SlideShare une entreprise Scribd logo
1  sur  85
Télécharger pour lire hors ligne
Vers un nouveau règlement
sur la protection des données
Jean-François HENROTTE
Fanny COTON
www.earlegal.beGroupe Larcier / Lexing
Où en est-on ?
Aujourd’hui
Directive 95/46 – Loi du 8/12/1992
Demain :
Règlement général 2016/679 du 27/04/16 sur la
protection des données (GDPR)
applicable le 25/05/18
2
www.earlegal.beGroupe Larcier / Lexing
Principe d’« accountability »
mettre en oeuvre les mesures techniques et
organisationnelles appropriées
+ les actualiser si nécessaire
ACCOUNTABILITY (Article 24.1):
Etre en mesure de démontrer que l’on respecte le
règlement
TRANSPARENCE
MODIFIER LES PRATIQUES ACTUELLES
3
www.earlegal.beGroupe Larcier / Lexing
Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
 Justifie des investissements importants
4
www.earlegal.beGroupe Larcier / Lexing
Programme
Le siège de ma société est situé en dehors de l’UE, suis-je
impacté par le règlement ?
Puis-je héberger des données à caractère personnel hors de
l’Union européenne ?
Quelles sont les nouvelles obligations de ma société en tant
que responsable du traitement?
Quelles sont les nouvelles obligations de ma société en tant
que sous-traitant?
5
www.earlegal.beGroupe Larcier / Lexing
Programme
Quelles sont les évolutions relatives aux droits des personnes
concernées ?
Que faire en cas de brèche de sécurité?
Quelles relations avec la Commission Vie privée ?
Quelle est la marche à suivre pour mettre mon entreprise en
conformité avec le règlement ?
6
Groupe Larcier / Lexing www.earlegal.be
1.
Le siège de ma société est hors de l’UE,
suis-je impacté par le nouveau règlement ?
7
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
scanne les communications des employés pour déceler n° de carte de
crédit
de ses clients européens et américains
elle veut traiter les résultats à Denver et à défaut, en Italie
www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon la
directive
Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002]
De quel traitement s’agit-il ?
Qui est responsable de ce traitement ?
Le responsable est-il établi sur le territoire de l’état
membre ?
Cet établissement est-il pertinent pour le traitement ?
9
www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon la
directive
Établissement du RT sur le territoire d’un EM
Siège?
PJ?
Serveur?
Dans le cadre des activités
Approche fonctionnelle ou économique
G29, CJUE Google Spain
10
www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon la
directive
11
www.earlegal.beGroupe Larcier / Lexing
Champ d’application plus large
Directive :
Établissement du RT sur le territoire d’un EM et traitement dans le cadre
des activités de l’Et.
recours à des moyens sur 1 EM
Règlement :
s’appliquera également aux traitements effectués par des entreprises
situées hors de l’Union européenne, si
elles offrent leurs produits et services aux citoyens de l’UE
ou observent leur comportement.
www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon le
règlement
Art. 3.2 a) Traitement de données de personnes ayant leur
résidence sur le territoire l'UE,
par un RP qui n'est pas établi dans l'Union, lorsque les
activités de traitement sont :
- liées à l'offre de biens ou de services à ces personnes
concernées dans l'Union
13
www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon le
règlement
Art. 3.2 b) – liées au suivi
du comportement
des personnes concernées
si ce comportement a lieu dans l’UE
techniques de traitement de données consistant à appliquer un
«profil» à un individu, afin notamment de prendre des décisions le
concernant ou d'analyser ou de prévoir ses préférences, son
comportement et sa disposition d'esprit. (cons. 24) – Cookies,
javascript mais aussi Fb
14
www.earlegal.beGroupe Larcier / Lexing
Représentant dans l’Union
Art. 27
Un représentant doit être mandaté par le RT
à traiter en plus ou à la place du RT
toutes les questions liées au traitement des données
personnelles par les autorités de contrôle et les personnes
concernées
15
Groupe Larcier / Lexing www.earlegal.be
2.
Puis-je héberger
des données à caractère personnel
hors de l’Union européenne?
16
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
500 employés
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
Développe un logiciel pour la gestion de ses 5.000 clients (CRM)
elle veut traiter les résultats à Denver et à défaut, en Italie
www.earlegal.beGroupe Larcier / Lexing
Transfert
Transfert de données
= traitement de données en tant que tel
Respect :
• des règles applicables à tout traitement de données
• des règles encadrant le transfert
Principe : interdiction des transferts de données vers des
pays n'offrant pas un niveau de protection adéquat
www.earlegal.beGroupe Larcier / Lexing
Transfert au sein de l’UE
Directive : régime « équivalent » au sein des 28 États membres
Au sein de l’UE : autorisé de la même
manière qu’un transfert au
sein d’un même État
Pas d’autorisation à solliciter
Déterminer le droit applicable à chaque traitement
 OK pour l’Italie
Groupe Larcier / Lexing www.earlegal.be
Puis-je héberger mon site web
et ma base de données clients
dans un cloud aux USA?
www.earlegal.beGroupe Larcier / Lexing
Transfert hors de l’UE
Seulement si le pays en question assure un niveau de
protection adéquat.
Ok pour transfert
de données par
la société aux USA ?
www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : quels pays ?
Liste blanche de la Commission:
Norvège, Liechtenstein, Islande, Suisse, Canada (pour les
traitements soumis à la loi canadienne "Personal Information
Protection and Electronic Documentation Act" et pour les
données relatives aux passagers aériens), Andorre, Argentine,
Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les
données relatives aux passagers aériens), Israël, Nouvelle-
Zélande et Uruguay
Législation des États-Unis n’offre pas le niveau de
protection adéquat
www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : Safe
Harbour ?
Pour les États-Unis : ok si le destinataire des données aux États-Unis a
adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour
Principles » (ainsi que pour les données relatives aux passagers
aériens)
MAIS : Autorégulation : entreprises déclarent qu'elles respectent les
principes du «Safe Harbour» et sont inscrites dans un registre du
Département américain du Commerce.
Chaque année: auto-certification ou organisme certificateur
externe.
 Trop de souplesse
Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière
de sécurité nationale et restriction des pouvoirs des ARN)
Privacy shield depuis le 1er août 2016
Contesté devant CJUE
www.earlegal.beGroupe Larcier / Lexing
Nouveautés pour les transferts ?
GDPR : Critères plus nombreux et plus précis que Directive pour
reconnaitre le niveau de protection adéquat
Autorité nationale doit :
surveiller le déroulement effectif des transferts
vérifier que l'État tiers présente toujours un niveau de protection
adéquat
 possibilité pour la Commission d’amender ou suspendre sa
décision,
possibilité de retirer la décision
www.earlegal.beGroupe Larcier / Lexing
Quid si cloud provider aux USA ou en Inde ?
Solution : clauses contractuelles spécifiques
clauses types :
RT: Décision de la Commission du 15 juin 2001
ST: Décision de la Commission du 5 février 2010
ou non : Les entreprises peuvent proposer leurs propres clauses
et soumettre à l’Autorité nationale de contrôle
Dérogations : notamment consentement de la personne
concernée et nécessaire à l’exécution d’un contrat
Groupe Larcier / Lexing www.earlegal.be
Chaque société de mon groupe
doit-elle conclure une convention vie privée pour
communiquer des données
à une autre société du groupe ?
www.earlegal.beGroupe Larcier / Lexing
NON
Solution : Règles d’entreprise
contraignantes
(Binding Corporate Rules = BCR)
Règles d’entreprise contraignantes
www.earlegal.beGroupe Larcier / Lexing
Règles d’entreprise contraignantes
A l'intérieur d'un groupement d'entreprises ou d'un groupe
d'entreprises engagées dans une activité économique conjointe
Multinationale n'introduit qu'une seule demande auprès d'une
Autorité de contrôle "chef de file", examinée par 28 autorités de manière
concertée
En Belgique : après approbation de la Commission : arrêté royal
Ne couvre pas les flux de
données en dehors de ce groupe
www.earlegal.beGroupe Larcier / Lexing
BCR dans le Règlement
Améliorations pour les entreprises ?
disposition spécifique (démontre l'importance accordée aux
multinationales)
pratiques administratives déjà établies (désignation de l'autorité chef de
file, procédure coordonnée, critères,…) sont reprises directement dans
le règlement
travail des Autorités Nationales devrait être plus efficace et plus rapide
Améliorations pour les citoyens ?
renforcement des critères à satisfaire pour obtenir l’approbation des BCR
surveillance régulière du respect des critères
possibilité de remettre en question les décisions prises (mais volonté
politique de le faire concrètement ?)
www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
Visent tous deux les TPE et PME :
Code de conduite = équivalent "allégé" des BCR
Projet par les associations regroupant les
responsables de traitement ou les sous-traitants
Soumis à l'Autorité de Contrôle compétente
Émet un avis sur l'adéquation du code avec la
législation et le publie si positif.
Pourra couvrir plusieurs États Membres
// Privacy shield: repose sur auto-régulation
autorisation préalable reste nécessaire pour chaque transfert
www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
Certification
Contrôle par autorité nationale
ou par un organisme de certification
(agréé par l'Autorité de Contrôle - indépendance – expertise)
Rassurant pour le RT et pour le public
MAIS ne réduit pas :
la responsabilité du RT ni du ST
le pouvoir de contrôle et de sanction des autorités
nationales
Groupe Larcier / Lexing www.earlegal.be
3.
Quelles sont les nouvelles obligations de ma société
en qualité de responsable du traitement ?
32
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Société NEWTIC - Secteur informatique
500 employés
Base de données de 5.000 clients.
Développe un logiciel pour la gestion de ses propres clients
(CRM)
Clients de NEWTIC = vous ?
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Protection des données par défaut
Inverser la démarche actuelle
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Se préoccuper de la protection des données dès la conception des
technologies et des pratiques de l’entreprise
Compte tenu des techniques les plus récentes et des coûts
Minimiser et pseudonymiser autant que possible
Protection des données par défaut
Par défaut, seules les données à caractère personnel nécessaires à
chaque finalité spécifique sont traitées
L’utilisateur peut changer les réglages par la suite
Protection des données dès la conception
Protection des données par défaut
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
Analyse de l’impact du traitement projeté sur la protection des données
Interne – par le RT / app. immédiate
Contenu : description des opérations de traitement
évaluation des risques
mesures envisagées pour limiter les risques
mécanismes pour démontrer la “compliance”
Éventuellement : code de conduite appliqué
avis du délégué à la protection des données
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
A chaque fois ? NON – requis si :
Si le traitement est susceptible de créer un risque élevé pour les personnes
concernées en particulier par le recours à de nouvelles technologies
(déterminé par le RT à la suite d’une analyse d’impact…)
Profilage sur base duquel sont basées des décisions qui ont
des effets sur la personne concernées
Traitement à grande échelle de données sensibles
origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques,
affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie
sexuelle, condamnations pénales
Surveillance à grande échelle de zones accessibles au public
Cas que détermine l’autorité nationale : risque
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de sécurité)
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
 examiné plus loin
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
(Lignes directrices WP 243 du G 29)
Pourquoi ?
associé en temps utile à toutes les questions relatives à la protection des
données à caractère personnel.
informer et conseiller le responsable du traitement
Formation du personnel
Vérifier l’exécution de l’analyse d’impact
Contrôler la conformité avec le Règlement
Personne de contact pour les personnes concernées et pour l’autorité
nationale
Quelle charge de travail ?
www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
Quand ? Obligatoire si traitement :
par une autorité publique ou un organisme public, à l’exception des
tribunaux
qui exige un suivi régulier et systématique à grande échelle des personnes
concernées
de données sensibles à grande échelle
MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque
(abandon du critère des 5.000 personnes concernées)
Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué
