Conférence Creobis - 9 juin 2016 - Bruxelles

1. Règlement général sur la protection
des données: entre obligations et
droits
Bénédicte Losdyck
Avocate – Crosslaw
Chercheuse au CRIDS – Université de Namur
b.losdyck@crosslaw.be

2. Philosophie qui sous-tend le nouveau règlement
 Harmonisation du cadre légal applicable dans tous les Etats membres
 Précise les obligations qui existaient sous l’empire de la directive 95/46
et en ajoute de nouvelles
 Nécessite à l’avenir un comportement proactif
 Prévoit la possibilité pour les autorités de contrôle d’imposer des
amendes administratives pouvant s’élever jusqu’à
 20 millions d’euros
 4 % du chiffre d’affaires annuel mondial total d’une entreprise
Le montant le plus élevé sera retenu
Brussels - Kortrijk | www.crosslaw.be 2

3. Nécessité de se réserver des preuves
 En cas de contrôle: le responsable et le sous-traitant doivent être en
mesure de démontrer la conformité des activités de traitement avec le
règlement, y compris l’efficacité des mesures adoptées
 Incorporer des processus de compliance
 Contrôler régulièrement les processus
 Élément déterminant afin de limiter sa responsabilité et les risques
Brussels - Kortrijk | www.crosslaw.be 3

4. Les nouvelles obligations imposées par le règlement
 Obligation de tenir des registres des activités de traitement
 Analyse d’impact relative à la protection des données
 Désignation d’un délégué à la protection des données
 Notification à l’autorité de contrôle d’une violation de données
Brussels - Kortrijk | www.crosslaw.be 4

5. Obligation de tenir des registres des activités de traitement
 Etablir une documentation décrivant les traitements réalisés
 Obligation pour le responsable et le sous-traitant de tenir un registre
interne incluant:
 Noms et données de contact
 Finalité du traitement
 Catégories de personnes concernées et données traitées
 Destinataires
 Transferts vers les pays tiers
 Délai de conservation
 Mesures techniques et organisationnelles
Brussels - Kortrijk | www.crosslaw.be 5

6. Analyse d’impact relative à la protection des données
 Pour les traitements susceptibles d’engendrer un risque élevé tels que:
 L’évaluation systématique et approfondie d’aspects personnels (ex: profilage) sur la
base de laquelle sont prises des décisions ayant des effets juridiques ou significatifs
 Le traitement de données particulières ou relatives à des condamnations pénales
 La surveillance systématique à grande échelle d’une zone accessible au public
 Evaluation a priori
 Avis du DPO et des personnes concernées ou de leurs représentants requis
 Si l’analyse indique un risque élevé : consultation préalable de l’autorité de
contrôle
 Analyse doit être documentée
 Autorité de contrôle nationale doit établir une liste des types d’opérations
pour lesquelles une analyse d’impact est requise
Brussels - Kortrijk | www.crosslaw.be 6

7. Désignation d’un délégué à la protection des données
 Dans quels cas?
 Autorités ou organismes publics
 Activité principale consiste en du profilage à grande échelle
 Activité principale consiste en du traitement de données particulières ou
relatives à des condamnations pénales à grande échelle
 D’autres possibilités peuvent être prévues par le législateur
 Obligation applicable tant au responsable qu’au sous-traitant
 Peut être membre du personnel ou engagé sur la base d’un contrat de
service
 Possibilité d’avoir un seul délégué pour
 Un groupe d’entreprises
 Plusieurs autorités ou organismes publics
Brussels - Kortrijk | www.crosslaw.be 7

8. Notification à l’autorité de contrôle d’une violation de données
 Se préparer à une éventuelle fuite de données
 Préparer sa réaction a priori
 Mettre en place des procédures de notification
 Notification à l’autorité de supervision
 Sans retard et si possible endéans les 72h
 Si impossible : justifier les motifs du retard
 Exception si pas de risque pour les droits et libertés des personnes concernées
 Notification à la personne concernée
 En cas de risque élevé pour ses droits et libertés
 Le chiffrement des données peut permettre d’être exempté
 Le sous-traitant doit notifier au responsable du traitement sans délai
 Obligation pour le responsable de documenter toute violation de données
Brussels - Kortrijk | www.crosslaw.be 8

