❝Vers un nouveau règlement sur la protection des données
Liège, 25 mars 2016Jean-François HENROTTE
Fanny COTON
www.earlegal.beGroupe Larcier / Lexing 2
Où en est-on ?
Aujourd’huiDirective 95/46 – Loi du 8/12/1992
Demain : Règlement général 2016/679 du 27/04/16
sur la protection des données (GDPR) applicable le 25/05/18
www.earlegal.beGroupe Larcier / Lexing 3
Principe d’« accountability »
mettre en oeuvre les mesures techniques et organisationnelles appropriées+ les actualiser si nécessaire
ACCOUNTABILITY (Article 24.1):Etre en mesure de démontrer que l’on respecte le
règlementTRANSPARENCE
MODIFIER LES PRATIQUES ACTUELLES
www.earlegal.beGroupe Larcier / Lexing 4
Sanctions
Amendes administratives infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent
Justifie des investissements importants
www.earlegal.beGroupe Larcier / Lexing 5
Programme
Le siège de ma société est situé en dehors de l’UE, suis-je impacté par le règlement ?Puis-je héberger des données à caractère personnel hors de l’Union européenne ?Quelles sont les nouvelles obligations de ma société en tant que responsable du traitement?Quelles sont les nouvelles obligations de ma société en tant que sous-traitant?
www.earlegal.beGroupe Larcier / Lexing 6
Programme
Quelles sont les évolutions relatives aux droits des personnes concernées ?Que faire en cas de brèche de sécurité?Quelles relations avec la Commission Vie privée ?Quelle est la marche à suivre pour mettre mon entreprise en conformité avec le règlement ?
Groupe Larcier / Lexing www.earlegal.be
❝
7
1.
Le siège de ma société est hors de l’UE, suis-je impacté par le nouveau règlement ?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -serveurs communs dans le Coloradosuccursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg,scanne les communications des employés pour déceler n° de carte de crédit de ses clients européens et américainselle veut traiter les résultats à Denver et à défaut, en Italie
www.earlegal.beGroupe Larcier / Lexing 9
Droit applicable au traitement selon la directive
Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002]De quel traitement s’agit-il ?Qui est responsable de ce traitement ? Le responsable est-il établi sur le territoire de l’état membre ?Cet établissement est-il pertinent pour le traitement ?
www.earlegal.beGroupe Larcier / Lexing 10
Droit applicable au traitement selon la directive
Établissement du RT sur le territoire d’un EMSiège?PJ?Serveur?
Dans le cadre des activitésApproche fonctionnelle ou économiqueG29, CJUE Google Spain
www.earlegal.beGroupe Larcier / Lexing 11
Droit applicable au traitement selon la directive
www.earlegal.beGroupe Larcier / Lexing
Champ d’application plus large
Directive :Établissement du RT sur le territoire d’un EM et traitement dans le cadre des activités de l’Et.recours à des moyens sur 1 EM
Règlement :s’appliquera également aux traitements effectués par des entreprises situées hors de l’Union européenne, si
elles offrent leurs produits et services aux citoyens de l’UE ou observent leur comportement.
www.earlegal.beGroupe Larcier / Lexing 13
Droit applicable au traitement selon le règlement
Art. 3.2 a) Traitement de données de personnes ayant leur résidence sur le territoire l'UE,
par un RP qui n'est pas établi dans l'Union, lorsque les activités de traitement sont :
- liées à l'offre de biens ou de services à ces personnes concernées dans l'Union
www.earlegal.beGroupe Larcier / Lexing 14
Droit applicable au traitement selon le règlement
Art. 3.2 b) – liées au suividu comportementdes personnes concernéessi ce comportement a lieu dans l’UE
techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. (cons. 24) – Cookies, javascript mais aussi Fb
www.earlegal.beGroupe Larcier / Lexing 15
Représentant dans l’Union
Art. 27
Un représentant doit être mandaté par le RT à traiter en plus ou à la place du RT toutes les questions liées au traitement des données personnelles par les autorités de contrôle et les personnes concernées
Groupe Larcier / Lexing www.earlegal.be
❝
16
2.