Expert en droit de la protection des données
Absence de conflit d’intérêt
Protégé contre licenciement en raison avis qu’il émet
secret professionnel ou obligation de confidentialité
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche
de sécurité  examiné infra)
Groupe Larcier / Lexing www.earlegal.be
4.
Quelles sont les nouvelles obligations
de ma société en qualité de sous-traitant ?
46
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC décide de développer logiciel CRM pour la vente
Configure le logiciel
Assure la maintenance
Devient sous-traitant
www.earlegal.beGroupe Larcier / Lexing
Droit applicable aux mesures de sécurité
du sous-traitant ?
Directive : Les mesures de sécurité liant le ST sont celles de son
établissement
Possibilité d’un droit pour le traitement et un autre
pour les mesures de sécurité
Règlement : même législation
www.earlegal.beGroupe Larcier / Lexing
Obligations du sous-traitant
dans le nouveau règlement ?
Obligation de conseil v-à-v du client quant au respect
de la vie privée
+ nouvelles obligations propres de NEWTIC en vertu
GDPR
mêmes sanctions que celles applicables au responsable
du traitement
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations des sous-traitants
mentions obligatoires dans le contrat de sous-traitance
+
privacy by design
documentation adéquate
mesures techniques et organisationnelles appropriées afin de
garantir un niveau de sécurité adapté
effectuer les analyses d’impact
désigner un délégué à la protection des données
satisfaire aux exigences requises en cas de transfert de données
vers des pays tiers
coopérer avec les autorités de contrôle nationales
Groupe Larcier / Lexing www.earlegal.be
5.
Quelles sont les évolutions relatives aux droits des
personnes concernées ?
51
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Ados pris en photo par NEWTIC
pour un concours
puis les images sont utilisées dans une publicité
sociale et virale
www.earlegal.beGroupe Larcier / Lexing
Consentement
Directive : explicite ou implicite
Règlement : explicite
acte positif, garantissant son caractère libre, spécifique, informé et
univoque.
sous une forme compréhensible et aisément accessible, en des termes clairs et
simples.
Distinguer question du consentement des autres questions.
Plus possible d’opter pour un consentement tacite ou passif
ou au moyen de cases cochées par défaut.
Vérifier les polices vie privée actuelles !
www.earlegal.beGroupe Larcier / Lexing
Consentement des enfants
Spécificité pour les services de la société de l’information
En particulier : à des fins de marketing
création de profils de personnalité ou d'utilisateur
collecte de données lors de l'utilisation de services fournis directement à
un enfant
En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut
descendre jusqu’à 13 ans)
le consentement n’est licite que si donné ou autorisé par une personne
exerçant l’autorité parentale.
Obligation pour le responsable du traitement de le vérifier compte tenu des
moyens technologiques dont il dispose.
+ en termes particulièrement clairs
www.earlegal.beGroupe Larcier / Lexing
« Droit à l’oubli » numérique
Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand :
données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légal
la personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ;
les données ont fait l’objet d’un traitement illicite ;
Données collectées dans le cadre de l’offre directe de service de la société de l’information à un
enfant de moins de 16 ans
Exceptions :
nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques)
obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique)
nécessaire à des fins de recherche scientifique et historique ou statistique
constatation, exercice ou défense de droits en justice.
+ mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées
identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées
www.earlegal.beGroupe Larcier / Lexing
Obligation de transparence et d’information
Obligation de faciliter l’exercice des droits de la personne
concernée
Obligation de répondre dans les meilleurs délais (au plus
tard dans le mois) à toute demande d’information
Ne peut refuser la demande d’une personne, à moins que
l’entreprise démontre ne pas être en mesure d’identifier la
personne.
www.earlegal.beGroupe Larcier / Lexing
Portabilité des données
Recevoir ses propres données
dans un format structuré, couramment utilisé et
lisible par une machine
pourra même obtenir, si techniquement possible, que
les données soient directement transmises à un
autre opérateur
(Lignes directrices WP 242 du G 29)
Groupe Larcier / Lexing www.earlegal.be
6.
Que faire en cas de brèche de sécurité ?
58
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC est victime d’une attaque de pirates
informatiques
et soupçonne que des tiers aient mis la main sur des
données privées de ses clients
Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012),
la Défense (500 collaborateurs en janvier 2013),
Jobat (15.000 personne en janvier 2013),
Belgacom (septembre 2013),
Ashley Madison
………….
www.earlegal.beGroupe Larcier / Lexing
Obligations actuelles
en cas de brèche de sécurité ?
A. Pour les entreprises qui fournissent des services
de communication électroniques:
Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:
- Notification à l’IBPT dans les 24 H du constat de la violation
- Avertir le client « sans retard injustifié » si risque d’affectation de ses données
à caractère personnel ou sa vie privée
Rem:
- Personnes concernées = PP et PM
B. Pour les autres entreprises :
Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de
sécurité à entreprendre pour éviter la violation des données
www.earlegal.beGroupe Larcier / Lexing
Notification à l’autorité de contrôle
Communication à la personne concernée
Quand ? Si risque élevé
PAS SI le RT :
A pris mesures préalables de protection (technologiques et organisationnelles)
ex : chiffrement
A pris mesures après la brèche pour s’assurer que le risque ne peut plus se
réaliser
Règlement : Quelles obligations
en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
Notification uniquement à l’autorité de contrôle SI:
Effort disproportionné de prévenir toutes les personnes concernées
Communication publique ou mesure similaire
Affecterait substantiellement l’intérêt public
Contenu de la notification:
Nature de la brèche (catégories and nombre de traitements et personnes
concernées)
Données de contact du délégué
Conséquences de la brèche
Mesures prises/envisagées
Règlement : Quelles obligations
en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
Règlement : Quelles obligations
en cas de brèche de sécurité ?
Délai pour la notification :
À l’autorité de contrôle : dans les plus brefs délais (max.
72 h)
À la personne concernée : dans les plus brefs délais
Par le sous-traitant à son client : dans les plus brefs délais
www.earlegal.beGroupe Larcier / Lexing
Intérêt de se préparer à la gestion des fuites de
données
 Délais très courts (en heures)!
Mieux vaut savoir que faire
 Preuve de rigueur et d’une véritable politique « vie
privée » vis-à-vis de la CPVP
 limitation des amendes
 Preuve de bonne foi, volonté d’une relation de
confiance avec le client, image positive
Groupe Larcier / Lexing www.earlegal.be
7.
Quelles relations
avec la Commission Vie privée ?
Avant / Pendant le traitement
65
www.earlegal.beGroupe Larcier / Lexing
Avant le traitement :
Nouvelles obligations pour le RT:
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
www.earlegal.beGroupe Larcier / Lexing
Consultation préalable de la CPVP
Quand ? Si l’analyse d’impact > traitement est susceptible de
créer un “risqué élevé”
(même si le RT prévoit des mesures pour limiter le risque)
Quoi ? AVIS rendu dans 8 semaines
(14 semaines si complexe)
PLUS d’autorisation
PLUS de déclaration
CPVP pourra utiliser ses moyens d’investigation
et émettre des avertissements
www.earlegal.beGroupe Larcier / Lexing
Directive :
L’art. 4 peut rendre applicable plusieurs droits et
donc plusieurs autorités nationales de contrôle
Multiples démarches
Multiples législations
Différentes appréciations et délais de
traitement
Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?
www.earlegal.beGroupe Larcier / Lexing
Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?
Règlement :
(Lignes directrices WP 244 du G 29)
autorité de contrôle de l’établissement principa
= autorité de contrôle chef de file
grande avancée pour les entreprises :
1 législation (règlement)
1 autorité de contrôle chef de file
www.earlegal.beGroupe Larcier / Lexing
Autorité chef de file
autorité de contrôle de l’établissement principal
= autorité de contrôle chef de file
(“One-Stop-Shop”)
Avancée pour les entreprises,
Mais désavantage pour les personnes concernées
(plainte à l’étranger ?)
 Compromis: coopération des 2 aut. nat.
 parvenir à un consensus
 positif pour les entreprises
www.earlegal.beGroupe Larcier / Lexing
Pendant le traitement :
Contrôles
Sanctions
Pendant le traitement :
www.earlegal.beGroupe Larcier / Lexing
À tout moment !
Plaintes
En cas de fuite de données
Certains secteurs dans le viseur
Contrôles
www.earlegal.beGroupe Larcier / Lexing
Contrôles
Demande de renseignements
Accès aux locaux
Accès à la documentation
Pouvoir prouver la compliance
Nécessité de se préparer !!
www.earlegal.beGroupe Larcier / Lexing
Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
 Justifie des investissements importants
Groupe Larcier / Lexing www.earlegal.be
8.
Quelle est la marche à suivre pour mettre votre
entreprise en conformité avec le règlement ?
75
www.earlegal.beGroupe Larcier / Lexing
Ressources nécessaires ?
Prêt pour privacy by design?
Prêt pour démontrer la compliance?
Plan d’action en cas de brèche de sécurité ?
76
www.earlegal.beGroupe Larcier / Lexing
État des lieux
Identification :
des traitements actuellement réalisés,
de la durée de conservation des données,
de la façon dont la documentation est conservée,
des preuves de consentement obtenues,
des mesures de sécurités actuellement en vigueur,
des tiers à qui les données ont été transmises
Analyse des incidents qui ont déjà eu lieu et de la façon dont ils
ont été gérés.
www.earlegal.beGroupe Larcier / Lexing
Identification des enjeux par le service
juridique
Obligation/opportunité de désigner un Data Protection Officer +
procédure de recrutement
Activités dans différents EM, rattacher certaines activités à un pays ?
Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de
limiter ses obligations
Détermination de l’ampleur du travail à réaliser (nombre d’heures)
Détermination des risques chiffrés (amendes/réputation)
Détermination des priorités et des traitements stratégiques
(données de tiers/des employés ; anciens/nouveaux produits)
Détermination du pourcentage de risque acceptable pour votre entreprise.
www.earlegal.beGroupe Larcier / Lexing
Stratégie
Mise au point de la stratégie
au sein du service juridique
Puis défense devant le comité de direction
www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Mise en place de procédures types :
Nouveaux traitements:
Analyse d’impact sur la vie privée
Demande d’avis préalable à la Commission Vie Privée
Archivage de la documentation (principe d’accountability)
Gestion des « incidents » :
En cas de retrait de consentement (en interne et transmission de la requête aux tiers
auxquels les données ont été transmises).
« portabilité » des données (transmission des données, éventuellement à un autre
opérateur, dans un format structuré communément utilisé),
en cas de brèche de sécurité (avec conservation des traces documentaires).
www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Adaptation :
des polices vie privées existantes
(renforcement du consentement/meilleure lisibilité)
des contrats existants.
Limitation des risques dus aux brèches de sécurité :
anonymisation/chiffrement des données si possible,
 éviter de devoir notifier une fuite de données
 éviter la publicité que cela entraîne
rapidité de réaction, grâce à une procédure
www.earlegal.beGroupe Larcier / Lexing
Mise en œuvre progressive
Formation du personnel :
 à la nouvelle mentalité privacy by design/privacy by default
 au délai de 8 semaines nécessaire pour avis préalable
 aux procédures mises en place.
Application de la procédure d’analyse d’impact aux traitements existants.
Amélioration de la tenue du registre des activités de traitement et des automatismes à
adopter.
Effacement des données dont la conservation ne peut plus être justifiée et mise en
œuvre d’un processus automatisé d’effacement des données pour l’avenir.
www.earlegal.beGroupe Larcier / Lexing
Perfectionnement
Simulation d’une brèche de sécurité
Simulation d’une « descente » de la Commission Vie Privée.
Communication publique quant aux efforts mis en place par
l’entreprise.
www.earlegal.beGroupe Larcier / Lexing
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise ?
COMPLIANCE =
BENEFICES d’un point de vue :
 gestion des risques
 réputation
 économique
www.earlegal.beGroupe Larcier / Lexing
Pourquoi anticiper les futures règles?

