en page manythink Impression Graphius Dépôt légal D/0140/2016/16 Deze brochure is ook verkrijgbaar in het Nederlands COLOPHON FEB | 02
Dans un monde interconnecté où les données personnelles circulent de plus en plus vite et en nombre sans cesse croissant, la protection des données et de la vie privée des personnes concernées par elles prend toute son importance. Il s’agit là d’un nouveau paramètre incontournable pour toute entreprise qui gère un ou plusieurs fichiers de données. Un nouveau Règlement européen vient renforcer les obligations des entreprises. Étant donné sa complexité, la FEB a conçu ce guide pratique pour comprendre les enjeux de la protection des données, prendre rapidement les mesures adéquates à mettre en œuvre et avoir les bons réflexes. POURQUOI CETTE BROCHURE ? 03 | FEB DATA PROTECTION
EST-CE QUE JE TRAITE DES DONNÉES PERSONNELLES ? Je traite des données personnelles et je dois donc être en conformité avec la législation ‘Vie privée’( * ) Je suis responsable du traitement : je définis moi-même les finalités et la raison d’être du traitement ainsi que les moyens Je suis sous-traitant : j’agis pour le compte du responsable du traitement des données Traiter = collecter, enregistrer, organiser, modifier, utiliser, effacer… des données Données personnelles = toute information qui se rapporte à une personne physique identifiée ou identifiable ( nom, numéro national, identifiant en ligne… ) appelée personne concernée ( * ) Pour plus d’info sur le nouveau Règlement européen ( EU ) 2016/679 du 27 Avril 2016, voir le site de la Commission de la protection de la vie privée www.privacycommission.be/fr FEB | 04
JE DOIS POUVOIR DÉMONTRER LA CONFORMITÉ DE MES ACTIVITÉS DE TRAITEMENT AVEC LE RÈGLEMENT. POUR CELA : Je crée un registre de données pour toutes les activités impliquant le traitement de données personnelles ( inventaire ) Je m’assure de ne traiter que le minimum de données personnelles nécessaires pour atteindre les objectifs de traitement légaux Je rédige une privacy notice, document d’information à communiquer aux personnes concernées qui décrit comment mon entreprise collecte, utilise, conserve,… leurs données personnelles J’élabore une politique interne ( internal policy ) d’information et de formation des employés Je désigne un employé responsable de la protection des données Le cas échéant, j’effectue l’analyse d’impact relative à la protection des données. Cette analyse me permet d’identifier les risques liés au traitement des données et la manière de les atténuer et assurer la protection de ces données Je mets en place des procédures efficaces pour assurer le respect de la législation ‘vie privée’ AFIN D’ÊTRE EN CONFORMITÉ AVEC MES OBLIGATIONS LÉGALES, JE VEILLE À CE QUE LES DONNÉES PERSONNELLES SOIENT : traitées de manière légale, transparente et que leur utilisation soit facile à comprendre pour la personne concernée pertinentes et limitées à l’objectif poursuivi collectées dans un but déterminé, explicite et légal exactes et tenues à jour conservées uniquement durant le délai nécessaire au traitement poursuivi et traitées en prenant des mesures de sécurité informatique adéquates 05 | FEB DATA PROTECTION
QUELS SONT LES CAS DANS LESQUELS JE PEUX TRAITER DES DONNÉES PERSONNELLES ? SOIT LE TRAITEMENT EST EFFECTUÉ AVEC LE CONSENTEMENT DE LA PERSONNE CONCERNÉE. SOIT LE TRAITEMENT EST NÉCESSAIRE : à l’exécution d’un contrat ( ex. traitement de l’adresse de la personne concernée afin que les marchandises achetées en ligne puissent être livrées ; traitement des données de la carte de crédit afin d’effectuer le paiement ) à l’exécution d’obligations légales ( ex. les employeurs doivent déclarer les données salariales de leurs employés à la sécurité sociale ; les autorités fiscales, les institutions financières sont tenues de déclarer certaines opérations suspectes … ) pour protéger des intérêts vitaux de la personne concernée ou d’une autre personne à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique confiée au responsable du traitement dans l’intérêt légitime ( ex. une entreprise doit assurer la santé et la sécurité de son personnel travaillant dans sa centrale nucléaire en traitant certaines données notamment relatives à la santé ) Données personnelles externes Fournisseurs Clients Prospects … Données personnelles internes Employés … FEB | 06