Puis-je héberger des données à caractère personnel
hors de l’Union européenne?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -serveurs communs dans le Colorado500 employéssuccursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg,Développe un logiciel pour la gestion de ses 5.000 clients (CRM)elle veut traiter les résultats à Denver et à défaut, en Italie
www.earlegal.beGroupe Larcier / Lexing
Transfert
Transfert de données = traitement de données en tant que telRespect :• des règles applicables à tout traitement de
données• des règles encadrant le transfertPrincipe : interdiction des transferts de données vers des pays n'offrant pas un niveau de protection adéquat
www.earlegal.beGroupe Larcier / Lexing
Transfert au sein de l’UE
Directive : régime « équivalent » au sein des 28 États membresAu sein de l’UE : autorisé de la même manière qu’un transfert au sein d’un même ÉtatPas d’autorisation à solliciter
Déterminer le droit applicable à chaque traitement OK pour l’Italie
Groupe Larcier / Lexing www.earlegal.be
❝Puis-je héberger mon site web et ma base de données clients
dans un cloud aux USA?
www.earlegal.beGroupe Larcier / Lexing
Transfert hors de l’UE
Seulement si le pays en question assure un niveau de protection adéquat.
Ok pour transfertde données parla société aux USA ?
www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : quels pays ?
Liste blanche de la Commission: Norvège, Liechtenstein, Islande, Suisse, Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act" et pour les données relatives aux passagers aériens), Andorre, Argentine, Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les données relatives aux passagers aériens), Israël, Nouvelle-Zélande et Uruguay
Législation des États-Unis n’offre pas le niveau de protection adéquat
www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : Safe Harbour ?
Pour les États-Unis : ok si le destinataire des données aux États-Unis a adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour Principles » (ainsi que pour les données relatives aux passagers aériens)
MAIS : Autorégulation : entreprises déclarent qu'elles respectent les principes du «Safe Harbour» et sont inscrites dans un registre du Département américain du Commerce.
Chaque année: auto-certification ou organisme certificateur externe. Trop de souplesse
Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière de sécurité nationale et restriction des pouvoirs des ARN)
Privacy shield depuis le 1er août 2016Contesté devant CJUE
www.earlegal.beGroupe Larcier / Lexing
Nouveautés pour les transferts ?
GDPR : Critères plus nombreux et plus précis que Directive pour reconnaitre le niveau de protection adéquat
Autorité nationale doit :surveiller le déroulement effectif des transferts vérifier que l'État tiers présente toujours un niveau de protection adéquat
possibilité pour la Commission d’amender ou suspendre sa décision, possibilité de retirer la décision
www.earlegal.beGroupe Larcier / Lexing
Quid si cloud provider aux USA ou en Inde ?
Solution : clauses contractuelles spécifiquesclauses types :
RT: Décision de la Commission du 15 juin 2001 ST: Décision de la Commission du 5 février 2010
ou non : Les entreprises peuvent proposer leurs propres clauses et soumettre à l’Autorité nationale de contrôle
Dérogations : notamment consentement de la personne concernée et nécessaire à l’exécution d’un contrat
Groupe Larcier / Lexing www.earlegal.be
❝Chaque société de mon groupe doit-elle conclure une convention vie privée
pour communiquer des données à une autre société du groupe ?
www.earlegal.beGroupe Larcier / Lexing
NON
Solution : Règles d’entreprise contraignantes
(Binding Corporate Rules = BCR)
Règles d’entreprise contraignantes
www.earlegal.beGroupe Larcier / Lexing
Règles d’entreprise contraignantes
A l'intérieur d'un groupement d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe
Multinationale n'introduit qu'une seule demande auprès d'une Autorité de contrôle "chef de file", examinée par 28 autorités de manière concertée
En Belgique : après approbation de la Commission : arrêté royal
Ne couvre pas les flux de données en dehors de ce groupe
www.earlegal.beGroupe Larcier / Lexing
BCR dans le Règlement
Améliorations pour les entreprises ?disposition spécifique (démontre l'importance accordée aux multinationales)pratiques administratives déjà établies (désignation de l'autorité chef de file, procédure coordonnée, critères,…) sont reprises directement dans le règlementtravail des Autorités Nationales devrait être plus efficace et plus rapide
Améliorations pour les citoyens ?renforcement des critères à satisfaire pour obtenir l’approbation des BCRsurveillance régulière du respect des critèrespossibilité de remettre en question les décisions prises (mais volonté politique de le faire concrètement ?)