Contenu connexe

Tendances

Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRArismore
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018aucompte xavier
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travailfoxshare
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentationgnizon
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesTerface
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentJean-Michel Tyszka
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?Lexing - Belgium
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Claranet
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...Lexing - Belgium
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléEverteam
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesNet Design
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Niji
 

Tendances (20)

Les impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPRLes impacts du nouveau règlement européen GDPR
Les impacts du nouveau règlement européen GDPR
 
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
Présentation RGPD pour les PME du  reseaux-business.com de mars 2018Présentation RGPD pour les PME du  reseaux-business.com de mars 2018
Présentation RGPD pour les PME du reseaux-business.com de mars 2018
 
RGPD
RGPDRGPD
RGPD
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Rgpd presentation
Rgpd presentationRgpd presentation
Rgpd presentation
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Le GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - DocumentLe GDPR (General Data Protection Regulation) dans le détail - Document
Le GDPR (General Data Protection Regulation) dans le détail - Document
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnelles
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
earlegal #9 - Comment mettre en place un mécanisme d’alerte interne ?
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...Gestion des données personnelles : Comment Claranet participe à votre conform...
Gestion des données personnelles : Comment Claranet participe à votre conform...
 
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
earlegal #6 - Caméras et cybersurveillance du travailleur : quelles règles re...
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
 
Webinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outilléWebinar | Le RGPD en pratique et bien outillé
Webinar | Le RGPD en pratique et bien outillé
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
Work'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & AntaesWork'n Coffee : Protection des données personnelles by ND & Antaes
Work'n Coffee : Protection des données personnelles by ND & Antaes
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 

En vedette

earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...
earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...
earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...Lexing - Belgium
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
IDD : Insurance Distribution Directive
 IDD : Insurance Distribution Directive IDD : Insurance Distribution Directive
IDD : Insurance Distribution DirectiveStéphane Savalle
 
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...Alban Jarry
 
Agile Data Governance Tutorial
Agile Data Governance TutorialAgile Data Governance Tutorial
Agile Data Governance TutorialTami Flowers
 
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...Alban Jarry
 
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...YANG Ruolin
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Plaquette cours spéciaux 149 (1)
Plaquette cours spéciaux 149 (1)Plaquette cours spéciaux 149 (1)
Plaquette cours spéciaux 149 (1)Lidyasam
 
Programme mélod’histoires 2014 dans le val d’amour
Programme mélod’histoires 2014 dans le val d’amourProgramme mélod’histoires 2014 dans le val d’amour
Programme mélod’histoires 2014 dans le val d’amourMediavaldamour
 

En vedette (16)

Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnelles
 
earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...
earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...
earlegal #3 - « Open innovation » : collaborez pour innover et conquérir de n...
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0
 
IDD : Insurance Distribution Directive
 IDD : Insurance Distribution Directive IDD : Insurance Distribution Directive
IDD : Insurance Distribution Directive
 
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...
Rencontre Ailancy - AIFMD - Focus sur la production de reporting - 26 novembr...
 
Agile Data Governance Tutorial
Agile Data Governance TutorialAgile Data Governance Tutorial
Agile Data Governance Tutorial
 
Presentation gdpr ahti
Presentation gdpr ahtiPresentation gdpr ahti
Presentation gdpr ahti
 
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...
Conference @ConixConsulting sur la gouvernance des risques et la déclinaison ...
 
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...
Guide Open Innovation : Grands Groupes & Start-up 30 Solutions Concrètes (EBG...
 
