Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

matinée à thème: RGDP

1 495 vues

Publié le

À compter du 25 mai 2018, la Directive européenne sur la Protection des données (RGPD) s'appliquera à toutes les entreprises. Il est important que chaque entreprise dispose d'un bon aperçu du traitement des données réalisé en son sein.

Publié dans : Recrutement & RH
  • Soyez le premier à commenter

matinée à thème: RGDP

  1. 1. RGPD © Claeys & Engels Le temps file ... [noms orateurs] [date]
  2. 2. Introduction Article 8 Charte des droits fondamentaux UE : « Toute personne a droit à la protection des données à caractère personnel la concernant » Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Transposée en droit national dans 28 Etats membres Le monde a complètement changé en 20 ans Croissance exponentielle des échanges de données (personnelles) Nécessité d’un nouveau cadre plus moderne 2 Numérisation de la société Google Smartp hones Médias sociaux Internet
  3. 3. Introduction Le RGPD est entré en vigueur le 25 mai 2016, mais ne sera applicable qu’à partir du 25 mai 2018 Règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE = Règlement Général sur la Protection des Données = General Data Protection Regulation Les règles nationales continueront à jouer un rôle • Adaptation de la loi nationale à venir • Initiatives au niveau des secteurs/fédérations d’employeurs 3
  4. 4. Introduction RGPD en résumé Un ensemble complexe de règles : beaucoup de zones grises • 99 articles • 173 considérants • Avis et directives du G29 et des autorités de contrôle nationales Approche basée sur le risque Neutralité technologique Principe d’accountability: be compliant & demonstrate that you are compliant! • Documenter toutes les décisions et étapes 4
  5. 5. Introduction RGPD et RH Dans la plupart des entreprises non « data-driven» : nombreuses données à caractère personnel traitées Souvent « sensibles » par nature • Par ex. salaires, rapports d’évaluation, etc. Nécessaire pour la politique RH, le traitement du payroll, et le droit de contrôle de l’employeur Le lien de subordination a des conséquences Etre GDPR compliant exige une connaissance et une collaboration du personnel 5
  6. 6. Introduction RGPD et pensions complémentaires Le traitement des données joue un rôle central dans les assurances de groupe / plans de pension complémentaire  traitement des données à caractère personnel des travailleurs affiliés + leurs bénéficiaires nécessaire pour gérer et liquider les pensions complémentaires Toujours 3 parties : à côté des travailleurs affiliés (+ leurs bénéficiaires) et de l’employeur, aussi l’organisme de pension (assureur ou fonds de pension)  employeur et organisme de pension procèdent tous les deux à des activités de traitement dans le cadre de l’assurance de groupe / le plan de pension (souvent, grande interconnexion) Souvent « sensibles » par nature Généralement des données sensibles sont également traitées (données médicales) 6
  7. 7. Les grands principes et leur application 7 Principes de base Changements majeurs Comment être « RGPD proof » ?
  8. 8. Principes de base (en grande partie maintenus) 8
  9. 9. 9 1 Champ d’application du RGPD Eléments principaux Traitement Données à caractère personnel Personnes concernées De manière automatisée ou dans un fichier
  10. 10. 10 Champ d’application du RGPD Traitement Collecte Input Utilisation Conservation Output Destruction Cycle de vie des données
  11. 11. 11 Champ d’application du RGPD Données à caractère personnel « Toute information » « se rapportant à » « une personne physique » « identifiée ou identifiable »
  12. 12. 12 Champ d’application du RGPD Personnes concernées  Candidats  Travailleurs  Anciens travailleurs  Intérimaires  Indépendants (freelance, consultants, contractants)  Consommateurs  Visiteurs du site internet  Personnes de contact chez les clients ou fournisseurs  Membres/Affiliés  Bénéficiaires des travailleurs (partenaire, enfants, bénéficiaires désignés, ...) dans le cadre de l’assurance de groupe / plan de pension  ...