www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
Visent tous deux les TPE et PME :
Code de conduite = équivalent "allégé" des BCRProjet par les associations regroupant les responsables de traitement ou les sous-traitants Soumis à l'Autorité de Contrôle compétenteÉmet un avis sur l'adéquation du code avec la législation et le publie si positif. Pourra couvrir plusieurs États Membres
// Privacy shield: repose sur auto-régulationautorisation préalable reste nécessaire pour chaque transfert
www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
CertificationContrôle par autorité nationaleou par un organisme de certification(agréé par l'Autorité de Contrôle - indépendance – expertise)
Rassurant pour le RT et pour le publicMAIS ne réduit pas :
la responsabilité du RT ni du STle pouvoir de contrôle et de sanction des autorités nationales
Groupe Larcier / Lexing www.earlegal.be
❝
32
3.
Quelles sont les nouvelles obligations de ma société
en qualité de responsable du traitement ?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Société NEWTIC - Secteur informatique500 employés
Base de données de 5.000 clients.Développe un logiciel pour la gestion de ses propres
clients (CRM)Clients de NEWTIC = vous ?
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de
brèche de sécurité)
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception Protection des données par défaut
Inverser la démarche actuelle
www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Se préoccuper de la protection des données dès la conception des technologies et des pratiques de l’entreprise
Compte tenu des techniques les plus récentes et des coûts Minimiser et pseudonymiser autant que possible
Protection des données par défaut
Par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique sont traitées L’utilisateur peut changer les réglages par la suite
Protection des données dès la conception Protection des données par défaut
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de
brèche de sécurité)
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
Analyse de l’impact du traitement projeté sur la protection des données
Interne – par le RT / app. immédiate
Contenu : description des opérations de traitementévaluation des risques mesures envisagées pour limiter les risquesmécanismes pour démontrer la
“compliance”
Éventuellement : code de conduite appliquéavis du délégué à la protection des données
www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
A chaque fois ? NON – requis si :
Si le traitement est susceptible de créer un risque élevé pour les personnes concernées en particulier par le recours à de nouvelles technologies (déterminé par le RT à la suite d’une analyse d’impact…) Profilage sur base duquel sont basées des décisions qui ont des effets sur la personne concernéesTraitement à grande échelle de données sensibles origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques, affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie sexuelle, condamnations pénalesSurveillance à grande échelle de zones accessibles au publicCas que détermine l’autorité nationale : risque
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements
(interne) examiné plus loin• Délégué à la protection des données• (Notification/communication en cas de brèche de
sécurité)
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de
brèche de sécurité)
www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
(Lignes directrices WP 243 du G 29)
Pourquoi ?
associé en temps utile à toutes les questions relatives à la protection des données à caractère personnel.informer et conseiller le responsable du traitementFormation du personnelVérifier l’exécution de l’analyse d’impactContrôler la conformité avec le RèglementPersonne de contact pour les personnes concernées et pour l’autorité nationale
Quelle charge de travail ?
www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
Quand ? Obligatoire si traitement :par une autorité publique ou un organisme public, à l’exception des tribunauxqui exige un suivi régulier et systématique à grande échelle des personnes concernéesde données sensibles à grande échelle
MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque(abandon du critère des 5.000 personnes concernées)
Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué
Expert en droit de la protection des donnéesAbsence de conflit d’intérêtProtégé contre licenciement en raison avis qu’il émet
secret professionnel ou obligation de confidentialité
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de
brèche de sécurité examiné infra)
Groupe Larcier / Lexing www.earlegal.be
❝
46
4.