Le consentement exige une action affirmative claire. Le silence, les cases pré-cochées ou l’absence de réaction ne constituent pas un consentement ! Le consentement doit être vérifiable. Cela signifie qu’il faut conserver une preuve concernant la façon et le moment où le consente- ment a été donné. Les individus ont le droit de retirer leur consentement à tout moment DONNÉES PERSONNELLES CONCERNANT LES ENFANTS Le General Data Protection Regulation ( GDPR ) contient de nouvelles dispo- sitions visant à renforcer la protection des données personnelles des enfants LES CONSENTEMENTS DÉJÀ OBTENUS Je ne suis pas tenu d’obtenir un nou- veau consentement des personnes concernées si celui donné auparavant répond déjà aux nouvelles exigences. Je dois donc m’assurer que ce dernier réponde bien aux normes requises par la nouvelle législation Je veille à ce que les personnes concernées reçoivent une explication claire du traitement auquel elles consentent Je veille à ce que le mécanisme de consentement soit vraiment volontaire et « opt-in » Je m’assure que les personnes concernées puissent retirer leur consentement facilement Je ne me fie pas au silence ou à l’absence de réaction pour considérer qu’il y a consentement 07 | FEB DATA PROTECTION
DROIT À L’INFORMATION Je dois fournir en toute transparence des informations aux personnes concernées sur la façon dont je traite leurs données personnelles et quelles données je traite ( Privacy notice ) Les informations à fournir dépendent de la manière ( directe ou indirecte ) dont j’ai obtenu les données personnelles Je dois fournir les informations au moment où les données sont obtenues ( si obtenues directement auprès de la personne ) ou dans un délai raisonnable ( obtenues indirectement ) DROIT DE RECTIFICATION A la demande de la personne concernée, je dois : Rectifier des données personnelles si elles sont inexactes ou incomplètes Informer les tiers si je leur ai communiqué les données personnelles Informer les personnes au sujet des tiers auxquels les données ont été divulguées Répondre à la personne concernée dans un délai d’un mois ( prolongeable de deux mois ) DROIT À L’OUBLI La personne concernée peut me demander d’être « oubliée » mais ce droit n’est pas absolu Les individus ont le droit de faire effacer leurs données personnelles et d’empêcher leur traitement si le traitement leur cause des dommages Il existe des circonstances particulières où je peux refuser d’effacer des données personnelles DÉCISION INDIVIDUELLE AUTOMATISÉE PROFILAGE Toute personne a le droit de ne pas être soumise à une décision individuelle lorsqu‘elle est fondée exclusivement sur un traitement automatisé Dans le cas d’une décision automatisée, je dois m’assurer que la personne peut ( 1 ) obtenir une intervention humaine dans la prise de décision ; ( 2 ) exprimer leur point de vue ; et ( 3 ) obtenir une explication de la décision et la contester Ce droit ne s’applique pas si la décision est nécessaire pour ( 1 ) la conclusion ou l’exécution d’un contrat ou ( 2 ) est autorisée par la loi ou ( 3 ) prise sur base d’un consentement explicite QU’EST-CE QUE LA PERSONNE CONCERNÉE PEUT ME DEMANDER ? FEB | 08
DROIT D’OPPOSITION La personne concernée peut s’opposer : 01 - au direct marketing : lorsque je reçois une demande d’opposition, je dois cesser de traiter immédiatement les données de la personne concernée sans exceptions 02 - au traitement sur base des intérêts légitimes : lorsque je reçois une opposition, je dois arrêter le traitement de ces données sauf s’il y a des exceptions légales 03 - au traitement pour des recherches scientifiques / historiques dans certains cas. Je dois informer la personne concernée de son droit de s’opposer dès la première communication et dans la privacy notice DROIT D’ACCÈS Lorsque la personne concernée en fait la demande, je dois lui fournir ses données personnelles de manière : 01 - concise, transparente, intelligible et facilement accessible, rédigée en langage clair et facile 02 - gratuitement 03 - dans un délai d’un mois ( prolongeable de deux mois ) DROIT À LA PORTABILITÉ DES DONNÉES La personne concernée peut me demander de transférer des données personnelles d’un environnement informatique à un autre d’une manière sûre et sécurisée Seules les données personnelles qu’un individu a fournies à un responsable de traitement ( sur la base du consentement ou du contrat ) sont concernées Je dois fournir les données sous une forme structurée, couramment utilisée et lisible. Je dois le faire gratuitement et dans un délai d’un mois ( prolongeable de deux mois ) 09 | FEB DATA PROTECTION