  13. 13. Automatisé ou dans un fichier structuré Les données à caractère personnel peuvent être enregistrées, traitées, et transmises via divers mécanismes et appareils : fichiers papier, ordinateurs portables, postes de travail, smartphones, tablettes et PDA’s (Assistant personnel), dispositifs de stockage (disques durs et clés USB), serveurs, réseaux (pendant un transfert d’information), cloud Exemples 13 Champ d’application du RGPD Administration des salaires et du personnel (en utilisant ou non un logiciel spécifique) Base de données candidats, travailleurs, clients, fournisseurs,... E-monitoring, track & trace, vidéosurveillance,... Registre des présences Livre photo intranet / internet Marketing direct
  14. 14. Nombreuses activités de traitement dans le contexte RH Exemples 14 Champ d’application du RGPD Administration des salaires et du personnel (en utilisant ou non un logiciel spécifique) Base de données candidats, travailleurs, clients, fournisseurs,... E-monitoring, track & trace, vidéosurveillance,... Registre des présences Livre photo intranet / internet Marketing direct
  15. 15. 2 Acteurs principaux Le « responsable du traitement » (Controller) La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel • Quelles données sont traitées ? • Pour combien de temps ? • Qui y aura accès ? • ... Exemples: la société locale (entité juridique), la société- mère, un fournisseur qui détermine lui-même les finalités du traitement 15
  16. 16. Acteurs principaux Le « responsable conjoint du traitement » (Joint Controller) Accord • Responsabilités respectives • Exercice des droits par les personnes concernées • Donner des informations • Indication point de contact • Contenu essentiel accessible pour les personnes concernées 16 Independent Controller Joint Controller 1 controller 2 controllers ou plus Finalités et moyens spécifiques Finalités et moyens partagés
  17. 17. Le « sous-traitant » (Processor) La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement Exemples: le secrétariat social, les fournisseurs de services (par ex. IT helpdesk, entreprise de marketing e- mail, website/app designer, entreprise d’archivage) 17 Acteurs principaux
  18. 18. Cas pratique 1 : Qualification des parties Responsable du traitement ou sous-traitant ? Headhunterz sa assiste les entreprises pour le recrutement de nouveau personnel. Elle dispose de ce fait d’une base de données électronique ‘Global Matchz’ dans laquelle sont enregistrés tous les CVs que Headhunterz sa reçoit, soit directement des demandeurs d’emploi, soit de ses clients. Via un module de recherche, Headhunterz peut chercher dans cette base de données les candidats appropriés. Headhunterz sa n’est payée que si un contrat de travail est effectivement signé entre un demandeur d’emploi et un client qu’elle a rapprochés. Dans le contrat standard entre Headhunterz sa et ses clients, il est indiqué : “Headhunterz sa agira au nom du client et agit également comme un sous-traitant pour le traitement de données à caractère personnel.” 18
  19. 19. Cas pratique 1 : Qualification des parties Responsable du traitement ou sous-traitant ? Est-il correct que Headhunterz sa est un sous-traitant ? 19
  20. 20. Cas pratique 1 : Qualification des parties Responsable du traitement ou sous-traitant ? A: Oui, Headhunterz sa est un sous-traitant, comme d’ailleurs tous les chasseurs de tête B: Non, Headhunterz sa est responsable du traitement concernant ‘Global Matchz’. C: Headhunterz sa sera conjointement responsable du traitement avec ses clients pour les activités de traitement qui ont lieu dans le cadre du recrutement pour ce client déterminé. 20
  21. 21. Cas pratique 2 : Qualification des parties Responsable du traitement ou sous-traitant ? (A) ABC sa a une assurance de groupe pour ses travailleurs auprès de l’entreprise d’assurance ASSUR sa. ABC sa collecte des données à caractère personnel au moment de l’entrée en service du travailleur. Ces données sont transmises à ASSUR sa (en même temps que les données salariales, le taux d’occupation, les absences pour cause d’incapacité de travail). ASSUR sa a sa propre base de données et son propre logiciel d’administration des pensions dans lesquels ces données sont conservées et sont notamment utilisées pour les calculs annuels nécessaires à l’élaboration des fiches de pension qu’ASSUR sa envoie directement aux (ex-) travailleurs affiliés. Pour les capitaux de pension, capitaux de décès ou rentes qu’elle verse, ASSUR sa, collecte également elle-même directement des données auprès des (ex-) travailleurs ou des bénéficiaires. 21
  22. 22. Cas pratique 2 : Qualification des parties Responsable du traitement ou sous-traitant ? (B) Le plan de pension de XYZ sa est géré et exécuté par l’OFP Fonds de pension XYZ (personnalité juridique distincte). Ici aussi, les données à caractère personnel sont collectées auprès des travailleurs affiliés et leurs bénéficiaires et cela aussi bien par XYZ sa que par l’OFP Fonds de pension XYZ. Une base de données / un software d’administration des pensions séparé(e) est utilisé(e) pour la gestion du plan de pension, qui est directement lié(e) au logiciel de payroll de XYZ sa. Aussi bien les membres du personnel de XYZ sa que de l’OFP Fonds de pension XYZ y ont accès et l’utilisent pour leurs calculs. 22