Quelles sont les nouvelles obligations de ma société en qualité de sous-traitant ?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC décide de développer logiciel CRM pour la vente
Configure le logicielAssure la maintenance
Devient sous-traitant
www.earlegal.beGroupe Larcier / Lexing
Droit applicable aux mesures de sécurité du sous-traitant ?
Directive : Les mesures de sécurité liant le ST sont celles de son établissement
Possibilité d’un droit pour le traitement et un autre pour les mesures de sécurité
Règlement : même législation
www.earlegal.beGroupe Larcier / Lexing
Obligations du sous-traitant dans le nouveau règlement ?
Obligation de conseil v-à-v du client quant au respect de la vie privée+ nouvelles obligations propres de NEWTIC en vertu GDPRmêmes sanctions que celles applicables au responsable du traitement
www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations des sous-traitants
mentions obligatoires dans le contrat de sous-traitance+
privacy by designdocumentation adéquatemesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adaptéeffectuer les analyses d’impactdésigner un délégué à la protection des donnéessatisfaire aux exigences requises en cas de transfert de données vers des pays tiers coopérer avec les autorités de contrôle nationales
Groupe Larcier / Lexing www.earlegal.be
❝
51
5.
Quelles sont les évolutions relatives aux droits des personnes concernées ?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Ados pris en photo par NEWTIC pour un concours
puis les images sont utilisées dans une publicitésociale et virale
www.earlegal.beGroupe Larcier / Lexing
Consentement
Directive : explicite ou implicite
Règlement : expliciteacte positif, garantissant son caractère libre, spécifique, informé et univoque. sous une forme compréhensible et aisément accessible, en des termes clairs et simples. Distinguer question du consentement des autres questions.
Plus possible d’opter pour un consentement tacite ou passif ou au moyen de cases cochées par défaut.
Vérifier les polices vie privée actuelles !
www.earlegal.beGroupe Larcier / Lexing
Consentement des enfants
Spécificité pour les services de la société de l’informationEn particulier : à des fins de marketing
création de profils de personnalité ou d'utilisateur collecte de données lors de l'utilisation de services fournis directement à un enfant
En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut descendre jusqu’à 13 ans)le consentement n’est licite que si donné ou autorisé par une personne exerçant l’autorité parentale.
Obligation pour le responsable du traitement de le vérifier compte tenu des moyens technologiques dont il dispose.
+ en termes particulièrement clairs
www.earlegal.beGroupe Larcier / Lexing
« Droit à l’oubli » numérique
Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand :
données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légalla personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ;les données ont fait l’objet d’un traitement illicite ;Données collectées dans le cadre de l’offre directe de service de la société de l’information à un enfant de moins de 16 ans
Exceptions :nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques) obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique) nécessaire à des fins de recherche scientifique et historique ou statistiqueconstatation, exercice ou défense de droits en justice.
+ mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées
www.earlegal.beGroupe Larcier / Lexing
Obligation de transparence et d’information
Obligation de faciliter l’exercice des droits de la personne concernée
Obligation de répondre dans les meilleurs délais (au plus tard dans le mois) à toute demande d’information
Ne peut refuser la demande d’une personne, à moins que l’entreprise démontre ne pas être en mesure d’identifier la personne.
www.earlegal.beGroupe Larcier / Lexing
Portabilité des données
Recevoir ses propres donnéesdans un format structuré, couramment
utilisé et lisible par une machinepourra même obtenir, si techniquement
possible, que les données soient directement transmises à un autre opérateur(Lignes directrices WP 242 du G 29)
Groupe Larcier / Lexing www.earlegal.be
❝
58
6.
Que faire en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC est victime d’une attaque de pirates informatiques et soupçonne que des tiers aient mis la main sur des données privées de ses clients
Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012), la Défense (500 collaborateurs en janvier 2013), Jobat (15.000 personne en janvier 2013), Belgacom (septembre 2013), Ashley Madison………….
www.earlegal.beGroupe Larcier / Lexing
Obligations actuelles en cas de brèche de sécurité ?