QUELLES SONT MES OBLIGATIONS EN TANT QUE RESPONSABLE DE TRAITEMENT OU SOUS-TRAITANT ? Quand je traite des données personnelles, je le fais en tant que responsable de traitement ou en tant que sous-traitant. Dorénavant, des obligations pèsent sur l’un et l’autre, alors que l’ancienne législation n’en imposait qu’au responsable de traitement ! EN TANT QUE RESPONSABLE DE TRAITEMENT, JE DOIS : examiner toutes mes activités de traitement des données et conserver un registre d’inventaire m’assurer que j’ai mis en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité nécessaire des données à caractère personnel respecter le principe de responsabilisation et coopérer avec la Commission de la protection de la vie privée le cas échéant m’assurer que je dispose de procédures et de modèles appropriés pour identifier, examiner et signaler rapidement des violations de données à la Commission de la protection de la vie privée EN TANT QUE SOUS-TRAITANT, JE DOIS : examiner mes contrats de traitement de données existants et m’assurer de la sécurité et de la confidentialité nécessaires des données personnelles que je traite traiter uniquement les données conformément aux instructions du responsable de traitement m’assurer que je dispose de procédures et de modèles appropriés pour identifier, examiner et ( dans la mesure nécessaire ) signaler rapidement les violations de données au responsable de traitement concerné noter que je ne peux désigner des sous-sous-traitants qu’avec l’autorisation du responsable de traitement FEB | 10
QUE DOIS-JE FAIRE SI JE TRANSFÈRE DES DONNÉES EN DEHORS L’UE ? Je transfère des données vers : la Suisse, le Canada, Andorre, l’Argentine, Guernesey, l’île de Man, les îles Féroé, Jersey, l’Australie, Israël, la Nouvelle-Zélande, l’Uruguay ou les Etats Unis ( Privacy Shield ) OUI NON Ces pays ont un niveau de protection adéquat Transfert au sein d’un groupe d’entreprises Transfert hors groupe Transaction spécifique Je ne dois rien faire Je conclus des clauses contraignantes ( Binding Corporate Rules ) : ce sont des accords régissant les transferts effectués entre entreprises au sein d’un même groupe Je conclus avec l’entreprise vers laquelle les données sont transmises des clauses conventionnelles standards ‘ data protection ’ adoptées par la Commission européenne Soit j’obtiens le consentement de la personne concernée, soit le transfert est nécessaire dans le cadre de l’exécution du contrat 11 | FEB DATA PROTECTION
Violation de données à caractère personnel = destruction, perte, altération, divulgation non autorisée de données à caractère personnel Si la violation risque de porter atteinte aux droits et libertés des individus, je dois la notifier à la Commission de la protection de la vie privée dans les 72 heures qui suivent le moment du constat. Lorsqu’une violation est susceptible d’entraîner un risque élevé pour les droits et libertés des individus, je dois en informer directement les personnes concernées Je m’assure que mes employés ou responsables comprennent ce qui constitue une violation des données Je désigne une personne chargée d’examiner et de signaler les violations de données Je mets en place des procédures solides de détection des infractions, d’enquête et de rapports internes Je prépare des lettres types afin de signaler une violation le plus rapidement possible QUID EN CAS DE VIOLATION DE DONNÉES ( DATA BREACH ) ? FEB | 12
LA FEB CONSEILLE À TOUTES LES ENTREPRISES DE DÉSIGNER UNE PERSONNE RESPONSABLE Lorsque votre activité principale consiste dans le traitement à large échelle et le monitoring systématique des individus ou des catégories particulières de données, vous êtes obligé de désigner un Data Protection Officer ( DPO ) LES MISSIONS DU DPO Informer et conseiller l’entreprise et ses employés sur leurs obligations de se conformer au GDPR et autres lois de protection des données Surveiller la conformité au GDPR Être le premier point de contact Vous pouvez attribuer le rôle de DPO à un employé si ses fonctions professionnelles sont compatibles avec les tâches du DPO et ne conduisent pas à un conflit d’intérêts Vous pouvez également vous adresser à un DPO externe à l’entreprise PERSONNE RESPONSABLE DE LA PROTECTION DES DONNÉES DATA PROTECTION OFFICER 13 | FEB DATA PROTECTION
NOTES FEB | 14
7 RECOMMANDATIONS INCONTOURNABLES 1 Je fais un inventaire de tous les traitements et des données traitées ainsi que de leurs objectifs 2 Je traite les données enregistrées de manière loyale et transparente 3 J’enregistre uniquement les données nécessaires et ne les conserve pas au-delà de la période utile 4 Je prends les mesures adéquates de protection des traitements et des données 5 J’informe clairement les personnes concernées par les données 6 Je mets en place une politique de protection des données et de la vie privée en interne 7 Je désigne une personne responsable de la protection des données et de la vie privée 15 | FEB DATA PROTECTION
Rue Ravenstein 4 - 1000 Bruxelles T. : + 32 2 515 08 11 info@vbo-feb.be www.feb.be Facebook VBO-FEB Twitter @VBOFEB LinkedIn VBO-FEB

