Cette présentation, réalisée par Frédéric Dechamps lors de notre événément du 20 février dernier, dresse les grandes lignes du GDPR, et le moyen pour votre entreprise de s'y conformer.
1. PROTECTION DE LA VIE
PRIVÉE – LE NOUVEAU
RÈGLEMENT EUROPÉEN
Frédéric DECHAMPS - Lex4u Law Office – fd@lex4u.com -
0475 53 58 89
1
2. CADRE JURIDIQUE
Loi belge du 8.12.1992 relative à la protection de
la vie privée à l’égard des traitements de données
à caractère personnel.
Nouveau règlement européen sur la protection des
données du 27 avril 2016, abrogeant la directive
95/46/CE, et entré en vigueur le 24 mai 2016.
Applicable à partir du 25 mai 2018.
2
3. DE QUOI S’AGIT-IL ?
Une donnée à caractère personnel, c’est :
o toute information…
o permettant d’identifier, directement ou indirectement,
une personne physique.
Exemple : le nom, le domicile, l’adresse postale, l’email, la photo, le
numéro de téléphone, l’âge, etc.
Et...
Les données sensibles Régime juridique spécial.
Exemple : les données médicales, les croyances religieuses ou
philosophiques, l’orientation sexuelle, la couleur de peau, etc. 3
4. QUAND EFFECTUEZ-VOUS UN TRAITEMENT DE
DONNÉES À CARACTÈRE PERSONNEL ? ?
4
« …toute opération portant sur des données à caractère
personnel, quel que soit le procédé technique utilisé… ».
Vous effectuez un traitement de données lorsque vous :
collectez
enregistrez
conservez
utilisez
gérez
modifiez
communiquez
transférez
….
…des données à caractère personnel.
5. SUR QUELLE BASE COLLECTER ET TRAITER
DES
DONNÉES ?
Vous pouvez collecter et traiter des données
que si :
1) la personne a donné son consentement de manière
libre, explicite et informée ; ou
Ex : Une personne vous communique son adresse postale afin de
recevoir votre catalogue de produits ou services (opt in).
2) le traitement est nécessaire à l'exécution d'un
contrat que la personne a conclu avec vous ; ou
Ex : une personne souhaite acheter un produit sur un site web. Pour ce
faire, le vendeur a besoin de certaines informations, telles que son nom,
prénom, adresse postale et email, téléphone, etc.
5
6. SUITE…
3) si la loi l'exige; ou
Ex : en tant qu’employeur, vous devez communiquer à la sécurité sociale certaines données
relatives à votre personnel.
4) le traitement est d'un intérêt vital pour la personne concernée; ou
Ex : vous récoltez des données médicales d’une personne inconsciente, victime d’un accident,
afin de pouvoir lui prodiguer des soinsd’urgence.
5) le traitement doit être effectué pour exécuter une mission d'intérêt public.
Ex : la Poste a le droit de constituer un fichier avec les changements d'adresse de ses clients.
6) le traitement de données est nécessaire à la réalisation d'un intérêt
légitime du responsable ou d'une autre personne ( // proportionnalité).
6
7. DE QUELLE MANIÈRE ?
Pour être conforme à la législation nationale et européenne, les
données à caractère personnel doivent être :
1) traitées de manière licite, loyale et transparente ;
2) collectées pour des finalités déterminées, légitimes, et explicites ;
3) adéquates, pertinentes et nécessaires au regard des finalités
poursuivies ;
4) exactes, et le cas échéant, mises à jour ;
5) conservées sous une forme qui permette l’identification de la
personne pendant une durée limitée ;
6) collectées et traitées de manière à garantir leur sécurité.
7
8. EXEMPLES…
La collecte des données n’est pas loyale si :
o vous collectez des données personnelles à l’insu des
personnes ;
o vous poursuivez d’autres finalités que celles définies au
départ ;
o les données collectées ne sont pas pertinentes,
nécessaires au regard de l’objectif annoncé.
Exemple: vous n’avez pas de raison de demander
la profession, l’âge ou encore l’orientation
sexuelle d’une personne pour lui fournir la liste
des biens immobiliers à vendre ou à louer. 8
9. QUELS CHANGEMENTS AVEC LE NOUVEAU
RÈGLEMENT
GÉNÉRAL SUR LA PROTECTION DES DONNÉES ?