  23. 23. Cas pratique 2 : Qualification des parties Responsable du traitement ou sous-traitant ? Assur SA / OFP Fonds de pension XYZ est-il/elle un sous- traitant ou un responsable du traitement ? 23
  24. 24. Cas pratique 2 : Qualification des parties Responsable du traitement ou sous-traitant ? 1) A + B: Les deux sont sous-traitants étant donné qu’ils gèrent et exécutent l’assurance de groupe / le plan de pension sur instruction de XYZ sa; qui récolte les informations n’est pas pertinent pour la qualification 2) A + B : Les deux sont responsables du traitement étant donné qu’ils doivent traiter des données sur la base de la Loi sur les Pensions Complémentaires (LPC) (finalité propre) 3) A: ASSUR sa est – tout comme XYZ sa – un responsable du traitement distinct étant donné qu’elle détermine elle-même la finalité et les moyens des activités de traitement qu’elle réalise dans le cadre de l’assurance de groupe. B: L’OFP Fonds de pension XYZ est par contre un responsable du traitement conjoint avec XYZ sa qui déterminent ensemble la finalité et les moyens des activités de traitement qu’ils réalisent dans le cadre du plan de pension. 24
  25. 25. 3 Principes généraux 25 Licéité, loyauté, transparence Intégrité et confidentialité Minimisation des données Exactitude Limitation de la conservation Limitation des finalités
  26. 26. 1. Consentement 2. Nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution des mesures précontractuelles prises à la demande de celle-ci 3. Nécessaire au respect d’une obligation légale 4. Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée • Test de balance des intérêts 26 4 Fondements juridiques pertinents
  27. 27. Fondements juridiques pertinents Le consentement en tant que fondement juridique Importance du caractère libre du consentement • Déséquilibre entre le responsable du traitement et la personne concernée • Exécution du contrat est-elle subordonnée au consentement à un traitement non nécessaire à l’exécution d’un contrat TO DO • Chercher pour quelles activités de traitement le consentement est requis • Préparer les documents relatifs à l’information nécessaire au consentement à l’avance • Conseil : prévoir un autre fondement juridique si possible 27 LIBRE ÉCLAIRÉ SPÉCIFIQUE UNIVOQUE
  28. 28. Fondements juridiques pertinents Le consentement en tant que fondement juridique Le consentement n’est pas un fondement possible pour les pensions complémentaires • Le travailleur affilié n’a aucun choix : si le travailleur satisfait aux conditions d’affiliation  obligatoirement affilié; employeur + assureur / fonds de pension doivent traiter les données à caractère personnel pour respecter les obligations imposées entre autres par la LPC • D’autre(s) fondement(s) pour le traitement : nécessaire en raison d’obligations légales (affiliés + bénéficiaires) – nécessaire à l’exécution du contrat de travail (affiliés) TO DO • Examiner si le règlement de pension, les fiches de pension, les autres communications renvoient expressément au consentement  adapter / supprimer 28 LIBRE ÉCLAIRÉ SPÉCIFIQUE UNIVOQUE
  29. 29. Données à caractère personnel « sensibles » (données particulières + condamnations pénales et infractions) Exemples • Révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophies ou l’appartenance syndicale • Données concernant la santé • Données biométriques et génétiques • Données relatives aux condamnations pénales et aux infractions ou aux mesures de sécurité connexes (par ex. extrait du casier judiciaire) Interdiction de principe du traitement Exceptions spécifiques, comme lorsque la loi autorise le traitement (par exemple pour les pensions complémentaires – données médicales) 29 5 Catégories particulières
  30. 30. Transfert au sein de l’EEE Permis Transfert de l’EEE vers l’extérieur de l’EEE Garanties appropriées Règles d'entreprise contraignantes Clauses types adoptées par la Commission européenne Clauses contractuelles adoptées par la Commission de la protection de la vie privée Code de conduite approuvé, ou mécanisme de certification Consentement explicite de la personne concernée Nécessaire pour l’exécution d’un contrat Décision d’adéquation de la Commission européenne 30 6 Transfert vers des pays extérieurs à l’UE
  31. 31. Changements majeurs 31
  32. 32. DroitsAccès (+ copie) Rectification Effacement (‘to be forgotten’) Limitation (‘to freeze’) Portabilité des données Opposition Opposition prise décision individuelle automatisée Opposition direct marketing 1 Droits étendus pour les personnes concernées 32
  33. 33. Droits étendus pour les personnes concernées Contrôle identité Informations dans les meilleurs délais • Principe: 1 mois • Si nécessaire (complexité + nombre demandes): + 2 mois Gratuit Si demandes manifestement infondées ou excessives: • Imputer des frais raisonnables • Refus de donner suite Communication de la rectification, l’effacement ou la limitation aux destinataires 33