Recommandé

Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPRProf. Jacques Folon (Ph.D)
 
GDPR et PME
GDPR et PMEGDPR et PME
GDPR et PMEProf. Jacques Folon (Ph.D)
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)Didier Barella
 
RGPD
RGPDRGPD
RGPDChris Gaillard
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdprProf. Jacques Folon (Ph.D)
 

Recommandé

Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPRProf. Jacques Folon (Ph.D)
 
GDPR et PME
GDPR et PMEGDPR et PME
GDPR et PMEProf. Jacques Folon (Ph.D)
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)GDPR Pseudonymization (French paper)
GDPR Pseudonymization (French paper)Didier Barella
 
RGPD
RGPDRGPD
RGPDChris Gaillard
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Marketing et gdpr
Marketing et gdprMarketing et gdpr
Marketing et gdprProf. Jacques Folon (Ph.D)
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Rebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aiderRebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aiderSébastien Paulet
 
Le RGPD
Le RGPD Le RGPD
Le RGPD Moodle Users Association
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpdDidier Graf
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Les données de santé cabinet barbey
Les données de santé cabinet barbeyLes données de santé cabinet barbey
Les données de santé cabinet barbeyiPocrate
 
Glossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des donnéesGlossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des donnéescilcnrs
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?fourniermartine
 
Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRScilcnrs
 
VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers Bizcover
 
Boostez votre business par le web
Boostez votre business par le webBoostez votre business par le web
Boostez votre business par le webBizcover
 
Managing Digital Transformation
Managing Digital TransformationManaging Digital Transformation
Managing Digital TransformationBizcover
 
Verbonden consumenten
Verbonden consumentenVerbonden consumenten
Verbonden consumentenBizcover
 
Boost uw business, ook op het web
Boost uw business, ook op het webBoost uw business, ook op het web
Boost uw business, ook op het webBizcover
 

Contenu connexe

Tendances

Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEUmanis
 
Rebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aiderRebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aiderSébastien Paulet
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesDidier Graf
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueNicolas Wipfli
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDTelecomValley
 
Les données de santé cabinet barbey
Les données de santé cabinet barbeyLes données de santé cabinet barbey
Les données de santé cabinet barbeyiPocrate
 
Glossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des donnéesGlossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des donnéescilcnrs
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?fourniermartine
 
Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRScilcnrs
 

Tendances (17)

Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Rebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aiderRebuild 2018 RGPD comment O365 va vous aider
Rebuild 2018 RGPD comment O365 va vous aider
 
Le RGPD
Le RGPD Le RGPD
Le RGPD
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Lpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textesLpm + rgpd études conjointe des deux grands textes
Lpm + rgpd études conjointe des deux grands textes
 
Lpm + rgpd
Lpm + rgpdLpm + rgpd
Lpm + rgpd
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Les données de santé cabinet barbey
Les données de santé cabinet barbeyLes données de santé cabinet barbey
Les données de santé cabinet barbey
 
Glossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des donnéesGlossaire du règlement européen sur la protection des données
Glossaire du règlement européen sur la protection des données
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?
 
Protection des données personnelles au CNRS
Protection des données personnelles au CNRSProtection des données personnelles au CNRS
Protection des données personnelles au CNRS
 

En vedette

VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers Bizcover
 
Boostez votre business par le web
Boostez votre business par le webBoostez votre business par le web
Boostez votre business par le webBizcover
 
Managing Digital Transformation
Managing Digital TransformationManaging Digital Transformation
Managing Digital TransformationBizcover
 
Verbonden consumenten
Verbonden consumentenVerbonden consumenten
Verbonden consumentenBizcover
 
Boost uw business, ook op het web
Boost uw business, ook op het webBoost uw business, ook op het web
Boost uw business, ook op het webBizcover
 
Le guide du small talk
Le guide du small talkLe guide du small talk
Le guide du small talkBizcover
 
Economic Outlook 2016
Economic Outlook 2016Economic Outlook 2016
Economic Outlook 2016Bizcover
 
De Smalltalk-gids
De Smalltalk-gidsDe Smalltalk-gids
De Smalltalk-gidsBizcover
 
Les consommateurs connectés
Les consommateurs connectésLes consommateurs connectés
Les consommateurs connectésBizcover
 