Le nouveau règlement poursuit deux
objectifs principaux :
1. renforcer la protection des droits et
libertés des personnes dont les
données sont traitées ;
2. harmoniser la matière au sein de
l’Union européenne. 9
10. PRINCIPALES NOUVEAUTÉS
o Une meilleure transparence (Ex : devoir d’information renforcé);
o Renforcement du consentement (« explicite » / « acte positif clair » =/= pré-
cochage d’option);
o Amélioration des droits et création de nouveaux droits des personnes
concernées par le traitement (Ex : droit à la portabilité des données);
o Tenir, éventuellement, un registre des activités de traitement
(suppression de l’obligation de déclaration préalable);
o Désignation, dans certaines hypothèses, d’un délégué à la protection des
données;
o Les responsabilités sont partagées et précisées entre le(s)
responsable(s) du traitement et le(s) sous-traitant(s);
o Meilleure sécurité des données (Ex : obligation de notifier les failles de
sécurité à l’autorité de contrôle dans les 72h). 10
11. Que doit faire en pratique
un responsable de
traitement de données à
caractère personnel ?
11
12. AVANT LA COLLECTE ET LE TRAITEMENT
DES DONNÉES…
o Evaluez la situation actuelle au sein de votre entreprise ( audit des traitements de données –
data mapping) et prévoyez un plan d’action avec un responsable (SPOC) au sein de l’entreprise
;
o Tenez, éventuellement, un registre des activités de traitements de données à caractère personnel;
o Evaluez les contrats existants entre vous et vos éventuels sous-traitants ainsi que les contrats de
travail, le règlement, etc. Ils doivent être adaptés ;
o Faites une analyse d’impact pour les traitements qui pourraient engendrer des risques importants
pour les droits et libertés des personnes concernées;
o Révisez vos politiques en matière de vie privée ;
o Prévoyez des procédures en interne pour l’exercice des droits des personnes concernées, etc.;
o Sensibilisez votre personnel sur la question;
o Nommez, éventuellement, un délégué à la protection des données;
o Prévoyez des moyens de sécurisation des données.
12
13. PRIVACY POLICY
Les mentions indispensables (// devoir d’information renforcé) :
Présentez votre entreprise;
Communiquez vos coordonnées (adresse postale et email);
Quelles données sont collectées et traitées ? (Ex : le nom, l’adresse, l’âge,
les revenus, les données bancaires, etc.);
Quelles sont les finalités du traitement (Quels buts poursuivez-vous ?);
Attention : le traitement des données doit être loyal et licite les données
doivent être limitées à ce qui est nécessaire au regard des finalités
(« minimisation des données »).
Durée de conservation des données;
Informez les personnes de leurs droits et voies de recours et plaintes;
Transfert à des tiers ?
Comment assurez-vous la sécurité des données (moyens techniques, etc.)
?
13
14. LES PROCÉDURES À METTRE PLACE / LES
DROITS
DES PERSONNES
Soyez prêts à répondre aux demandes des personnes elles
disposent de droits à l’égard de leurs données personnelles.
Quels sont ces droits ?
Droit d’accès et de copie des données (délai de 1 mois);
Droit de rectification des données;
Droit de s’opposer au traitement;
Droit de limitation du traitement;
Droit à l’effacement (droit à l’oubli);
Droit à la portabilité des données.
14
15. PENDANT LA COLLECTE ET LE TRAITEMENT
DES DONNÉES…
Tenez, éventuellement, votre registre des activités de traitement à
jour;
Soyez prêts à répondre aux questions et demandes des
personnes dont vous collectez et traitez les données ;
Ex : devoir d’information.
Ex : droits d’accès et de copie des données.
En cas de perte, de vol, de fuite des données à caractère personnel,
vous devez notifier rapidement (72h) cette faille de sécurité à
l’autorité de contrôle compétente (Commission belge vie privée),
ainsi qu’aux personnes concernées;
Remarque : Si la violation n’est pas susceptible d’engendrer un risque
pour la vie privée, elle ne doit pas être notifiée.
15
16. LES SANCTIONS EN CAS DE NON RESPECT :
QUE RISQUEZ-VOUS ?
La personne qui a subi un dommage peut se retourner contre le
responsable du traitement ET contre le sous-traitant. Dommages et
intérêts pour les préjudices causés.
Deux types de sanctions possibles:
1) Sanctions administratives En cas de manquement, la
Commission vie privée peut :
limiter temporairement ou définitivement le traitement;
interdire le traitement;
prononcer des amendes pouvant aller jusqu’à 20 millions d’euros ou
4% du chiffre d’affaires annuel mondial d’une entreprise.
2) Sanctions pénales Amendes (entre environ 600 et 600.000
euros).
16