  34. 34. Droits étendus pour les personnes concernées To do • Implémenter une police/procédure pour suivre l’exercice des droits – Pensions complémentaires : si responsables du traitement conjoints : convenir qui est responsable de ce point • Formation • Information aux personnes concernées elles-mêmes 34
  35. 35. 2 Plus d’obligations pour les responsables du traitement 2.1 Obligation d’information accrue Découle du principe de transparence Existant : • Coordonnées du responsable du traitement • Finalités du traitement • (Catégories de) destinataires des données • Caractère obligatoire ou non de la réponse, et conséquences éventuelles (si des données sont demandée à la personne concernée) • (Catégories de) données (si elles ne sont pas reçues directement de la personne concernée) • Droit d’accès et de correction 35
  36. 36. Plus d’obligations pour les responsables du traitement Obligation d’information accrue Renforcement • Base juridique pour le traitement des données: implique travail de préparation dans le chef de l’entreprise • Le cas échéant, info quant à intention transfert données vers pays tiers ou organisation internationale + information sur la protection appropriée • Durée de conservation (ou critères permettant de la déterminer) • Droit à la portabilité des données • Droit d’accès, de rectification, d’effacement, de limitation, d’opposition • Droit de retirer consentement • Droit d’introduire réclamation auprès de l’Autorité de protection des données • Le cas échéant : coordonnées du délégué à la protection des données (« Data Protection Officer ») • Le cas échéant : information relative à une décision automatisée 36
  37. 37. Plus d’obligations pour les responsables du traitement Obligation d’information accrue TO DO : • Préparer les documents utiles en tenant compte des différentes hypothèses possibles: – Information sur le site internet (‘privacy statement’) – Information des candidats – Information des travailleurs nouvellement engagés – Information des travailleurs déjà en service – Information des personnes de contact chez les clients / fournisseurs 37
  38. 38. Plus d’obligations pour les responsables du traitement Obligation d’information accrue TO DO : • Pensions complémentaires - préparer les documents utiles en tenant compte des différentes hypothèses / catégories possibles: – Information aux affiliés – Reprendre dans une privacy notice “générale” / un statement “général” pour les travailleurs ou séparer? – Responsables du traitement conjoints (par exemple assurance de groupe) : quand même rédiger une/un privacy notice / statement commun(e) ? – Information aux nouveaux affiliés + affiliés existants – Information aux affiliés passifs existants (‘dormants’) – Information aux bénéficiaires – Bénéficiaires effectifs – Bénéficiaires potentiels? – Information des candidats – Information sur le site interne (‘privacy statement’) pour certaines catégories? 38
  39. 39. 2.2 Obligation de documentation – registre des activités de traitement Découle du principe d’accountability – Remplace l’obligation de notification Quoi ? – Electroniquement (+ par écrit) – Dynamique – Divers modèles Qui ? – Entreprises avec 250 travailleurs et plus – Traitements à risques – Traitements non occasionnels – Traitements d’informations sensibles 39 Plus d’obligations pour les responsables du traitement
  40. 40. Registre des activités de traitement Informations à reprendre dans le registre: 1. nom et coordonnées du responsable du traitement et éventuellement des responsables conjoints du traitement, et, le cas échéant, du représentant du responsable du traitement et du délégué à la protection des données 2. finalités du traitement 3. description des catégories de personnes concernées et des catégories de données à caractère personnel 4. catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales 5. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale, et, le cas échant, les documents attestant de l'existence de garanties appropriées 6. dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données 7. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles 40 Plus d’obligations pour les responsables du traitement
  41. 41. 2.3 Obligation de désignation d’un Délégué à la Protection des Données (« Data Protection Officer ») ? 41 Obligatoire Facultatif 1 Autorité Publique/Organisme public, en dehors de juridictions dans le cadre de leur fonction juridictionnelle  2 Juridictions dans le cadre de leur fonction juridictionnelle  3 Activité de base = traitement à grande échelle de données sensibles et relatives à des condamnations pénales et infractions  4 Activité de base = traitements qui, de par nature, portée, et/ou finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées  5 Secteur privé : pas dans les hypothèses 3 et 4  Plus d’obligations pour les responsables du traitement
  42. 42. Plus d’obligations pour les responsables du traitement Délégué à la protection des données / DPO Qui ? • Travailleur ou prestataire de service indépendant • Donne des avis + suit le respect des règles • Indépendant • Rapporte au plus haut niveau de management • Ne peut pas être licencié ou sanctionné en raison de l’exercice de ses tâches 42