Brexit: La lettre de Theresa May à Donald Tusk
Brexit: La lettre de Theresa May à Donald TuskBrexit: La lettre de Theresa May à Donald Tusk
Brexit: La lettre de Theresa May à Donald TuskLaLibre
 
Sécurité autoroute
Sécurité autorouteSécurité autoroute
Sécurité autorouteHuet Emmanuel
 
TEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkTEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkVolker Hirsch
 

En vedette (12)

VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers VBO - Gegevensbescherming voor ondernemers
VBO - Gegevensbescherming voor ondernemers
 
Boostez votre business par le web
Boostez votre business par le webBoostez votre business par le web
Boostez votre business par le web
 
Managing Digital Transformation
Managing Digital TransformationManaging Digital Transformation
Managing Digital Transformation
 
Verbonden consumenten
Verbonden consumentenVerbonden consumenten
Verbonden consumenten
 
Boost uw business, ook op het web
Boost uw business, ook op het webBoost uw business, ook op het web
Boost uw business, ook op het web
 
Le guide du small talk
Le guide du small talkLe guide du small talk
Le guide du small talk
 
Economic Outlook 2016
Economic Outlook 2016Economic Outlook 2016
Economic Outlook 2016
 
De Smalltalk-gids
De Smalltalk-gidsDe Smalltalk-gids
De Smalltalk-gids
 
Les consommateurs connectés
Les consommateurs connectésLes consommateurs connectés
Les consommateurs connectés
 
Brexit: La lettre de Theresa May à Donald Tusk
Brexit: La lettre de Theresa May à Donald TuskBrexit: La lettre de Theresa May à Donald Tusk
Brexit: La lettre de Theresa May à Donald Tusk
 
Sécurité autoroute
Sécurité autorouteSécurité autoroute
Sécurité autoroute
 
TEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkTEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of Work
 

Similaire à FEB - La protection des données

Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsClaranet
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vfMostafaAITMEHDI
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfREFAIBOX
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpdPARISHANGHAI
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensiblesMarket iT
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?Boris Clément
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...ASIP Santé
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDMohamed KAROUT
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?ACCESS Group
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUEDavidWalter44
 
Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiKezhan SHI
 

Similaire à FEB - La protection des données (20)

Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Gdpr
Gdpr Gdpr
Gdpr
 
Marketing et gdpr avril 2018
Marketing et gdpr avril 2018Marketing et gdpr avril 2018
Marketing et gdpr avril 2018
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Gestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligationsGestion des données personnelles : comprendre vos nouvelles obligations
Gestion des données personnelles : comprendre vos nouvelles obligations
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
 
Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019Ifc gdpr cmd sept 2019
Ifc gdpr cmd sept 2019
 
Parishanghai presentation rgpd
Parishanghai presentation rgpdParishanghai presentation rgpd
Parishanghai presentation rgpd
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?Obligations RGPD : Comment-agir ?
Obligations RGPD : Comment-agir ?
 
Le traitement des données sensibles
Le traitement des données sensiblesLe traitement des données sensibles
Le traitement des données sensibles
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
INFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPDINFOGRAPHIE - Focus sur le RGPD
INFOGRAPHIE - Focus sur le RGPD
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
 
RGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUERGPD AVEC OMS INFORMATIQUE
RGPD AVEC OMS INFORMATIQUE
 
Data privacy - Fabrice Naftalski
Data privacy - Fabrice NaftalskiData privacy - Fabrice Naftalski
Data privacy - Fabrice Naftalski
 