9. Fondement du traitement de données ?
 Traitement opéré sur la base du consentement ?
 Si oui, attention car cette notion est définie plus strictement par le règlement
 Le silence ne suffit plus
 Nécessité d’une action positive (déclaration ou acte positif clair)
 Nécessité d’un consentement explicite dans certaines hypothèses
 Preuve à charge du responsable du traitement
 Pas de mesure transitoire prévue
 Consentement obtenu conformément aux nouvelles exigences?
 Conditions strictes pour obtenir le consentement des enfants dans le cadre des
services de la société de l’information
Brussels - Kortrijk | www.crosslaw.be 9

10. Fondement du traitement de données ?
 Traitement basé sur l’intérêt légitime?
 Importance de pouvoir le justifier
 Responsable du traitement
 Tiers
 Mise en balance avec les intérêts et les droits et libertés de la personne
 Exemples fournis par le règlement
 Prévention de la fraude
 Marketing direct (à des fins de prospection)
 Ressource humaine et gestion clients
 Obligation de communiquer l’information
 Utilisation accrue à l’avenir vu la facilité avec laquelle le consentement peut
être rétracté
Brussels - Kortrijk | www.crosslaw.be 10

11. Les nouveaux droits de la personne concernée
 Droit à l’effacement ou droit à l’oubli
 Droit à la limitation du traitement
 Droit à la portabilité des données
 Le responsable du traitement doit
 Communiquer en des termes clairs et simples
 Faciliter l’exercice de ces droits
 Fournir les informations sur les mesures prises dans un délai d’un mois
 Assumer les frais liés sauf si la demande est infondée ou excessive
Brussels - Kortrijk | www.crosslaw.be 11

12. Droit à l’effacement ou droit à l’oubli
 Existait déjà mais est étendu
 Peut être exercé à condition que:
 Les données ne soient plus nécessaires au regard de la finalité poursuivie
 Le consentement sur lequel est fondé le traitement soit retiré
 La personne concernée s’oppose au traitement et qu’il n’y ait pas de motif légitime
impérieux pour le traitement
 Le traitement soit illicite
 Ce soit nécessaire pour respecter une obligation légale
 Les données aient été collectées dans le cadre de l’offre de services de la société de
l’information à des enfants
 Le responsable qui a rendu les données publiques est tenu de les effacer et
d’informer les responsables de traitement qui traitent ces données qu’il
convient d’effacer tout lien vers celles-ci ou toute copie ou reproduction
Brussels - Kortrijk | www.crosslaw.be 12

13. Droit à la limitation du traitement
 Droit d’obtenir que le responsable limite le traitement des données
lorsque:
 L’exactitude des données est contestée
 Le traitement est illicite
 Les données ne sont plus nécessaires aux fins du traitement mais la personne
concernée en a besoin pour faire valoir ses droits en justice
 Le droit d’opposition est exercé
 Interdiction de traiter les données sans le consentement pendant cette
période
 Obligation pour le responsable de notifier la limitation du traitement à
chaque destinataire des données
Brussels - Kortrijk | www.crosslaw.be 13

14. Droit à la portabilité des données
 Droit de recevoir ses données dans un format structuré, couramment
utilisé, lisible et interopérable et de demander leur transmission à un
autre responsable de traitement à condition que, cumulativement :
 Le traitement soit automatisé
 La personne ait fourni les données au responsable du traitement
 Le traitement soit fondé sur le consentement ou soit nécessaire à l’exécution
d’un contrat
 Le transfert des données vers un autre responsable soit techniquement
possible (en cas de demande de transfert)
 Pas d’obligation pour le responsable d’adopter ou de maintenir des
systèmes de traitement qui sont techniquement compatibles
Brussels - Kortrijk | www.crosslaw.be 14

15. En pratique, avant le 25 mai 2018
 Soyez capable de démontrer le respect des dispositions légales
 Documenter
 les traitements de données à caractère personnel
 les processus de mise en conformité
 Evaluez l’ensemble des contrats existants dans lesquels votre entreprise ou
organisme est responsable ou sous-traitant
 Amendement/renforcement de certaines obligations contractuelles requis?
 Modifiez à l’avenir vos contrats types en prévoyant
 Les droits et obligations du responsable du traitement
 Les obligations du sous-traitant
 Adaptez vos politiques en matière de vie privée
 Formez vos équipes
Brussels - Kortrijk | www.crosslaw.be 15

16. Merci pour votre attention.
Questions?
Brussels - Kortrijk | www.crosslaw.be 16