  43. 43. Plus d’obligations pour les responsables du traitement DPO Pensions complémentaires • Assureur  doit désigner un DPO dans le cadre des assurances de groupe • Fonds de pension  Commission Vie Privée : doit désigner un DPO – Traitements qui par leur nature, leur portée et/ou leur finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées; – Le travailleur et le fonds de pension peuvent désigner le même DPO si aucun conflit d’intérêt et suffisamment de temps + compétences nécessaires pour faire les deux – Le cumul entre la fonction de conseiller en sécurité et celle de DPO est éventuellement possible (cfr. position de la Commission de la Protection de la Vie Privée) 43
  44. 44. Mesures techniques et organisationnelles appropriées • Compte tenu de l’état des connaissances, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement • Approche basée sur les risques Exemples : la pseudonymisation et le chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement 44 2.4 Mesures de protection des données plus strictes Plus d’obligations pour les responsables du traitement
  45. 45. Analyse d’impact relative à la protection des données (« DPIA ») • Pour des traitements susceptibles d’engendrer un risque élevé pour les droits des personnes physiques • Si minimum 2 des 9 critères suivants sont réunis 45 Mesures de protection des données plus strictes Plus d’obligations pour les responsables du traitement Évaluation / attribution d’un score (profiling / prédiction) Association ou combinaison d’un ensemble de données Prise de décision automatisée avec des conséquences Personnes concernées vulnérables Surveillance systématique Solutions innovatrices Données sensibles Traitement pouvant conduire à l’exclusion des droits Traitement à grande échelle Transfert transfrontalier
  46. 46. Le responsable du traitement et le sous-traitant doivent prendre des mesures pour garantir que toute personne physique agissant sous leur autorité (et ayant accès à des données à caractère personnel) ne les traite que sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre TO DO : • Vérification de la sécurité des informations • Mise en place d’une procédure pour les DPIA • Formation du personnel • Établissement d’une police pour démontrer, en cas de contrôle/problème, que le personnel a été sensibilisé 46 Mesures de protection des données plus strictes Plus d’obligations pour les responsables du traitement
  47. 47. Violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération ou la divulgation non autorisée de données, ou l’accès non autorisé à des données Exemples : hacking, perte / vol d’une clé USB ou d’un ordinateur, envoi d’un e-mail à une mauvaise adresse Notification • En cas de risque : à l’autorité de contrôle – Dans les 72 heures – Informations obligatoires • En cas de « risque élevé » : également à la personne concernée 47 2.5 Obligation de documenter et de notifier les violations Plus d’obligations pour les responsables du traitement
  48. 48. TO DO : • Politique interne et formation • Préparer des modèles de notification • Établir un registre des brèches de sécurité • Pensions complémentaires : si responsables du traitement conjoints, convenir expressément qui fait quoi + notification immédiate de la violation aux autres responsables du traitement – Exemple de violation : fiches de pension remises à une autre personne que l’affilié 48 Obligation de documenter et de notifier les violations Plus d’obligations pour les responsables du traitement
  49. 49. 2.6 Due diligence des sous-traitants et contrat écrit Collaborer uniquement avec des sous-traitants GDPR- compliant Contrat écrit avec des mentions obligatoires Approbation des sous-traitants du sous-traitant Pensions complémentaires • FP : examiner les contrats en cours avec les sous-traitants • FP : adapter la politique de sous-traitance 49 Plus d’obligations pour les responsables du traitement
  50. 50. 3 Guichet unique – « One Stop Shop » Pour les traitements qui ont lieu dans différents Etats membres de l’UE, les entreprises peuvent désormais travailler avec un guichet unique Autorité de contrôle chef de file • Établissement principal • À moins que les décisions concernant la protection des données ne soient prises au sein d’une autre entité Soi-disant « grande innovation » Pertinence limitée, surtout en RH 50
  51. 51. 4 RGPD - Risque plus élevé de sanctions 4.1 Réforme de la Commission de la protection de la vie privée Loi du 3 décembre 2007 : Autorité de protection des données • Entre en vigueur le 25 mai 2018 • Conserve les compétences actuelles (information, avis et médiation) • Nouvelles compétences : enquête et sanction 51
  52. 52. RGPD - Risque plus élevé de sanctions 4.2 Pouvoirs d’enquête Compétences d’investigation pour examiner s’il y a eu une violation du RGPD. Ainsi, les autorités de contrôle pourront désormais et entre autres : • ordonner au responsable du traitement et à son sous-traitant de lui communiquer toute information dont ils ont besoin pour l’accomplissement de leurs missions • mener des enquêtes sous la forme de contrôles de la protection des données (« audits ») • obtenir l’accès à tous les locaux du responsable du traitement et de son sous-traitant 52