FEB - La protection des données

  • 1. Nouvelles dispositions applicables à partir du 25 mai 2018 Impact sur toutes les entreprises installées dans l’espace européen Sanctions importantes en cas de non-respect DATA PROTECTION Le nouveau règlement sur la protection des données et ses conséquences pour les entreprises en Belgique
  • 2. Rédaction Nathalie Ragheno Editeur responsable FEB asbl Stefan Maes Rue Ravenstein 4 B - 1000 Bruxelles www.feb.be Design et mise en page manythink Impression Graphius Dépôt légal D/0140/2016/16 Deze brochure is ook verkrijgbaar in het Nederlands COLOPHON FEB | 02
  • 3. Dans un monde interconnecté où les données personnelles circulent de plus en plus vite et en nombre sans cesse croissant, la protection des données et de la vie privée des personnes concernées par elles prend toute son importance. Il s’agit là d’un nouveau paramètre incontournable pour toute entreprise qui gère un ou plusieurs fichiers de données. Un nouveau Règlement européen vient renforcer les obligations des entreprises. Étant donné sa complexité, la FEB a conçu ce guide pratique pour comprendre les enjeux de la protection des données, prendre rapidement les mesures adéquates à mettre en œuvre et avoir les bons réflexes. POURQUOI CETTE BROCHURE ? 03 | FEB DATA PROTECTION
  • 4. EST-CE QUE JE TRAITE DES DONNÉES PERSONNELLES ? Je traite des données personnelles et je dois donc être en conformité avec la législation ‘Vie privée’( * ) Je suis responsable du traitement : je définis moi-même les finalités et la raison d’être du traitement ainsi que les moyens Je suis sous-traitant : j’agis pour le compte du responsable du traitement des données Traiter = collecter, enregistrer, organiser, modifier, utiliser, effacer… des données Données personnelles = toute information qui se rapporte à une personne physique identifiée ou identifiable ( nom, numéro national, identifiant en ligne… ) appelée personne concernée ( * ) Pour plus d’info sur le nouveau Règlement européen ( EU ) 2016/679 du 27 Avril 2016, voir le site de la Commission de la protection de la vie privée www.privacycommission.be/fr FEB | 04
  • 5. JE DOIS POUVOIR DÉMONTRER LA CONFORMITÉ DE MES ACTIVITÉS DE TRAITEMENT AVEC LE RÈGLEMENT. POUR CELA : Je crée un registre de données pour toutes les activités impliquant le traitement de données personnelles ( inventaire ) Je m’assure de ne traiter que le minimum de données personnelles nécessaires pour atteindre les objectifs de traitement légaux Je rédige une privacy notice, document d’information à communiquer aux personnes concernées qui décrit comment mon entreprise collecte, utilise, conserve,… leurs données personnelles J’élabore une politique interne ( internal policy ) d’information et de formation des employés Je désigne un employé responsable de la protection des données Le cas échéant, j’effectue l’analyse d’impact relative à la protection des données. Cette analyse me permet d’identifier les risques liés au traitement des données et la manière de les atténuer et assurer la protection de ces données Je mets en place des procédures efficaces pour assurer le respect de la législation ‘vie privée’ AFIN D’ÊTRE EN CONFORMITÉ AVEC MES OBLIGATIONS LÉGALES, JE VEILLE À CE QUE LES DONNÉES PERSONNELLES SOIENT : traitées de manière légale, transparente et que leur utilisation soit facile à comprendre pour la personne concernée pertinentes et limitées à l’objectif poursuivi collectées dans un but déterminé, explicite et légal exactes et tenues à jour conservées uniquement durant le délai nécessaire au traitement poursuivi et traitées en prenant des mesures de sécurité informatique adéquates 05 | FEB DATA PROTECTION
  • 6. QUELS SONT LES CAS DANS LESQUELS JE PEUX TRAITER DES DONNÉES PERSONNELLES ? SOIT LE TRAITEMENT EST EFFECTUÉ AVEC LE CONSENTEMENT DE LA PERSONNE CONCERNÉE. SOIT LE TRAITEMENT EST NÉCESSAIRE : à l’exécution d’un contrat ( ex. traitement de l’adresse de la personne concernée afin que les marchandises achetées en ligne puissent être livrées ; traitement des données de la carte de crédit afin d’effectuer le paiement ) à l’exécution d’obligations légales ( ex. les employeurs doivent déclarer les données salariales de leurs employés à la sécurité sociale ; les autorités fiscales, les institutions financières sont tenues de déclarer certaines opérations suspectes … ) pour protéger des intérêts vitaux de la personne concernée ou d’une autre personne à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique confiée au responsable du traitement dans l’intérêt légitime ( ex. une entreprise doit assurer la santé et la sécurité de son personnel travaillant dans sa centrale nucléaire en traitant certaines données notamment relatives à la santé ) Données personnelles externes Fournisseurs Clients Prospects … Données personnelles internes Employés … FEB | 06
