Rgpd depuis le 25 mai 2018 quelles obligations pour les entreprises
Règlement général sur la protection des données
1. Règlement général sur la protection
des données: entre obligations et
droits
Bénédicte Losdyck
Avocate – Crosslaw
Chercheuse au CRIDS – Université de Namur
b.losdyck@crosslaw.be
2. Philosophie qui sous-tend le nouveau règlement
Harmonisation du cadre légal applicable dans tous les Etats membres
Précise les obligations qui existaient sous l’empire de la directive 95/46
et en ajoute de nouvelles
Nécessite à l’avenir un comportement proactif
Prévoit la possibilité pour les autorités de contrôle d’imposer des
amendes administratives pouvant s’élever jusqu’à
20 millions d’euros
4 % du chiffre d’affaires annuel mondial total d’une entreprise
Le montant le plus élevé sera retenu
Brussels - Kortrijk | www.crosslaw.be 2
3. Nécessité de se réserver des preuves
En cas de contrôle: le responsable et le sous-traitant doivent être en
mesure de démontrer la conformité des activités de traitement avec le
règlement, y compris l’efficacité des mesures adoptées
Incorporer des processus de compliance
Contrôler régulièrement les processus
Élément déterminant afin de limiter sa responsabilité et les risques
Brussels - Kortrijk | www.crosslaw.be 3
4. Les nouvelles obligations imposées par le règlement
Obligation de tenir des registres des activités de traitement
Analyse d’impact relative à la protection des données
Désignation d’un délégué à la protection des données
Notification à l’autorité de contrôle d’une violation de données
Brussels - Kortrijk | www.crosslaw.be 4
5. Obligation de tenir des registres des activités de traitement
Etablir une documentation décrivant les traitements réalisés
Obligation pour le responsable et le sous-traitant de tenir un registre
interne incluant:
Noms et données de contact
Finalité du traitement
Catégories de personnes concernées et données traitées
Destinataires
Transferts vers les pays tiers
Délai de conservation
Mesures techniques et organisationnelles
Brussels - Kortrijk | www.crosslaw.be 5
6. Analyse d’impact relative à la protection des données
Pour les traitements susceptibles d’engendrer un risque élevé tels que:
L’évaluation systématique et approfondie d’aspects personnels (ex: profilage) sur la
base de laquelle sont prises des décisions ayant des effets juridiques ou significatifs
Le traitement de données particulières ou relatives à des condamnations pénales
La surveillance systématique à grande échelle d’une zone accessible au public
Evaluation a priori
Avis du DPO et des personnes concernées ou de leurs représentants requis
Si l’analyse indique un risque élevé : consultation préalable de l’autorité de
contrôle
Analyse doit être documentée
Autorité de contrôle nationale doit établir une liste des types d’opérations
pour lesquelles une analyse d’impact est requise
Brussels - Kortrijk | www.crosslaw.be 6
7. Désignation d’un délégué à la protection des données
Dans quels cas?
Autorités ou organismes publics
Activité principale consiste en du profilage à grande échelle
Activité principale consiste en du traitement de données particulières ou
relatives à des condamnations pénales à grande échelle
D’autres possibilités peuvent être prévues par le législateur
Obligation applicable tant au responsable qu’au sous-traitant
Peut être membre du personnel ou engagé sur la base d’un contrat de
service
Possibilité d’avoir un seul délégué pour
Un groupe d’entreprises
Plusieurs autorités ou organismes publics
Brussels - Kortrijk | www.crosslaw.be 7
8. Notification à l’autorité de contrôle d’une violation de données
Se préparer à une éventuelle fuite de données
Préparer sa réaction a priori
Mettre en place des procédures de notification
Notification à l’autorité de supervision
Sans retard et si possible endéans les 72h
Si impossible : justifier les motifs du retard
Exception si pas de risque pour les droits et libertés des personnes concernées
Notification à la personne concernée
En cas de risque élevé pour ses droits et libertés
Le chiffrement des données peut permettre d’être exempté
Le sous-traitant doit notifier au responsable du traitement sans délai
Obligation pour le responsable de documenter toute violation de données
Brussels - Kortrijk | www.crosslaw.be 8
9. Fondement du traitement de données ?
Traitement opéré sur la base du consentement ?
