Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
La vie d’une entreprise et la vie privée
Comment implémenter le nouveau règlement européen
sur la protection des données p...
La loi vie privée existe… depuis 1992
La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen
contre toute u...
Petit rappel des épisodes précédents
• Définition des finalités
• Déclarations des traitements auprès de la CPVP
• Informa...
Objectifs du règlement européen
• Harmonisation des législations sur la
protection des données
• Directive Règlement
• Ada...
Différences avec la loi de 1992
• Champ d’application plus étendu
• Nouvelles définitions
• Responsabilité du responsable ...
Prenons un exemple concret
• Nous allons vous proposer les différentes
étapes de la vie d’une entreprise
• Et à chaque éta...
Création de LANZADO
• Commerce en ligne de vêtements pour
hommes et femmes
• Commerce en ligne
– Qui est le responsable de...
Mise en place du système informatique
• Création de
fichiers
– Prospects
– Clients
– Logs d’inscriptions
– Achats
Sécurité de l’information
– ISO 27002 peut être un référentiel
– Gestion des profils pour accès informatique
(Need to have...
Engagement de quatre employés
• Création d’un fichier des membres du personnel
 Que peut-on enregistrer ?
 Peut-on tout ...
Lanzado signe un contrat avec une agence qui
crée un site Internet de commerce électronique
destiné aux clients belges fra...
Privacy Policy
Un juriste est contacté ou la fédération professionnelle (ou
UCM,UWE,…) ou un DPO
pour préparer :
• Un regi...
En pratique, qu’est-ce que cela implique pour la
société LANZADO ?
• Données traitées de manière licite, loyale et
transpa...
L’agence demande si des cookies
peuvent être installés
• Mécanisme d’opt-in =consentement préalable et
informé des utilisa...
Information donnée à propos des
cookies
Avertissement
• clair, compréhensible et visible
• accessible depuis chaque page e...
L’agence leur crée une page Facebook,
un compte Twitter et Instagram
• Si enregistrement des contacts réseaux
sociaux
• Ce...
La société achète des listes de
prospects à des list-brokers
• Garantie du list broker
• Deux cas envois
– soit par le lis...
Le premier client passe commande
• Information à fournir lors de l’enregistrement
des données
• Enregistrement des données...
L’informaticien crée une base
de données de clients et se
pose la question de savoir ce
qui doit être conservé
comme infor...
L’agence effectue une campagne d’e-mailing
• Vérifier la fiabilité des
emails
• Preuve
– de l’opt-in
– Source
– date d’obt...
Une personne contactée durant cette campagne envoie
un recommandé et porte plainte auprès de la CPVP :
elle ne comprend pa...
Après 3 mois LANZADO a déjà 3.000 clients en
Belgique, et elle décide de prospecter des clients en
Suisse, en France et au...
USA
Andorre
Argentine,
Canada,
Suisse…
NON OUI
Niveau de protection adéquat
Transfert vers un pays tiers à
l’UE
OUINON
Tra...
Un vendeur est interrogé par un client qui lui
demande si LANZADO a un responsable vie privée.
• DPO
• Pas pour tout le mo...
Le quatrième mois, plusieurs clients
mécontent, qui avaient déjà acheté des
vêtements, les contactent et demandent
que leu...
Le fichier des clients et des prospects se développe et
LANZADO décide d’utiliser un CRM vendu par une société
américaine ...
Pour protéger le stock Lanzado souhaite installer des
caméras de surveillance dans et autour de son
entrepôt
Un administrateur de LANZADO, demande lors du
dernier CA, quelles sont les mesures de sécurité qui
ont été prises afin de ...
CONCLUSIONS
Il faut prendre conscience de l’importance de bien gérer
les données dans une entreprise et de les protéger
ef...
…Entre 2016 et 2018
vous devrez donc…
1. Vérifier dans quelle mesure votre entreprise est en conformité avec
la legislatio...
Nous vous remercions pour votre attention !
Nathalie Ragheno
Premier conseiller
 +32 2 515 09 52
* nr@vbo-feb.be
Jacques ...
Vous avez
des
questions ?
Liens utiles:
• https://www.privacycommission.be/fr/themes
-de-vie-privee
• https://www.privacycommission.be/fr/la-vie-
pr...
Prochain SlideShare
Chargement dans…5
×

Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?

1 786 vues

Publié le

En 2018, une nouvelle réglementation en matière de vie privée sera à prendre en compte dans toutes les entreprises.
Conférence organisée par Technofutur TIC le 17/05/2016. Intervenants : Jacques Folon & Nathlia Ragheno

  • Soyez le premier à commenter

Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?