  • 7. Le consentement exige une action affirmative claire. Le silence, les cases pré-cochées ou l’absence de réaction ne constituent pas un consentement ! Le consentement doit être vérifiable. Cela signifie qu’il faut conserver une preuve concernant la façon et le moment où le consente- ment a été donné. Les individus ont le droit de retirer leur consentement à tout moment DONNÉES PERSONNELLES CONCERNANT LES ENFANTS Le General Data Protection Regulation ( GDPR ) contient de nouvelles dispo- sitions visant à renforcer la protection des données personnelles des enfants LES CONSENTEMENTS DÉJÀ OBTENUS Je ne suis pas tenu d’obtenir un nou- veau consentement des personnes concernées si celui donné auparavant répond déjà aux nouvelles exigences. Je dois donc m’assurer que ce dernier réponde bien aux normes requises par la nouvelle législation Je veille à ce que les personnes concernées reçoivent une explication claire du traitement auquel elles consentent Je veille à ce que le mécanisme de consentement soit vraiment volontaire et « opt-in » Je m’assure que les personnes concernées puissent retirer leur consentement facilement Je ne me fie pas au silence ou à l’absence de réaction pour considérer qu’il y a consentement 07 | FEB DATA PROTECTION
  • 8. DROIT À L’INFORMATION Je dois fournir en toute transparence des informations aux personnes concernées sur la façon dont je traite leurs données personnelles et quelles données je traite ( Privacy notice ) Les informations à fournir dépendent de la manière ( directe ou indirecte ) dont j’ai obtenu les données personnelles Je dois fournir les informations au moment où les données sont obtenues ( si obtenues directement auprès de la personne ) ou dans un délai raisonnable ( obtenues indirectement ) DROIT DE RECTIFICATION A la demande de la personne concernée, je dois : Rectifier des données personnelles si elles sont inexactes ou incomplètes Informer les tiers si je leur ai communiqué les données personnelles Informer les personnes au sujet des tiers auxquels les données ont été divulguées Répondre à la personne concernée dans un délai d’un mois ( prolongeable de deux mois ) DROIT À L’OUBLI La personne concernée peut me demander d’être « oubliée » mais ce droit n’est pas absolu Les individus ont le droit de faire effacer leurs données personnelles et d’empêcher leur traitement si le traitement leur cause des dommages Il existe des circonstances particulières où je peux refuser d’effacer des données personnelles DÉCISION INDIVIDUELLE AUTOMATISÉE PROFILAGE Toute personne a le droit de ne pas être soumise à une décision individuelle lorsqu‘elle est fondée exclusivement sur un traitement automatisé Dans le cas d’une décision automatisée, je dois m’assurer que la personne peut ( 1 ) obtenir une intervention humaine dans la prise de décision ; ( 2 ) exprimer leur point de vue ; et ( 3 ) obtenir une explication de la décision et la contester Ce droit ne s’applique pas si la décision est nécessaire pour ( 1 ) la conclusion ou l’exécution d’un contrat ou ( 2 ) est autorisée par la loi ou ( 3 ) prise sur base d’un consentement explicite QU’EST-CE QUE LA PERSONNE CONCERNÉE PEUT ME DEMANDER ? FEB | 08
  • 9. DROIT D’OPPOSITION La personne concernée peut s’opposer : 01 - au direct marketing : lorsque je reçois une demande d’opposition, je dois cesser de traiter immédiatement les données de la personne concernée sans exceptions 02 - au traitement sur base des intérêts légitimes : lorsque je reçois une opposition, je dois arrêter le traitement de ces données sauf s’il y a des exceptions légales 03 - au traitement pour des recherches scientifiques / historiques dans certains cas. Je dois informer la personne concernée de son droit de s’opposer dès la première communication et dans la privacy notice DROIT D’ACCÈS Lorsque la personne concernée en fait la demande, je dois lui fournir ses données personnelles de manière : 01 - concise, transparente, intelligible et facilement accessible, rédigée en langage clair et facile 02 - gratuitement 03 - dans un délai d’un mois ( prolongeable de deux mois ) DROIT À LA PORTABILITÉ DES DONNÉES La personne concernée peut me demander de transférer des données personnelles d’un environnement informatique à un autre d’une manière sûre et sécurisée Seules les données personnelles qu’un individu a fournies à un responsable de traitement ( sur la base du consentement ou du contrat ) sont concernées Je dois fournir les données sous une forme structurée, couramment utilisée et lisible. Je dois le faire gratuitement et dans un délai d’un mois ( prolongeable de deux mois ) 09 | FEB DATA PROTECTION