Si oui, attention car cette notion est définie plus strictement par le règlement
Le silence ne suffit plus
Nécessité d’une action positive (déclaration ou acte positif clair)
Nécessité d’un consentement explicite dans certaines hypothèses
Preuve à charge du responsable du traitement
Pas de mesure transitoire prévue
Consentement obtenu conformément aux nouvelles exigences?
Conditions strictes pour obtenir le consentement des enfants dans le cadre des
services de la société de l’information
Brussels - Kortrijk | www.crosslaw.be 9
10. Fondement du traitement de données ?
Traitement basé sur l’intérêt légitime?
Importance de pouvoir le justifier
Responsable du traitement
Tiers
Mise en balance avec les intérêts et les droits et libertés de la personne
Exemples fournis par le règlement
Prévention de la fraude
Marketing direct (à des fins de prospection)
Ressource humaine et gestion clients
Obligation de communiquer l’information
Utilisation accrue à l’avenir vu la facilité avec laquelle le consentement peut
être rétracté
Brussels - Kortrijk | www.crosslaw.be 10
11. Les nouveaux droits de la personne concernée
Droit à l’effacement ou droit à l’oubli
Droit à la limitation du traitement
Droit à la portabilité des données
Le responsable du traitement doit
Communiquer en des termes clairs et simples
Faciliter l’exercice de ces droits
Fournir les informations sur les mesures prises dans un délai d’un mois
Assumer les frais liés sauf si la demande est infondée ou excessive
Brussels - Kortrijk | www.crosslaw.be 11
12. Droit à l’effacement ou droit à l’oubli
Existait déjà mais est étendu
Peut être exercé à condition que:
Les données ne soient plus nécessaires au regard de la finalité poursuivie
Le consentement sur lequel est fondé le traitement soit retiré
La personne concernée s’oppose au traitement et qu’il n’y ait pas de motif légitime
impérieux pour le traitement
Le traitement soit illicite
Ce soit nécessaire pour respecter une obligation légale
Les données aient été collectées dans le cadre de l’offre de services de la société de
l’information à des enfants
Le responsable qui a rendu les données publiques est tenu de les effacer et
d’informer les responsables de traitement qui traitent ces données qu’il
convient d’effacer tout lien vers celles-ci ou toute copie ou reproduction
Brussels - Kortrijk | www.crosslaw.be 12
13. Droit à la limitation du traitement
Droit d’obtenir que le responsable limite le traitement des données
lorsque:
L’exactitude des données est contestée
Le traitement est illicite
Les données ne sont plus nécessaires aux fins du traitement mais la personne
concernée en a besoin pour faire valoir ses droits en justice
Le droit d’opposition est exercé
Interdiction de traiter les données sans le consentement pendant cette
période
Obligation pour le responsable de notifier la limitation du traitement à
chaque destinataire des données
Brussels - Kortrijk | www.crosslaw.be 13
14. Droit à la portabilité des données
Droit de recevoir ses données dans un format structuré, couramment
utilisé, lisible et interopérable et de demander leur transmission à un
autre responsable de traitement à condition que, cumulativement :
Le traitement soit automatisé
La personne ait fourni les données au responsable du traitement
Le traitement soit fondé sur le consentement ou soit nécessaire à l’exécution
d’un contrat
Le transfert des données vers un autre responsable soit techniquement
possible (en cas de demande de transfert)
Pas d’obligation pour le responsable d’adopter ou de maintenir des
systèmes de traitement qui sont techniquement compatibles
Brussels - Kortrijk | www.crosslaw.be 14
15. En pratique, avant le 25 mai 2018
Soyez capable de démontrer le respect des dispositions légales
Documenter
les traitements de données à caractère personnel
les processus de mise en conformité
Evaluez l’ensemble des contrats existants dans lesquels votre entreprise ou
organisme est responsable ou sous-traitant
Amendement/renforcement de certaines obligations contractuelles requis?
Modifiez à l’avenir vos contrats types en prévoyant
Les droits et obligations du responsable du traitement
Les obligations du sous-traitant
Adaptez vos politiques en matière de vie privée
Formez vos équipes
Brussels - Kortrijk | www.crosslaw.be 15