EFE seminar
EFE seminarEFE seminar
EFE seminar
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Plaquette cours spéciaux 149 (1)
Plaquette cours spéciaux 149 (1)Plaquette cours spéciaux 149 (1)
Plaquette cours spéciaux 149 (1)
 
Equipe particulière-agileFrance
Equipe particulière-agileFranceEquipe particulière-agileFrance
Equipe particulière-agileFrance
 
Programme mélod’histoires 2014 dans le val d’amour
Programme mélod’histoires 2014 dans le val d’amourProgramme mélod’histoires 2014 dans le val d’amour
Programme mélod’histoires 2014 dans le val d’amour
 
Droles De Maisons
Droles De MaisonsDroles De Maisons
Droles De Maisons
 

Similaire à earlegal #3 - Vers un nouveau règlement sur la protection des données

2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?Bénédicte Losdyck
 
Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Philippe & Partners
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique FrenchTechCentral
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017Pascal Fouque
 
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?Lexing - Belgium
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Pramana
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt Jeanny LUCAS
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt Jeanny LUCAS
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE pptMartin Dupuy
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...Lexing - Belgium
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPDNuageo
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPRMartin Dupuy
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données PersonnellesSoft Computing
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rougeCyril Marsaud
 

Similaire à earlegal #3 - Vers un nouveau règlement sur la protection des données (20)

Mise en conformité rgpd
Mise en conformité rgpdMise en conformité rgpd
Mise en conformité rgpd
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?Comment se préparer à l'entrée en vigueur du GDPR?
Comment se préparer à l'entrée en vigueur du GDPR?
 
Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...Comment anticiper la future règlementation relative à la protection de donnée...
Comment anticiper la future règlementation relative à la protection de donnée...
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017
 
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?
earlegal #8 Télétravail et solutions Cloud – Quels points d’attention ?
 
Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?Comment se mettre en conformité avec le GDPR ?
Comment se mettre en conformité avec le GDPR ?
 
Les points clés du GDPR ppt
Les points clés du GDPR ppt Les points clés du GDPR ppt
Les points clés du GDPR ppt
 
Les points clés du gdpr ppt
Les points clés du gdpr ppt Les points clés du gdpr ppt
Les points clés du gdpr ppt
 
La solution externalisée pour les TPE ppt
La solution externalisée pour les TPE  pptLa solution externalisée pour les TPE  ppt
La solution externalisée pour les TPE ppt
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Matinée Micropole GDPR
Matinée Micropole GDPRMatinée Micropole GDPR
Matinée Micropole GDPR
 
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
earlegal #6 - Comment bien réagir en cas de violation de données (GDPR, NIS, ...
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Les points clés du GDPR
Les points clés du GDPRLes points clés du GDPR
Les points clés du GDPR
 
27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles27/04/17 Séminaire Données Personnelles
27/04/17 Séminaire Données Personnelles
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 

Plus de Lexing - Belgium

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?Lexing - Belgium
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Lexing - Belgium
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...Lexing - Belgium
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?Lexing - Belgium
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...Lexing - Belgium
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeLexing - Belgium
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?Lexing - Belgium
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?Lexing - Belgium
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?Lexing - Belgium
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?Lexing - Belgium
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...Lexing - Belgium
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Lexing - Belgium
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...Lexing - Belgium
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxLexing - Belgium
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...Lexing - Belgium
 

Plus de Lexing - Belgium (20)

earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
earlegal #11 - IA en plein essor : réinventer le droit pour un cadre adapté ?
 
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
Earlegal #11 - BIM et Smartbuilding : comment concilier les briques et les cl...
 
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
earlegal #11 - Le droit de la distribution et les coopérations entre entrepri...
 
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
earlegal #11 - Imprévus sur chantier en MP - comment s'adapter ?
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 -  Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
 
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
earlegal #11 - Innover dans l'immobilier : comment transformer un immeuble en...
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?earlegal – Comment tirer parti des règlements DSA/DMA ?
earlegal – Comment tirer parti des règlements DSA/DMA ?
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
earlegal#10 - Difficultés financières d’un sous-traitant, quelles précautions ?
 
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?earlegal#10 - Recours à l'IA  : comment anticiper le futur cadre juridique ?
earlegal#10 - Recours à l'IA : comment anticiper le futur cadre juridique ?
 
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
earlegal#10 - Infractions urbanistiques en RW - Comment en sortir ?
 
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
earlegal#10 - Comment se préparer à un contrôle de l'Autorité de protection d...
 
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
Earlegal #10 - nouveau Code civil - impact en droit de la construction - 16 d...
 
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
earlegal#10 - Open Source : Quelles sont les bonnes pratiques ? - 18 novembre...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...Earlegal #10 - attribution de marchés publics - 4 questions  - 16 septembre 2...
Earlegal #10 - attribution de marchés publics - 4 questions - 16 septembre 2...
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
earlegal #9 - « Tout augmente ma bonne dame ! » - Comment adapter les prix da...
 