  1. 1. La vie d’une entreprise et la vie privée Comment implémenter le nouveau règlement européen sur la protection des données personnelles Nathalie Ragheno Jacques Folon, Ph.D
  2. 2. La loi vie privée existe… depuis 1992 La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel. Elle définit non seulement - les droits et devoirs de la personne dont les données sont traitées - mais aussi ceux du responsable d'un tel traitement. Etes-vous à ce jour parfaitement en règle par rapport à la loi vie privée?
  3. 3. Petit rappel des épisodes précédents • Définition des finalités • Déclarations des traitements auprès de la CPVP • Information des personnes enregistrées • Consentement des personnes concernées • Droit d’accès, de rectification, d’opposition • Transfert des données vers des pays hors UE
  4. 4. Objectifs du règlement européen • Harmonisation des législations sur la protection des données • Directive Règlement • Adaptation aux nouvelles technologies et nouveaux médias sociaux • Renforcer l’indépendance et les pouvoirs des autorités de contrôle nationales • Limiter les charges administratives des entreprises (?!) #
  5. 5. Différences avec la loi de 1992 • Champ d’application plus étendu • Nouvelles définitions • Responsabilité du responsable de traitement ET du sous-traitant • Sanctions importantes avec le règlement • Pouvoir accru de la CPVP (Pouvoir d’investigation et de sanction)  Charges administratives pour les entreprises
  6. 6. Prenons un exemple concret • Nous allons vous proposer les différentes étapes de la vie d’une entreprise • Et à chaque étape nous attirerons votre attention sur les règles à respecter en fonction du règlement européen
  7. 7. Création de LANZADO • Commerce en ligne de vêtements pour hommes et femmes • Commerce en ligne – Qui est le responsable de traitement? – Obligations du responsable de traitement? – Accountability !
  8. 8. Mise en place du système informatique • Création de fichiers – Prospects – Clients – Logs d’inscriptions – Achats
  9. 9. Sécurité de l’information – ISO 27002 peut être un référentiel – Gestion des profils pour accès informatique (Need to have) – Gestion de login & password
  10. 10. Engagement de quatre employés • Création d’un fichier des membres du personnel  Que peut-on enregistrer ?  Peut-on tout savoir ? Quid des données sensibles (médicales, religieuses,…)? Quid des données judiciaires (condamnations,…)? • Règlement de travail - Clauses de confidentialité - Utilisation d’internet et des réseaux sociaux (CCT 81) - Surveillance par caméra - …. • Information sur la protection des données personnelles - Code de conduite sur la protection des données - Bring your own device
  11. 11. Lanzado signe un contrat avec une agence qui crée un site Internet de commerce électronique destiné aux clients belges francophones • Hébergement • Sous-traitance donnée vie privée • Responsabilité • Choix du sous-traitant
  12. 12. Privacy Policy Un juriste est contacté ou la fédération professionnelle (ou UCM,UWE,…) ou un DPO pour préparer : • Un registre des traitements • Analyse d’impact pour certains traitements • Information des personnes enregistrées • Instructions en interne Il est important dans ce cadre de : • Adapter les policies aux spécificités de l’entreprise • Mettre à jour les fichiers existants et les policies • ET se méfier des modèles sur Internet !!!!!
  13. 13. En pratique, qu’est-ce que cela implique pour la société LANZADO ? • Données traitées de manière licite, loyale et transparente • A des fins légitimes et déterminées • Pas de données excessives (proportionnalité) • Et mise à jour de ces données • Conservation limitée de ces données • Information des consommateurs ET consentement Attention: cela vaut aussi pour toute collecte de données ( directement, indirectement et via internet)
  14. 14. L’agence demande si des cookies peuvent être installés • Mécanisme d’opt-in =consentement préalable et informé des utilisateurs • Consentement donné 1X • Utilisateur doit pouvoir choisir – pas de conséquences négatives s’il refuse • Consentement demandé sur écran de démarrage, dans la page ou bandeau • Action positive de l’utilisateur = consentement (ex: butinage vers d’autres pages du site) • Consentement doit pouvoir être retiré
  15. 15. Information donnée à propos des cookies Avertissement • clair, compréhensible et visible • accessible depuis chaque page et référencé de manière visible • Et portant sur Exemples sur le site de la CPVP – les finalités – les catégories d’infos stockées – la durée conservation – les modalités d’effacement – et les éventuelles communications à des tiers