  53. 53. RGPD - Risque plus élevé de sanctions 4.3 Compétence de sanction de l’Autorité de protection des données Autorité dotée d’un pouvoir de sanction ! Amendes dissuasives - de manière synthétique : Prise en compte possible de facteurs atténuants ou aggravants 53 Manquement aux obligations du responsable du traitement Manquements aux : - principes généraux en matière de protection des données - droits des personnes concernées Maximum 10.000.000 EUR ou 2% du CA annuel mondial total de l’exercice précédent Maximum 20.000.000 EUR ou 4% du CA annuel mondial total de l’exercice précédent
  54. 54. RGPD - Risque plus élevé de sanctions 4.3 Compétence de sanction de l’Autorité de protection des données Pensions complémentaires • Un fonds de pension n’a pas de chiffre d’affaires  amendes de maximum 10.000.000 / 20.000.000 EUR • Responsabilité solidaire des responsables du traitement conjoints = à l’égard de l’affilié / du bénéficiaire qui a subi un dommage du fait de la violation • Responsabilité solidaire ne vaut PAS dans le cadre des amendes administratives  peuvent être infligées par l’Autorité de protection des données uniquement au responsable de la violation 54
  55. 55. RGPD - Risque plus élevé de sanctions Compétence de sanction de l’Autorité de protection des données Autres sanctions correctrices possibles : • donner un avertissement • faire un rappel à l’ordre • obliger à satisfaire aux demandes en vue d’exercer ses droits • obliger à mettre les activités de traitement en conformité avec les dispositions du RGPD • obliger à communiquer à la personne concernée une violation de ses données à caractère personnel • imposer une limitation temporaire ou définitive - y compris une interdiction - du traitement • ordonner la rectification ou l’effacement de données personnelles • ordonner la suspension des flux de données vers un pays tiers Qualifiées par l’Autorité de protection des données de mesures ayant potentiellement « un effet plus dissuasif que l’imposition pure et simple d’une amende administrative » 55
  56. 56. RGPD - Risque plus élevé de sanctions 4.4 Autres mesures Possibilité pour la personne concernée d’introduire une réclamation auprès de l’Autorité de protection des données si elle considère que traitement de ses données à caractère personnel viole le RGPD Possibilité d’introduire une demande en dommages et intérêts devant les juridictions Principe général : renversement de la charge de la preuve (responsabilité du responsable du traitement) 56
  57. 57. Comment être « GDPR Proof » ? 57
  58. 58. TO DO 58 Data mapping Data audit Compliance et Implémentation
  59. 59. 1 Data mapping 59 Explorer le marché Exemple : Data Mapping Tool 5 parties • Informations générales de l’entreprise • Responsable du traitement – Registre – Tiers • Sous-traitant (seulement si d’application) – Registre – Sous-traitants du sous-traitant
  60. 60. RGPD - Informations générales de l’entreprise 60
  61. 61. 61
  62. 62. 62
  63. 63. 63
  64. 64. Cas pratique 1: Audit des activités de traitement Audit de la protection des données Buzzibuzzi SA fait partie du groupe mondial Buzzi, dont la société- mère Buzzibuzzi Inc. est établie aux Etats-Unis. La société-mère a décidé en 2010 que toutes les filiales au monde doivent commencer à utiliser PerfApp, un logiciel dans lequel les évaluations du personnel doivent être conservées. Une caractéristique du logiciel est que les données qui y sont enregistrées peuvent être consultées de partout, y compris depuis les Etats-Unis. Buzzibuzzi SA applique le système depuis 2011 sans s’être jamais posée de questions concernant les aspects « protection des données ». Elle prévoit à présent de le faire dans le cadre d’un exercice de compliance au RGPD. 64
  65. 65. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) a) Description de l’activité de traitement (« Business process ») : Utilisation du logiciel PerfApp pour l’évaluation du personnel 65
  66. 66. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (1) But • (2) Personnes concernées (catégories) • (3) Données à caractère personnel • (4) Collecte des données • (5) Base pour le traitement des données (légalité) • (6) Conservation • (7) Lieu de la conservation 66
  67. 67. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (8) Droits d’accès • (9) Transfert de données en dehors de l’UE (dans le groupe) • (10)Durée de conservation • (11) Notification à la Commission de Protection de la Vie Privée / l’Autorité de protection des données • (12)Les intéressés ont-ils été informés du traitement des données, et comment ? • (13)Mesures de sécurité techniques et organisationnelles • (14)Incidents / différends dans le passé 67
  68. 68. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (1) But – Gestion du personnel et des intermédiaires • (2) Intéressés (catégories) – Personnel actuel – Ancien personnel 68