earlegal #3 - Vers un nouveau règlement sur la protection des données

  • 1. Vers un nouveau règlement sur la protection des données Jean-François HENROTTE Fanny COTON
  • 2. www.earlegal.beGroupe Larcier / Lexing Où en est-on ? Aujourd’hui Directive 95/46 – Loi du 8/12/1992 Demain : Règlement général 2016/679 du 27/04/16 sur la protection des données (GDPR) applicable le 25/05/18 2
  • 3. www.earlegal.beGroupe Larcier / Lexing Principe d’« accountability » mettre en oeuvre les mesures techniques et organisationnelles appropriées + les actualiser si nécessaire ACCOUNTABILITY (Article 24.1): Etre en mesure de démontrer que l’on respecte le règlement TRANSPARENCE MODIFIER LES PRATIQUES ACTUELLES 3
  • 4. www.earlegal.beGroupe Larcier / Lexing Sanctions Amendes administratives infligées par l’autorité de contrôle nationale Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent  Justifie des investissements importants 4
  • 5. www.earlegal.beGroupe Larcier / Lexing Programme Le siège de ma société est situé en dehors de l’UE, suis-je impacté par le règlement ? Puis-je héberger des données à caractère personnel hors de l’Union européenne ? Quelles sont les nouvelles obligations de ma société en tant que responsable du traitement? Quelles sont les nouvelles obligations de ma société en tant que sous-traitant? 5
  • 6. www.earlegal.beGroupe Larcier / Lexing Programme Quelles sont les évolutions relatives aux droits des personnes concernées ? Que faire en cas de brèche de sécurité? Quelles relations avec la Commission Vie privée ? Quelle est la marche à suivre pour mettre mon entreprise en conformité avec le règlement ? 6
  • 7. Groupe Larcier / Lexing www.earlegal.be 1. Le siège de ma société est hors de l’UE, suis-je impacté par le nouveau règlement ? 7
  • 8. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Une société du Delaware – NewTIC - serveurs communs dans le Colorado succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg, scanne les communications des employés pour déceler n° de carte de crédit de ses clients européens et américains elle veut traiter les résultats à Denver et à défaut, en Italie
  • 9. www.earlegal.beGroupe Larcier / Lexing Droit applicable au traitement selon la directive Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002] De quel traitement s’agit-il ? Qui est responsable de ce traitement ? Le responsable est-il établi sur le territoire de l’état membre ? Cet établissement est-il pertinent pour le traitement ? 9
  • 10. www.earlegal.beGroupe Larcier / Lexing Droit applicable au traitement selon la directive Établissement du RT sur le territoire d’un EM Siège? PJ? Serveur? Dans le cadre des activités Approche fonctionnelle ou économique G29, CJUE Google Spain 10
  • 11. www.earlegal.beGroupe Larcier / Lexing Droit applicable au traitement selon la directive 11
  • 12. www.earlegal.beGroupe Larcier / Lexing Champ d’application plus large Directive : Établissement du RT sur le territoire d’un EM et traitement dans le cadre des activités de l’Et. recours à des moyens sur 1 EM Règlement : s’appliquera également aux traitements effectués par des entreprises situées hors de l’Union européenne, si elles offrent leurs produits et services aux citoyens de l’UE ou observent leur comportement.
  • 13. www.earlegal.beGroupe Larcier / Lexing Droit applicable au traitement selon le règlement Art. 3.2 a) Traitement de données de personnes ayant leur résidence sur le territoire l'UE, par un RP qui n'est pas établi dans l'Union, lorsque les activités de traitement sont : - liées à l'offre de biens ou de services à ces personnes concernées dans l'Union 13
  • 14. www.earlegal.beGroupe Larcier / Lexing Droit applicable au traitement selon le règlement Art. 3.2 b) – liées au suivi du comportement des personnes concernées si ce comportement a lieu dans l’UE techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. (cons. 24) – Cookies, javascript mais aussi Fb 14
  • 15. www.earlegal.beGroupe Larcier / Lexing Représentant dans l’Union Art. 27 Un représentant doit être mandaté par le RT à traiter en plus ou à la place du RT toutes les questions liées au traitement des données personnelles par les autorités de contrôle et les personnes concernées 15
  • 16. Groupe Larcier / Lexing www.earlegal.be 2. Puis-je héberger des données à caractère personnel hors de l’Union européenne? 16
  • 17. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Une société du Delaware – NewTIC - serveurs communs dans le Colorado 500 employés succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg, Développe un logiciel pour la gestion de ses 5.000 clients (CRM) elle veut traiter les résultats à Denver et à défaut, en Italie
  • 18. www.earlegal.beGroupe Larcier / Lexing Transfert Transfert de données = traitement de données en tant que tel Respect : • des règles applicables à tout traitement de données • des règles encadrant le transfert Principe : interdiction des transferts de données vers des pays n'offrant pas un niveau de protection adéquat
  • 19. www.earlegal.beGroupe Larcier / Lexing Transfert au sein de l’UE Directive : régime « équivalent » au sein des 28 États membres Au sein de l’UE : autorisé de la même manière qu’un transfert au sein d’un même État Pas d’autorisation à solliciter Déterminer le droit applicable à chaque traitement  OK pour l’Italie
  • 20. Groupe Larcier / Lexing www.earlegal.be Puis-je héberger mon site web et ma base de données clients dans un cloud aux USA?
  • 21. www.earlegal.beGroupe Larcier / Lexing Transfert hors de l’UE Seulement si le pays en question assure un niveau de protection adéquat. Ok pour transfert de données par la société aux USA ?
  • 22. www.earlegal.beGroupe Larcier / Lexing Niveau de protection adéquat : quels pays ? Liste blanche de la Commission: Norvège, Liechtenstein, Islande, Suisse, Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act" et pour les données relatives aux passagers aériens), Andorre, Argentine, Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les données relatives aux passagers aériens), Israël, Nouvelle- Zélande et Uruguay Législation des États-Unis n’offre pas le niveau de protection adéquat
  • 23. www.earlegal.beGroupe Larcier / Lexing Niveau de protection adéquat : Safe Harbour ? Pour les États-Unis : ok si le destinataire des données aux États-Unis a adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour Principles » (ainsi que pour les données relatives aux passagers aériens) MAIS : Autorégulation : entreprises déclarent qu'elles respectent les principes du «Safe Harbour» et sont inscrites dans un registre du Département américain du Commerce. Chaque année: auto-certification ou organisme certificateur externe.  Trop de souplesse Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière de sécurité nationale et restriction des pouvoirs des ARN) Privacy shield depuis le 1er août 2016 Contesté devant CJUE
  • 24. www.earlegal.beGroupe Larcier / Lexing Nouveautés pour les transferts ? GDPR : Critères plus nombreux et plus précis que Directive pour reconnaitre le niveau de protection adéquat Autorité nationale doit : surveiller le déroulement effectif des transferts vérifier que l'État tiers présente toujours un niveau de protection adéquat  possibilité pour la Commission d’amender ou suspendre sa décision, possibilité de retirer la décision
  • 25. www.earlegal.beGroupe Larcier / Lexing Quid si cloud provider aux USA ou en Inde ? Solution : clauses contractuelles spécifiques clauses types : RT: Décision de la Commission du 15 juin 2001 ST: Décision de la Commission du 5 février 2010 ou non : Les entreprises peuvent proposer leurs propres clauses et soumettre à l’Autorité nationale de contrôle Dérogations : notamment consentement de la personne concernée et nécessaire à l’exécution d’un contrat
  • 26. Groupe Larcier / Lexing www.earlegal.be Chaque société de mon groupe doit-elle conclure une convention vie privée pour communiquer des données à une autre société du groupe ?
  • 27. www.earlegal.beGroupe Larcier / Lexing NON Solution : Règles d’entreprise contraignantes (Binding Corporate Rules = BCR) Règles d’entreprise contraignantes
  • 28. www.earlegal.beGroupe Larcier / Lexing Règles d’entreprise contraignantes A l'intérieur d'un groupement d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe Multinationale n'introduit qu'une seule demande auprès d'une Autorité de contrôle "chef de file", examinée par 28 autorités de manière concertée En Belgique : après approbation de la Commission : arrêté royal Ne couvre pas les flux de données en dehors de ce groupe
  • 29. www.earlegal.beGroupe Larcier / Lexing BCR dans le Règlement Améliorations pour les entreprises ? disposition spécifique (démontre l'importance accordée aux multinationales) pratiques administratives déjà établies (désignation de l'autorité chef de file, procédure coordonnée, critères,…) sont reprises directement dans le règlement travail des Autorités Nationales devrait être plus efficace et plus rapide Améliorations pour les citoyens ? renforcement des critères à satisfaire pour obtenir l’approbation des BCR surveillance régulière du respect des critères possibilité de remettre en question les décisions prises (mais volonté politique de le faire concrètement ?)