  • 10. QUELLES SONT MES OBLIGATIONS EN TANT QUE RESPONSABLE DE TRAITEMENT OU SOUS-TRAITANT ? Quand je traite des données personnelles, je le fais en tant que responsable de traitement ou en tant que sous-traitant. Dorénavant, des obligations pèsent sur l’un et l’autre, alors que l’ancienne législation n’en imposait qu’au responsable de traitement ! EN TANT QUE RESPONSABLE DE TRAITEMENT, JE DOIS : examiner toutes mes activités de traitement des données et conserver un registre d’inventaire m’assurer que j’ai mis en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité nécessaire des données à caractère personnel respecter le principe de responsabilisation et coopérer avec la Commission de la protection de la vie privée le cas échéant m’assurer que je dispose de procédures et de modèles appropriés pour identifier, examiner et signaler rapidement des violations de données à la Commission de la protection de la vie privée EN TANT QUE SOUS-TRAITANT, JE DOIS : examiner mes contrats de traitement de données existants et m’assurer de la sécurité et de la confidentialité nécessaires des données personnelles que je traite traiter uniquement les données conformément aux instructions du responsable de traitement m’assurer que je dispose de procédures et de modèles appropriés pour identifier, examiner et ( dans la mesure nécessaire ) signaler rapidement les violations de données au responsable de traitement concerné noter que je ne peux désigner des sous-sous-traitants qu’avec l’autorisation du responsable de traitement FEB | 10
  • 11. QUE DOIS-JE FAIRE SI JE TRANSFÈRE DES DONNÉES EN DEHORS L’UE ? Je transfère des données vers : la Suisse, le Canada, Andorre, l’Argentine, Guernesey, l’île de Man, les îles Féroé, Jersey, l’Australie, Israël, la Nouvelle-Zélande, l’Uruguay ou les Etats Unis ( Privacy Shield ) OUI NON Ces pays ont un niveau de protection adéquat Transfert au sein d’un groupe d’entreprises Transfert hors groupe Transaction spécifique Je ne dois rien faire Je conclus des clauses contraignantes ( Binding Corporate Rules ) : ce sont des accords régissant les transferts effectués entre entreprises au sein d’un même groupe Je conclus avec l’entreprise vers laquelle les données sont transmises des clauses conventionnelles standards ‘ data protection ’ adoptées par la Commission européenne Soit j’obtiens le consentement de la personne concernée, soit le transfert est nécessaire dans le cadre de l’exécution du contrat 11 | FEB DATA PROTECTION
  • 12. Violation de données à caractère personnel = destruction, perte, altération, divulgation non autorisée de données à caractère personnel Si la violation risque de porter atteinte aux droits et libertés des individus, je dois la notifier à la Commission de la protection de la vie privée dans les 72 heures qui suivent le moment du constat. Lorsqu’une violation est susceptible d’entraîner un risque élevé pour les droits et libertés des individus, je dois en informer directement les personnes concernées Je m’assure que mes employés ou responsables comprennent ce qui constitue une violation des données Je désigne une personne chargée d’examiner et de signaler les violations de données Je mets en place des procédures solides de détection des infractions, d’enquête et de rapports internes Je prépare des lettres types afin de signaler une violation le plus rapidement possible QUID EN CAS DE VIOLATION DE DONNÉES ( DATA BREACH ) ? FEB | 12
  • 13. LA FEB CONSEILLE À TOUTES LES ENTREPRISES DE DÉSIGNER UNE PERSONNE RESPONSABLE Lorsque votre activité principale consiste dans le traitement à large échelle et le monitoring systématique des individus ou des catégories particulières de données, vous êtes obligé de désigner un Data Protection Officer ( DPO ) LES MISSIONS DU DPO Informer et conseiller l’entreprise et ses employés sur leurs obligations de se conformer au GDPR et autres lois de protection des données Surveiller la conformité au GDPR Être le premier point de contact Vous pouvez attribuer le rôle de DPO à un employé si ses fonctions professionnelles sont compatibles avec les tâches du DPO et ne conduisent pas à un conflit d’intérêts Vous pouvez également vous adresser à un DPO externe à l’entreprise PERSONNE RESPONSABLE DE LA PROTECTION DES DONNÉES DATA PROTECTION OFFICER 13 | FEB DATA PROTECTION
  • 15. 7 RECOMMANDATIONS INCONTOURNABLES 1 Je fais un inventaire de tous les traitements et des données traitées ainsi que de leurs objectifs 2 Je traite les données enregistrées de manière loyale et transparente 3 J’enregistre uniquement les données nécessaires et ne les conserve pas au-delà de la période utile 4 Je prends les mesures adéquates de protection des traitements et des données 5 J’informe clairement les personnes concernées par les données 6 Je mets en place une politique de protection des données et de la vie privée en interne 7 Je désigne une personne responsable de la protection des données et de la vie privée 15 | FEB DATA PROTECTION
  • 16. Rue Ravenstein 4 - 1000 Bruxelles T. : + 32 2 515 08 11 info@vbo-feb.be www.feb.be Facebook VBO-FEB Twitter @VBOFEB LinkedIn VBO-FEB