  69. 69. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (3) Données à caractère personnel – Données d’identification – Données d’identification personnelles : nom, titre, adresse (privée, professionnelle), adresses précédentes, numéro de téléphone (privé, professionnel), données d’identification octroyées par le responsable – Caractéristiques personnelles – Particularités personnelles : âge, sexe, date de naissance, nationalité – Données relatives à « Emploi et occupation » : – Occupation actuelle, engagement, carrière, présence et discipline, organisation du travail, évaluation, formation à la fonction, évaluation de l’utilisation des moyens informatiques (internet, e-mail, ...) 69
  70. 70. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (4) Collecte des données – Via le travailleur – Générées par les supérieurs hiérarchiques et par les RH • (5) Base pour le traitement des données (légalité) – Nécessaire pour l’exécution du contrat de travail avec les travailleurs concernés (autorité de l’employeur) – Nécessaire dans le cadre de l’intérêt légitime de l’employeur, plus précisément dans le cadre de la surveillance de l’exécution du contrat de travail par le travailleur 70
  71. 71. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (6) Conservation – Les données sont conservées sous forme électronique • (7) Lieu de conservation – Via une application web / un logiciel – Le serveur se trouve aux Etats-Unis 71
  72. 72. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (8) Droits d’accès – Les données à caractère personnel des travailleurs enregistrées dans PerfApp sont accessibles par : – Les supérieurs hiérarchiques qui peuvent uniquement avoir accès aux données des travailleurs de leur propre équipe sur lesquels ils ont un pouvoir d’appréciation – Les collaborateurs du département RH qui ont accès à toutes les données – Les collaborateurs du département IT qui ont également accès à toutes les données Ces personnes peuvent, au vu de la structure Matrix, également se situer aux Etats-Unis 72
  73. 73. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (9) Transfert de données à l’extérieur de l’UE (dans le groupe) – Oui, les membres du personnel de Buzzibuzzi Inc. peuvent avoir accès aux données depuis les Etats-Unis – Aucune garantie particulière n’est prise à cet effet 73
  74. 74. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (10)Durée de conservation – Les données à caractère personnel dans PerfApp sont (provisoirement) conservée de manière illimitée, y compris pour les travailleurs qui ne sont plus en service • (11) Notification à la Commission de la Protection de la Vie Privée / l’Autorité de protection des données – Buzzibuzzi SA n’a fait aucune notification auprès l’Autorité de protection des données concernant PerfApp 74
  75. 75. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (12)Les intéressés ont-ils été informés du traitement des données, et comment ? – Il existe une phrase dans le contrat de travail : « Le travailleur reconnait que l’employeur traitera ses données à caractère personnel dans le cadre du contrat de travail. » • (13)Mesures de sécurité techniques et organisationnelles – Mesures techniques – Protection par mot de passe – Liste des membres du personnel habilités – Surveillance, contrôle et maintenance 75
  76. 76. Cas pratique 1: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (14)Incidents / différends dans le passé – Il n’y a encore jamais eu d’incidents ou de différends dans le passé concernant cette activité de traitement 76
  77. 77. Cas pratique 1: Audit des activités de traitement ETAPE 2 – Data audit report (high level) 77 Veiller à des garanties appropriées compte tenu du transfert de données vers les Etats-Unis Veiller à des droits d’accès personnalisés Veiller à une politique de rétention Veiller à une information appropriée (Privacy notice) au personnel concerné
  78. 78. Cas pratique 1: Audit des activités de traitement ETAPE 3 – Mise en œuvre Garanties appropriées pour le transfert de données vers les Etats-Unis • Par exemple : dispositions contractuelles standardisées Droits d’accès personnalisés • Par exemple : dorénavant uniquement au directeur RH et au directeur IT, et pour le personnel subordonné uniquement dans des cas spécifiques et moyennant une autorisation spécifique 78
  79. 79. Cas pratique 1: Audit des activités de traitement ETAPE 3 – Mise en œuvre Politique de rétention • Par exemple : dorénavant, suppression des données des anciens travailleurs un an après la fin de la relation de travail (sauf en cas de litige) Information appropriée • Par exemple : établir une Privacy notice générale à l’intention des travailleurs concernés par cette activité de traitement 79
  80. 80. Cas pratique 2: Audit des activités de traitement Audit de la protection des données A. ABC sa a une assurance de groupe pour ses travailleurs auprès de l’entreprise d’assurance ASSUR sa (voir ci-dessus), Les activités de traitement dans le cadre de l’assurance de groupe d’ABC sa sont séparées (aucune infrastructure / software commun(e) etc.). Uniquement un transfert réciproque des données à caractère personnel. B. Le plan de pension de XYZ sa est géré et exécuté par l’OFP Fonds de pension XYZ (voir ci-dessus). Tant XYZ sa que l’OFP Fonds de pension XYZ utilisent (partiellement), dans le cadre du plan de pension de la base de données / du software d’administration des pensions et du software pay roll de XYZ sa. 80