  • 30. www.earlegal.beGroupe Larcier / Lexing Codes de conduite et certifications Visent tous deux les TPE et PME : Code de conduite = équivalent "allégé" des BCR Projet par les associations regroupant les responsables de traitement ou les sous-traitants Soumis à l'Autorité de Contrôle compétente Émet un avis sur l'adéquation du code avec la législation et le publie si positif. Pourra couvrir plusieurs États Membres // Privacy shield: repose sur auto-régulation autorisation préalable reste nécessaire pour chaque transfert
  • 31. www.earlegal.beGroupe Larcier / Lexing Codes de conduite et certifications Certification Contrôle par autorité nationale ou par un organisme de certification (agréé par l'Autorité de Contrôle - indépendance – expertise) Rassurant pour le RT et pour le public MAIS ne réduit pas : la responsabilité du RT ni du ST le pouvoir de contrôle et de sanction des autorités nationales
  • 32. Groupe Larcier / Lexing www.earlegal.be 3. Quelles sont les nouvelles obligations de ma société en qualité de responsable du traitement ? 32
  • 33. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Société NEWTIC - Secteur informatique 500 employés Base de données de 5.000 clients. Développe un logiciel pour la gestion de ses propres clients (CRM) Clients de NEWTIC = vous ?
  • 34. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • (Consultation préalable de la CPVP) • Tenue d’un registre des traitements (interne) • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité)
  • 35. www.earlegal.beGroupe Larcier / Lexing Protection des données dès la conception Protection des données par défaut Inverser la démarche actuelle
  • 36. www.earlegal.beGroupe Larcier / Lexing Protection des données dès la conception Se préoccuper de la protection des données dès la conception des technologies et des pratiques de l’entreprise Compte tenu des techniques les plus récentes et des coûts Minimiser et pseudonymiser autant que possible Protection des données par défaut Par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique sont traitées L’utilisateur peut changer les réglages par la suite Protection des données dès la conception Protection des données par défaut
  • 37. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • (Consultation préalable de la CPVP) • Tenue d’un registre des traitements (interne) • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité)
  • 38. www.earlegal.beGroupe Larcier / Lexing Analyse d’impact Analyse de l’impact du traitement projeté sur la protection des données Interne – par le RT / app. immédiate Contenu : description des opérations de traitement évaluation des risques mesures envisagées pour limiter les risques mécanismes pour démontrer la “compliance” Éventuellement : code de conduite appliqué avis du délégué à la protection des données
  • 39. www.earlegal.beGroupe Larcier / Lexing Analyse d’impact A chaque fois ? NON – requis si : Si le traitement est susceptible de créer un risque élevé pour les personnes concernées en particulier par le recours à de nouvelles technologies (déterminé par le RT à la suite d’une analyse d’impact…) Profilage sur base duquel sont basées des décisions qui ont des effets sur la personne concernées Traitement à grande échelle de données sensibles origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques, affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie sexuelle, condamnations pénales Surveillance à grande échelle de zones accessibles au public Cas que détermine l’autorité nationale : risque
  • 40. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • (Consultation préalable de la CPVP) • Tenue d’un registre des traitements (interne) • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité)
  • 41. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • Consultation préalable de la CPVP • Tenue d’un registre des traitements (interne)  examiné plus loin • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité)
  • 42. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • Consultation préalable de la CPVP • Tenue d’un registre des traitements (interne) • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité)
  • 43. www.earlegal.beGroupe Larcier / Lexing Délégué à la protection des données (Lignes directrices WP 243 du G 29) Pourquoi ? associé en temps utile à toutes les questions relatives à la protection des données à caractère personnel. informer et conseiller le responsable du traitement Formation du personnel Vérifier l’exécution de l’analyse d’impact Contrôler la conformité avec le Règlement Personne de contact pour les personnes concernées et pour l’autorité nationale Quelle charge de travail ?
  • 44. www.earlegal.beGroupe Larcier / Lexing Délégué à la protection des données Quand ? Obligatoire si traitement : par une autorité publique ou un organisme public, à l’exception des tribunaux qui exige un suivi régulier et systématique à grande échelle des personnes concernées de données sensibles à grande échelle MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque (abandon du critère des 5.000 personnes concernées) Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué Expert en droit de la protection des données Absence de conflit d’intérêt Protégé contre licenciement en raison avis qu’il émet secret professionnel ou obligation de confidentialité
  • 45. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations pour le RT • Privacy by design • Analyse d’impact • Consultation préalable de la CPVP • Tenue d’un registre des traitements (interne) • Délégué à la protection des données • (Notification/communication en cas de brèche de sécurité  examiné infra)
  • 46. Groupe Larcier / Lexing www.earlegal.be 4. Quelles sont les nouvelles obligations de ma société en qualité de sous-traitant ? 46
  • 47. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur NEWTIC décide de développer logiciel CRM pour la vente Configure le logiciel Assure la maintenance Devient sous-traitant
  • 48. www.earlegal.beGroupe Larcier / Lexing Droit applicable aux mesures de sécurité du sous-traitant ? Directive : Les mesures de sécurité liant le ST sont celles de son établissement Possibilité d’un droit pour le traitement et un autre pour les mesures de sécurité Règlement : même législation
  • 49. www.earlegal.beGroupe Larcier / Lexing Obligations du sous-traitant dans le nouveau règlement ? Obligation de conseil v-à-v du client quant au respect de la vie privée + nouvelles obligations propres de NEWTIC en vertu GDPR mêmes sanctions que celles applicables au responsable du traitement
  • 50. www.earlegal.beGroupe Larcier / Lexing Nouvelles obligations des sous-traitants mentions obligatoires dans le contrat de sous-traitance + privacy by design documentation adéquate mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté effectuer les analyses d’impact désigner un délégué à la protection des données satisfaire aux exigences requises en cas de transfert de données vers des pays tiers coopérer avec les autorités de contrôle nationales
  • 51. Groupe Larcier / Lexing www.earlegal.be 5. Quelles sont les évolutions relatives aux droits des personnes concernées ? 51
  • 52. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur Ados pris en photo par NEWTIC pour un concours puis les images sont utilisées dans une publicité sociale et virale
  • 53. www.earlegal.beGroupe Larcier / Lexing Consentement Directive : explicite ou implicite Règlement : explicite acte positif, garantissant son caractère libre, spécifique, informé et univoque. sous une forme compréhensible et aisément accessible, en des termes clairs et simples. Distinguer question du consentement des autres questions. Plus possible d’opter pour un consentement tacite ou passif ou au moyen de cases cochées par défaut. Vérifier les polices vie privée actuelles !
  • 54. www.earlegal.beGroupe Larcier / Lexing Consentement des enfants Spécificité pour les services de la société de l’information En particulier : à des fins de marketing création de profils de personnalité ou d'utilisateur collecte de données lors de l'utilisation de services fournis directement à un enfant En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut descendre jusqu’à 13 ans) le consentement n’est licite que si donné ou autorisé par une personne exerçant l’autorité parentale. Obligation pour le responsable du traitement de le vérifier compte tenu des moyens technologiques dont il dispose. + en termes particulièrement clairs
  • 55. www.earlegal.beGroupe Larcier / Lexing « Droit à l’oubli » numérique Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand : données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légal la personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ; les données ont fait l’objet d’un traitement illicite ; Données collectées dans le cadre de l’offre directe de service de la société de l’information à un enfant de moins de 16 ans Exceptions : nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques) obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique) nécessaire à des fins de recherche scientifique et historique ou statistique constatation, exercice ou défense de droits en justice. + mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées
  • 56. www.earlegal.beGroupe Larcier / Lexing Obligation de transparence et d’information Obligation de faciliter l’exercice des droits de la personne concernée Obligation de répondre dans les meilleurs délais (au plus tard dans le mois) à toute demande d’information Ne peut refuser la demande d’une personne, à moins que l’entreprise démontre ne pas être en mesure d’identifier la personne.