  16. 16. L’agence leur crée une page Facebook, un compte Twitter et Instagram • Si enregistrement des contacts réseaux sociaux • Ce sont des données personnelles
  17. 17. La société achète des listes de prospects à des list-brokers • Garantie du list broker • Deux cas envois – soit par le list broker – Soit on achète la liste
  18. 18. Le premier client passe commande • Information à fournir lors de l’enregistrement des données • Enregistrement des données (collecte, organisation, conservation, extraction, consultation,communication, diffusion, interconnexion,…) • Droit d’accès (gratuit et réponse dans un délai de max. 1 mois) • Droit de rectification , d’effacement • Droit d’opposition et droit de demander de ne pas être contacté (Do Not Call Me List + Liste Robinson) Opt-out • Droit à l’oubli Transparence des informations Conserver dates des enregistrement + sources et traces des opt-out
  19. 19. L’informaticien crée une base de données de clients et se pose la question de savoir ce qui doit être conservé comme information • Partition des fichiers – Marketing – Comptabilité – Refus partiel • Client actif • Client qui ne veut plus être contacté • Droit à l’oubli
  20. 20. L’agence effectue une campagne d’e-mailing • Vérifier la fiabilité des emails • Preuve – de l’opt-in – Source – date d’obtention • Quid des données existantes
  21. 21. Une personne contactée durant cette campagne envoie un recommandé et porte plainte auprès de la CPVP : elle ne comprend pas comment cette société a eu son adresse email • Information lors de la collecte de données (même si ce n’est pas auprès de la personne concernée elle-même) • Dans un délai raisonnable (max. 1 mois ou lors de la 1ère communication)
  22. 22. Après 3 mois LANZADO a déjà 3.000 clients en Belgique, et elle décide de prospecter des clients en Suisse, en France et au Luxembourg  que doit-elle vérifier? La prospection inclut-elle un transfert de données personnelles? Le pays destinataire est-il situé dans l’UE? Le pays destinataire garantit-il un niveau de protection adéquat des données?
  23. 23. USA Andorre Argentine, Canada, Suisse… NON OUI Niveau de protection adéquat Transfert vers un pays tiers à l’UE OUINON Transfert au sein d’un groupe Transfert hors groupe Transaction spécifique Clauses contractuelles Consentement, Contrat Binding Corporate Rules
  24. 24. Un vendeur est interrogé par un client qui lui demande si LANZADO a un responsable vie privée. • DPO • Pas pour tout le monde – Organisme public – Seuil pour secteur privé – Traitement à risque (pas encore défini)
  25. 25. Le quatrième mois, plusieurs clients mécontent, qui avaient déjà acheté des vêtements, les contactent et demandent que leurs données soient retirées de la base de données Oui mais quelle base de donnée ? Toutes les données?
  26. 26. Le fichier des clients et des prospects se développe et LANZADO décide d’utiliser un CRM vendu par une société américaine et dont les données seront stockées dans le Cloud • Responsabilité • Clauses commission • Contrat avec réversibilité
  27. 27. Pour protéger le stock Lanzado souhaite installer des caméras de surveillance dans et autour de son entrepôt
  28. 28. Un administrateur de LANZADO, demande lors du dernier CA, quelles sont les mesures de sécurité qui ont été prises afin de respecter le minimum légal • Sécurité suffisante • Data breach notification
  29. 29. CONCLUSIONS Il faut prendre conscience de l’importance de bien gérer les données dans une entreprise et de les protéger efficacement Il est nécessaire de politique pro-active (accountability) désigner une personne responsable (DPO ou non) Sinon  risques de sanction risques d’image et de réputation
  30. 30. …Entre 2016 et 2018 vous devrez donc… 1. Vérifier dans quelle mesure votre entreprise est en conformité avec la legislation actuelle en matière de Data Protection 2. et étudier les mesures complémentaires à mettre en oeuvre au regard du nouveau Règlement Don’t wait! Do it Now
  31. 31. Nous vous remercions pour votre attention ! Nathalie Ragheno Premier conseiller  +32 2 515 09 52 * nr@vbo-feb.be Jacques Folon Partner Edge-Consulting Professeur Ichec Me. de conf. ULG +32 475 98 21 15 * jacques.folon@ichec.be www.folon.com
  32. 32. Vous avez des questions ?
  33. 33. Liens utiles: • https://www.privacycommission.be/fr/themes -de-vie-privee • https://www.privacycommission.be/fr/la-vie- privee-sur-le-lieu-de-travail • CCT 81 http://www.cnt-nar.be/CCT-COORD/cct- 081.pdf

×