  81. 81. Cas pratique 2: Audit des activités de traitement ETAPE 1 – Qualification A Responsables du traitement distincts B Responsables du traitement conjoints 81
  82. 82. Cas pratique 2: Audit des activités de traitement ETAPE 2 – Data mapping (high level) b) Détails de l’activité de traitement • (1) But : (A+B) gestion et exécution assurance de groupe / plan de pension • (2) Personnes concernées (catégories) : (A+B) affiliés (travailleurs, (ex-) travailleurs, bénéficiaires potentiels, bénéficiaires effectifs • (3) Données à caractère personnel: (A+B) données d’identification, caractéristiques personnelles particulières, données salariales, données financières, données médicales limitées, ... • (4) Collecte des données: (A+B) aussi bien A que B + aussi par les sous-traitants? • (5) Base pour le traitement des données (légalité): (A+B) nécessaire en raison d’obligations légales /nécessaire à l’exécution du contrat de travail • (6) Conservation : (A) chez Employeur + chez Assureur – (B) : dans base de données / software d’administration des pensions commun • (7) Lieu de la conservation : (A+B) : chez Employeur + chez Assureur / Fonds de pension et éventuellement auprès de tiers (serveurs externes) 82
  83. 83. Cas pratique 2: Audit des activités de traitement ETAPE 1 – Data mapping (high level) b) Détails de l’activité de traitement • (8) Droits d’accès • (9) Transfert de données en dehors de l’UE (dans le groupe) – (A+B) exceptionnel (par exemple, si administration du payroll hors de l’EEE) • (10) Durée de conservation – (A+B) des délais procédures / délais spécifiques sont- elles/ils appliqués aujourd’hui? Les données sont-elles effacées après l’écoulement du délai de conservation ? • (11) Notification à la Commission de Protection de la Vie Privée / l’Autorité de protection des données • (12) Les intéressés ont-ils été informés du traitement des données, et comment ? (A+B) : oui, entre autres via le règlement de pension, les fiches de pension et autres communications • (13) Mesures de sécurité techniques et organisationnelles • (14) Incidents / différends dans le passé 83
  84. 84. Cas pratique 2: Audit des activités de traitement ETAPE 2 – Data audit report (high level) 84 B:Veiller à avoir un accord entre XYZ sa et OFP Fonds de pension XYZ A + B : Veiller à avoir une notification adaptée (privacy notice) à l’égard des affiliés et bénéficiaires A + B : Veiller à une politique de rétention + effacement des données A + B : Adaptation du règlement de pension, de la fiche de pension, des autres communications
  85. 85. Cas pratique 2: Audit des activités de traitement ETAPE 3 – Mise en œuvre Rédiger un accord concernant les obligations RGPD • B: Adaptation de la convention de gestion FP / Employeur : qui s’occupe de quoi + clause « fallback » Privacy notice / statement adapté(e) • A : Employeur  reprendre dans privacy notice « travailleur » générale ? Notification commune Assureur – Employeur ? Pour certaines catégories de personnel, travailler avec un privacy statement online? • B : Qui s’occupe de la notification  Employeur (privacy notice « travailleur » générale) OU FP (par exemple : lettre d’entrée, annexe à la communication en cas de liquidation pour les bénéficiaires effectifs, ...) ? Pour certaines catégories de personnel, travailler avec un privacy statement online (affiliés passifs, bénéficiaires potentiels)? 85
  86. 86. Cas pratique 2: Audit des activités de traitement ETAPE 3 – Mise en œuvre Politique de rétention • A+B : Déterminer la période de conservation (par exemple, 5 ans après l’âge de la retraite / le dernier paiement + 5 ans – compléter avec une clause renvoyant aux délais de prescription applicables) + Mettre en place des procédures / process pour faire effectivement disparaître les données après l’écoulement de la période de conservation ! (+ aussi pour les sous-traitants) Adaptation / rédaction de documents • A: Employeur  règlement de pension (clause de l’assureur) • B : Employeur  règlement de pension ; FP  convention de gestion, privacy notice / lettre d’entrée, fiche de pension, lettres de communication en cas de sortie et de liquidation, vérification des contrats avec les sous-traitants, data protection policy, autres documents (par exemple, Politique de sous-traitance, Politique de sécurité de l’information, ...), Charte DPO 86
  87. 87. Pour en savoir plus... 87
  88. 88. Consultez notre site internet http://gdprbelgium.be/fr 88
  89. 89. Fabienne Raepsaet Avocate - Counsel Claeys & Engels fabienne.raepsaet@claeysengels.be T +32 2 761 47 91 Contact Amaury Arnould Avocat Claeys & Engels amaury.arnould@claeysengels.be T +32 2 761 46 38
  90. 90. Florence Sine Avocate - Senior Associate Claeys & Engels florence.sine@claeysengels.be T +32 2 761 47 42 Contact Sarah Cluydts Avocate Claeys & Engels sarah.cluydts@claeysengels.be T +32 2 761 47 42

×