  • 57. www.earlegal.beGroupe Larcier / Lexing Portabilité des données Recevoir ses propres données dans un format structuré, couramment utilisé et lisible par une machine pourra même obtenir, si techniquement possible, que les données soient directement transmises à un autre opérateur (Lignes directrices WP 242 du G 29)
  • 58. Groupe Larcier / Lexing www.earlegal.be 6. Que faire en cas de brèche de sécurité ? 58
  • 59. www.earlegal.beGroupe Larcier / Lexing Notre fil conducteur NEWTIC est victime d’une attaque de pirates informatiques et soupçonne que des tiers aient mis la main sur des données privées de ses clients Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012), la Défense (500 collaborateurs en janvier 2013), Jobat (15.000 personne en janvier 2013), Belgacom (septembre 2013), Ashley Madison ………….
  • 60. www.earlegal.beGroupe Larcier / Lexing Obligations actuelles en cas de brèche de sécurité ? A. Pour les entreprises qui fournissent des services de communication électroniques: Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013: - Notification à l’IBPT dans les 24 H du constat de la violation - Avertir le client « sans retard injustifié » si risque d’affectation de ses données à caractère personnel ou sa vie privée Rem: - Personnes concernées = PP et PM B. Pour les autres entreprises : Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de sécurité à entreprendre pour éviter la violation des données
  • 61. www.earlegal.beGroupe Larcier / Lexing Notification à l’autorité de contrôle Communication à la personne concernée Quand ? Si risque élevé PAS SI le RT : A pris mesures préalables de protection (technologiques et organisationnelles) ex : chiffrement A pris mesures après la brèche pour s’assurer que le risque ne peut plus se réaliser Règlement : Quelles obligations en cas de brèche de sécurité ?
  • 62. www.earlegal.beGroupe Larcier / Lexing Notification uniquement à l’autorité de contrôle SI: Effort disproportionné de prévenir toutes les personnes concernées Communication publique ou mesure similaire Affecterait substantiellement l’intérêt public Contenu de la notification: Nature de la brèche (catégories and nombre de traitements et personnes concernées) Données de contact du délégué Conséquences de la brèche Mesures prises/envisagées Règlement : Quelles obligations en cas de brèche de sécurité ?
  • 63. www.earlegal.beGroupe Larcier / Lexing Règlement : Quelles obligations en cas de brèche de sécurité ? Délai pour la notification : À l’autorité de contrôle : dans les plus brefs délais (max. 72 h) À la personne concernée : dans les plus brefs délais Par le sous-traitant à son client : dans les plus brefs délais
  • 64. www.earlegal.beGroupe Larcier / Lexing Intérêt de se préparer à la gestion des fuites de données  Délais très courts (en heures)! Mieux vaut savoir que faire  Preuve de rigueur et d’une véritable politique « vie privée » vis-à-vis de la CPVP  limitation des amendes  Preuve de bonne foi, volonté d’une relation de confiance avec le client, image positive
  • 65. Groupe Larcier / Lexing www.earlegal.be 7. Quelles relations avec la Commission Vie privée ? Avant / Pendant le traitement 65
  • 66. www.earlegal.beGroupe Larcier / Lexing Avant le traitement : Nouvelles obligations pour le RT: • Privacy by design • Analyse d’impact • Consultation préalable de la CPVP • Tenue d’un registre des traitements (interne)
  • 67. www.earlegal.beGroupe Larcier / Lexing Consultation préalable de la CPVP Quand ? Si l’analyse d’impact > traitement est susceptible de créer un “risqué élevé” (même si le RT prévoit des mesures pour limiter le risque) Quoi ? AVIS rendu dans 8 semaines (14 semaines si complexe) PLUS d’autorisation PLUS de déclaration CPVP pourra utiliser ses moyens d’investigation et émettre des avertissements
  • 68. www.earlegal.beGroupe Larcier / Lexing Directive : L’art. 4 peut rendre applicable plusieurs droits et donc plusieurs autorités nationales de contrôle Multiples démarches Multiples législations Différentes appréciations et délais de traitement Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ?
  • 69. www.earlegal.beGroupe Larcier / Lexing Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ? Règlement : (Lignes directrices WP 244 du G 29) autorité de contrôle de l’établissement principa = autorité de contrôle chef de file grande avancée pour les entreprises : 1 législation (règlement) 1 autorité de contrôle chef de file
  • 70. www.earlegal.beGroupe Larcier / Lexing Autorité chef de file autorité de contrôle de l’établissement principal = autorité de contrôle chef de file (“One-Stop-Shop”) Avancée pour les entreprises, Mais désavantage pour les personnes concernées (plainte à l’étranger ?)  Compromis: coopération des 2 aut. nat.  parvenir à un consensus  positif pour les entreprises
  • 71. www.earlegal.beGroupe Larcier / Lexing Pendant le traitement : Contrôles Sanctions Pendant le traitement :
  • 72. www.earlegal.beGroupe Larcier / Lexing À tout moment ! Plaintes En cas de fuite de données Certains secteurs dans le viseur Contrôles
  • 73. www.earlegal.beGroupe Larcier / Lexing Contrôles Demande de renseignements Accès aux locaux Accès à la documentation Pouvoir prouver la compliance Nécessité de se préparer !!
  • 74. www.earlegal.beGroupe Larcier / Lexing Sanctions Amendes administratives infligées par l’autorité de contrôle nationale Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent  Justifie des investissements importants
  • 75. Groupe Larcier / Lexing www.earlegal.be 8. Quelle est la marche à suivre pour mettre votre entreprise en conformité avec le règlement ? 75
  • 76. www.earlegal.beGroupe Larcier / Lexing Ressources nécessaires ? Prêt pour privacy by design? Prêt pour démontrer la compliance? Plan d’action en cas de brèche de sécurité ? 76
  • 77. www.earlegal.beGroupe Larcier / Lexing État des lieux Identification : des traitements actuellement réalisés, de la durée de conservation des données, de la façon dont la documentation est conservée, des preuves de consentement obtenues, des mesures de sécurités actuellement en vigueur, des tiers à qui les données ont été transmises Analyse des incidents qui ont déjà eu lieu et de la façon dont ils ont été gérés.
  • 78. www.earlegal.beGroupe Larcier / Lexing Identification des enjeux par le service juridique Obligation/opportunité de désigner un Data Protection Officer + procédure de recrutement Activités dans différents EM, rattacher certaines activités à un pays ? Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de limiter ses obligations Détermination de l’ampleur du travail à réaliser (nombre d’heures) Détermination des risques chiffrés (amendes/réputation) Détermination des priorités et des traitements stratégiques (données de tiers/des employés ; anciens/nouveaux produits) Détermination du pourcentage de risque acceptable pour votre entreprise.
  • 79. www.earlegal.beGroupe Larcier / Lexing Stratégie Mise au point de la stratégie au sein du service juridique Puis défense devant le comité de direction
  • 80. www.earlegal.beGroupe Larcier / Lexing Préparation du cadre Mise en place de procédures types : Nouveaux traitements: Analyse d’impact sur la vie privée Demande d’avis préalable à la Commission Vie Privée Archivage de la documentation (principe d’accountability) Gestion des « incidents » : En cas de retrait de consentement (en interne et transmission de la requête aux tiers auxquels les données ont été transmises). « portabilité » des données (transmission des données, éventuellement à un autre opérateur, dans un format structuré communément utilisé), en cas de brèche de sécurité (avec conservation des traces documentaires).
  • 81. www.earlegal.beGroupe Larcier / Lexing Préparation du cadre Adaptation : des polices vie privées existantes (renforcement du consentement/meilleure lisibilité) des contrats existants. Limitation des risques dus aux brèches de sécurité : anonymisation/chiffrement des données si possible,  éviter de devoir notifier une fuite de données  éviter la publicité que cela entraîne rapidité de réaction, grâce à une procédure
  • 82. www.earlegal.beGroupe Larcier / Lexing Mise en œuvre progressive Formation du personnel :  à la nouvelle mentalité privacy by design/privacy by default  au délai de 8 semaines nécessaire pour avis préalable  aux procédures mises en place. Application de la procédure d’analyse d’impact aux traitements existants. Amélioration de la tenue du registre des activités de traitement et des automatismes à adopter. Effacement des données dont la conservation ne peut plus être justifiée et mise en œuvre d’un processus automatisé d’effacement des données pour l’avenir.
  • 83. www.earlegal.beGroupe Larcier / Lexing Perfectionnement Simulation d’une brèche de sécurité Simulation d’une « descente » de la Commission Vie Privée. Communication publique quant aux efforts mis en place par l’entreprise.
  • 84. www.earlegal.beGroupe Larcier / Lexing La notification d’une brèche de sécurité est-elle négative pour l’entreprise ? COMPLIANCE = BENEFICES d’un point de vue :  gestion des risques  réputation  économique
  • 85. www.earlegal.beGroupe Larcier / Lexing Pourquoi anticiper les futures règles?

Notes de l'éditeur

  1. techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. (cons. 21) – Cookies, javascript mais aussi Fb
  2. notamment des principes de légitimité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées Déclaration de traitement
  3. Commission européenne et les Etats-Unis seraient sur le point de s’entendre sur les conditions de transfert des données personnelles entre les deux blocs Umbrella Agreement accord cadre sur la protection des données en matière de coopération judiciaire De bon augure pour un accord relatif aux transferts entre entreprises
  4. Notification. Les personnes concernées doivent être informées du fait que leurs données sont collectées et des finalités du traitement. Choix. Les personnes concernées doivent avoir la possibilité de refuser (mécanisme d'opt-out) que les données les concernant soient transférées à des tiers ou utilisées pour une autre finalité que celle pour laquelle elles ont donné leur consentement. Transfert à des tiers. Le transfert de données ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles. Accès. Les personnes concernées doivent pouvoir accéder aux informations les concernant, et les corriger ou les supprimer le cas échéant. Sécurité. L'entreprise doit prendre les mesures nécessaires pour protéger les données collectées contre la suppression, le mauvais usage, la divulgation ou l'altération. Intégrité des données. Les données doivent être pertinentes, fiables, précises, complètes et mises à jour eu égard aux finalités poursuivies. Mise en application. L'entreprise doit mettre tout en œuvre pour que ces règles soient effectivement appliquées et contrôler leur respect.
  5. Dérogations selon la directive : a) la personne concernée ait indubitablement donné son consentement au transfert envisagé b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée ou c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers ou d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice ou e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée ou f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier. Dérogations selon projet de Règlement? En l'absence de reconnaissance d'un niveau de protection adéquat, de garantie appropriée ou de BCR approuvées, un transfert de données sera toutefois possible pour autant que  : la personne concernée a donné son consentement explicite à la proposition de transfert, après avoir été informée que ces transferts peuvent comporter des risques pour elle en raison de l'absence d'une décision d'adéquation et de garanties appropriées; le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée; le transfert est nécessaire pour la conclusion ou l'exécution d'un contrat conclu dans l'intérêt de la personne concernée, entre le contrôleur et une autre personne physique ou morale; le transfert est nécessaire pour des raisons importantes d'intérêt public; le transfert est nécessaire pour la constatation, l'exercice ou la défense d'un droit en justice; le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est dans l'incapacité physique ou juridique de donner son consentement; le transfert est effectué à partir d'un registre qui, selon le droit de l'Union ou d'un État membre est destiné à fournir des informations au public et qui est ouvert à la consultation par le public ou par toute personne justifiant d'un intérêt légitime, mais seulement dans la mesure où les conditions prévues par la loi de l'Union ou de l'État membre pour la consultation sont remplies; le transfert, qui n'est pas à grande échelle ou fréquent, est nécessaire eu égard à l'intérêt légitime poursuivi par le contrôleur, lequel n'outrepasse pas les intérêts ou les droits et libertés de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant l'opération de transfert de données et, sur la base de cette évaluation, présente des garanties adéquates en matière de protection des données. Que ce soit dans une procédure judiciaire, dans une procédure administrative ou toute procédure à l'amiable, y compris les procédures devant les organismes de réglementation, considérant 86. Dans ce cas, le transfert ne doit pas porter sur la totalité des données personnelles ou des catégories de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne peut être effectué qu'à la demande de ces personnes ou si elles en sont les destinataires. Le responsable du traitement ou le sous-traitant qui souhaite invoquer cette exception devra documenter l'ensemble des mesures de sauvegarde appropriées qu'il déploiera.
  6. la structure et les coordonnées du groupe concerné et de chacun de ses membres; des informations sur les transferts de données ou les catégories de transferts, y compris les types de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées et l'identification du ou des pays tiers en question; la manifestation de leur caractère juridiquement contraignant, tant interne qu'externe; des informations quant à l'application concrète des principes généraux de protection des données, en particulier la limitation des finalités, la qualité des données, la base juridique pour le traitement, le traitement de catégories particulières de données à caractère personnel, les mesures pour assurer la sécurité des données, et les exigences en matière de transfert vers des entités qui ne sont pas liées par les règles d'entreprise contraignantes; un rappel des droits des personnes concernées à l'égard du traitement de leurs données à caractère personnels et les moyens d'exercer ces droits, y compris le droit de ne pas être soumis à un profilage conformément à l'article 20 du règlement, le droit de déposer une plainte devant l'e Autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 75 du règlement, d'obtenir réparation et, le cas échéant, une indemnité pour violation des règles d'entreprise contraignantes; l'acceptation par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre de la responsabilité de toute violation des règles d'entreprise contraignantes par tout membre concerné qui ne serait pas établi dans l'Union; la façon dont l'information sur les règles d'entreprise contraignantes est fournie aux personnes concernées; le détail des tâches de tout délégué à la protection des données désigné conformément à l'article 35 ou de toute autre personne ou entité en charge de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe, ainsi que du suivi de la formation des employés et du traitement des plaintes; le détail des procédures de traitement des plaintes; le détail des mécanismes déployés au sein du groupe pour assurer la vérification du respect des règles d'entreprise contraignantes, comme des audits, mécanismes qui incluent des méthodes pour s'assurer que des mesures correctives sont effectivement prises le cas échéant. Les résultats de ces audits doivent être communiqués au délégué à la protection des données, au conseil d'administration de la société qui chapeaute le groupe d'entreprises et devraient être rendus disponibles sur demande des Autorités de contrôles compétentes. lLe détail des mécanismes de signalement et d'enregistrement des modifications aux BCR et de signalement de ces modifications à l'Autorité de contrôle; lLe détail du mécanisme de coopération avec l'Autorité de contrôle pour assurer le respect des BCR par tous les membres du groupe, en particulier par la mise à disposition de l'Autorité de contrôle des résultats des audits; lLe détail des mécanismes de signalement à l'Autorité de contrôle compétente des exigences légales auxquelles un membre du groupe est soumis dans un pays tiers et qui sont susceptibles d'avoir une incidence défavorable importante sur les garanties prévues par les BCR; des informations sur la formation à la protection des données fournies au personnel ayant un accès permanent ou régulier de aux données à caractère personnel. Le responsable ou le sous-traitant peut s'exonérer de cette responsabilité s'il prouve que le membre concerné n'est pas responsable du fait générateur du dommage.
  7. Régime exceptionnel par rapport au droit du gage. DPI oisif / non exploité perd de sa valeur ;
  8. Régime exceptionnel par rapport au droit du gage. DPI oisif / non exploité perd de sa valeur ;
  9. Accountability : assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données à caractère personnel
  10. La notion de privacy by design signifie la prise en compte, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des exigences en matières de protection des données et de mettre en œuvre les mesures techniques et organisationnelles appropriées. La notion de privacy by default consiste à s’assurer que, par défaut, seules les données nécessaires au regard de chaque finalité déterminée sont traitées. La mise en œuvre de ces principes requiert que soient prises des mesures consistant notamment à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de superviser le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
  11. Accountability : assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données à caractère personnel
  12. L’analyse d’impact préalable sera désormais un prérequis obligatoire pour le responsable du traitement en cas de traitement de données présentant un risque élevé pour les droits et libertés des personnes physiques en raison de la nature ou de la portée des opérations envisagées, en ce compris pour les traitements déjà en cours lors de l’entrée en vigueur du futur règlement.   Dans l’hypothèse où un délégué à la protection des données a été désigné au sein de l’entreprise, celui-ci apportera son conseil dans le cadre de cette analyse d’impact.   La Commission Vie Privée) doit publier une liste des hypothèses dans lesquelles elle exige une analyse d’impact préalable. Le législateur européen a déjà identifié les cas suivants :   En cas d'évaluation systématique et approfondie d' aspects personnels propres à des personnes physiques, qui est fondée sur un traitement automatisé, notamment le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière tout aussi significative ; En cas de traitement à grande échelle des données génétiques, données biométriques, données concernant la santé ou la vie et l’orientation sexuelle, ou des données relatives aux condamnations ou aux infractions pénales ; En cas de surveillance systématique à grande échelle d'une zone accessible au public.   Il convient, par conséquent, de mettre au point un modèle d’analyse d’impact et de l’appliquer aux traitements en cours.   Lorsqu’une telle analyse d’impact est réalisée et révèle un risque élevé pour les droits et libertés des personnes physiques, l’entreprise doit consulter la Commission vie privée et lui fournir toute information utile en vue de l’examen de ce traitement.   La Commission disposera d’un délai de 8 semaines (qui pourrait être prolongé de 6 semaines) pour émettre son avis. Si celui-ci est négatif ou contient des remarques, le traitement projeté devra être revu, puis à nouveau soumis à l’avis de la Commission.   Il faudra donc intégrer ce délai dans le développement des nouveaux produits ou services de votre entreprise.
  13. discrimination, financial loss, damage to the reputation, identity theft or fraud breach of pseudonymity, loss of confidentiality of data protected by professional secrecy taking into account the nature, scope, context and purposes of the processing
  14. Examiné lors precedent earlegal Les missions du délégué à la protection des données seront, entre autres, d’informer et de conseiller l’entreprise (et ses salariés) sur leurs obligations, contrôler la conformité avec le futur règlement, dispenser des conseils en ce qui concerne l’analyse d’impact, coopérer et faire office de point de contact avec l’autorité nationale de contrôle (la Commission Vie Privée).
  15. Les entreprises, agissant en tant que responsable du traitement ou en tant que sous-traitant, dont les activités de base consistent en des opérations qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou consistent en un traitement à grande échelle de données génétiques, données biométriques, données concernant la santé ou la vie et l’orientation sexuelle ou encore de données relatives aux condamnations ou aux infractions pénales devront dorénavant désigner un délégué à la protection des données.   Les autorités publiques ou organismes publics qui effectuent des traitements de données à caractère personnel devront également désigner un délégué à la protection des données.   Le délégué à la protection des données pourra être un membre interne à l’entreprise et combiner cette fonction avec d’autres tâches ou être quelqu’un d’externe. Cette personne devra en toute hypothèse pouvoir exercer sa fonction en toute indépendance et faire rapport directement à aux personnes chargées de la direction quotidienne de l'entreprise.   L’entreprise doit fournir au délégué à la protection des données toutes les ressources nécessaires à l’accomplissement de sa mission ainsi que lui fournir un accès aux données.   Il convient donc d’évaluer la nécessité, voire l’opportunité pour votre entreprise de désigner un délégué à la protection des données, d’entamer le cas échéant la procédure de recrutement, d’inclure dès que possible ce nouvel intervenant dans votre processus de production. Processus de formation ou de recrutement prend du temps
  16. dans le cas d’un responsable du traitement établi en Belgique qui confie les traitements à un sous-traitant en Italie, les traitements effectués en Italie le sont pour les besoins et sur instruction de l’établissement autrichien, et sont donc effectués « dans le cadre des activités du responsable du traitement en Belgique ». Le droit belge s’applique donc aux traitements effectués par le sous-traitant en Italie . En outre, le sous-traitant est soumis aux exigences du droit italien concernant les mesures de sécurité qu’il est tenu de mettre en place pour les traitements.
  17. Article 7 : en cas de consentement écrit de la personne concernée, le responsable du traitement doit veiller à ce que la demande de consentement soit présentée sous une forme compréhensible et aisément accessible, en des termes clairs et simples, et sous une forme qui la distingue clairement des éventuelles autres questions.
  18. Sont en particulier concernées à des fins de marketing création de profils de personnalité ou d'utilisateur la collecte de données relatives aux enfants lors de l'utilisation de services fournis directement à un enfant. pas être nécessaire dans le contexte de services de prévention ou de conseil fournis directement à un enfant.
  19. ne s'appliquent pas dans la mesure où le traitement des données à caractère personnel est nécessaire: a) à l'exercice du droit à la liberté d'expression et d'information; b) pour respecter une obligation légale qui requiert le traitement de données à caractère personnel, prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et h ter), ainsi qu'à l'article 9, paragraphe 4; d) à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique et historique ou à des fins statistiques, conformément à l'article 83, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique et historique ou à des fins statistiques; e) à la constatation, à l'exercice ou à la défense de droits en justice.
  20. tout particulièrement lorsque, dans des domaines tels que la publicité en ligne, la multiplication des acteurs et la complexité des technologies utilisées empêchent la personne concernée de savoir exactement si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin.
  21. Le futur règlement introduit le droit pour les personnes concernées de recevoir les données la concernant qu’elle a fournies au responsable du traitement et ce, dans un format structuré, couramment utilisé et lisible par une machine. Les personnes concernées pourront même obtenir, lorsque cela sera techniquement possible, que les données soient directement transmises à un autre opérateur.
  22. Pas besoin de notification à la personne si le resp de traitement prouve qu’il a pris les mesures de protection technologiques qui rendent les données incompréhensibles à toute personne qui n’est pas autorisée à avoir accès.
  23. • Signalement en cas de fuites de données Les entreprises devront désormais signaler les cas de fuite des données à la Commission Vie Privée dans les plus brefs délais et, si possible, endéans les 72 heures de la prise de connaissance d’une telle fuite (à moins que l’entreprise ne puisse démontrer que l’incident ne comporte que peu de risques pour les droits et libertés des personnes concernées par la fuite de leurs données).   L’entreprise devra également conserver une trace documentaire du contexte, des effets et des mesures prises en cas de fuite des données.   Il convient dès lors de mettre en place une procédure standardisée en cas de brèche de sécurité concernant les données à caractère personnel traitées par votre entité.   Il s’impose aussi de tenter de limiter les conséquences négatives d’une fuite de données. En effet, le cryptage des données permet par exemple que les données soient inutilisables par toutes les personnes qui n’y ont pas accès. Dans cette hypothèse, la brèche de sécurité n’engendre aucun risque pour la personne concernée, et ne devra pas lui être signalée.
  24. Ainsi, lors d’une brèche de sécurité concernant 600.000 données de contact de clients d’une chaîne de magasins franchisés qui n’avait déclaré aucun traitement de données, notre cabinet a négocié, par ses contacts privilégiés avec la Commission Vie Privée, la qualification du franchiseur en tant que sous-traitant des différents franchisés pour le traitement des données. Ceci a permis de considérer que la brèche avait eu lieu chez le sous-traitant, dont les obligations sont plus limitées, tout en permettant aux franchisés de régulariser leur situation vis-à-vis de la Commission Vie Privée.
  25. ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
  26. ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
  27. ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
  28. (éviter sanctions + avantage concurrentiel) L’entrée en vigueur du futur règlement européen ne doit pas être seulement vue comme une source de contraintes, mais également comme l’opportunité de tirer parti des données personnelles comme de tout autre actif de votre société, parallèlement à une gestion de ce risque grandissant. Nous souhaitons vous aider à maximiser la valeur des données en possession de votre entreprise, dans le respect de la législation future. Il s’agit donc d’un investissement financier et humain, dont les fruits seront récoltés autant dans votre activité économique qu’au niveau de la réputation de votre entreprise. étape cruciale, comment les choses peuvent être faites et quels sont les risques éventuels, afin de vous aider dans votre prise de décision.