A. Pour les entreprises qui fournissent des services de communication électroniques:
Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:
- Notification à l’IBPT dans les 24 H du constat de la violation- Avertir le client « sans retard injustifié » si risque d’affectation de
ses données à caractère personnel ou sa vie privéeRem: - Personnes concernées = PP et PM
B. Pour les autres entreprises :
Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de sécurité à entreprendre pour éviter la violation des données
www.earlegal.beGroupe Larcier / Lexing
Notification à l’autorité de contrôle Communication à la personne concernée
Quand ? Si risque élevéPAS SI le RT :
A pris mesures préalables de protection (technologiques et organisationnelles)
ex : chiffrement
A pris mesures après la brèche pour s’assurer que le risque ne peut plus se réaliser
Règlement : Quelles obligations en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
Notification uniquement à l’autorité de contrôle SI:Effort disproportionné de prévenir toutes les personnes concernéesCommunication publique ou mesure similaireAffecterait substantiellement l’intérêt public
Contenu de la notification:Nature de la brèche (catégories and nombre de traitements et personnes concernées)Données de contact du déléguéConséquences de la brècheMesures prises/envisagées
Règlement : Quelles obligations en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
Règlement : Quelles obligations en cas de brèche de sécurité ?
Délai pour la notification :À l’autorité de contrôle : dans les plus brefs délais (max. 72 h)À la personne concernée : dans les plus brefs délais
Par le sous-traitant à son client : dans les plus brefs délais
www.earlegal.beGroupe Larcier / Lexing
Intérêt de se préparer à la gestion des fuites de données
Délais très courts (en heures)! Mieux vaut savoir que faire
Preuve de rigueur et d’une véritable politique « vie privée » vis-à-vis de la CPVP
limitation des amendes Preuve de bonne foi, volonté d’une relation de
confiance avec le client, image positive
Groupe Larcier / Lexing www.earlegal.be
❝
65
7.
Quelles relations avec la Commission Vie privée ?Avant / Pendant le traitement
www.earlegal.beGroupe Larcier / Lexing
Avant le traitement :
Nouvelles obligations pour le RT:
• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)
www.earlegal.beGroupe Larcier / Lexing
Consultation préalable de la CPVP
Quand ? Si l’analyse d’impact > traitement est susceptible de créer un “risqué élevé”
(même si le RT prévoit des mesures pour limiter le risque)
Quoi ? AVIS rendu dans 8 semaines (14 semaines si complexe)
PLUS d’autorisationPLUS de déclaration
CPVP pourra utiliser ses moyens d’investigationet émettre des avertissements
www.earlegal.beGroupe Larcier / Lexing
Directive :
L’art. 4 peut rendre applicable plusieurs droits et donc plusieurs autorités nationales de contrôle
Multiples démarchesMultiples législationsDifférentes appréciations et délais de traitement
Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ?
www.earlegal.beGroupe Larcier / Lexing
Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ?
Règlement : (Lignes directrices WP 244 du G 29) autorité de contrôle de l’établissement principal = autorité de contrôle chef de file grande avancée pour les entreprises :
1 législation (règlement) 1 autorité de contrôle chef de file
www.earlegal.beGroupe Larcier / Lexing
Autorité chef de file
autorité de contrôle de l’établissement principal = autorité de contrôle chef de file (“One-Stop-Shop”)
Avancée pour les entreprises,Mais désavantage pour les personnes concernées(plainte à l’étranger ?)
Compromis: coopération des 2 aut. nat. parvenir à un consensus
positif pour les entreprises
www.earlegal.beGroupe Larcier / Lexing
Pendant le traitement :
ContrôlesSanctions
Pendant le traitement :
www.earlegal.beGroupe Larcier / Lexing
À tout moment !PlaintesEn cas de fuite de donnéesCertains secteurs dans le viseur
Contrôles
www.earlegal.beGroupe Larcier / Lexing
Contrôles
Demande de renseignementsAccès aux locaux
Accès à la documentationPouvoir prouver la compliance
Nécessité de se préparer !!
www.earlegal.beGroupe Larcier / Lexing
Sanctions
Amendes administratives infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent
Justifie des investissements importants
Groupe Larcier / Lexing www.earlegal.be
❝
75
8.
Quelle est la marche à suivre pour mettre votre entreprise en conformité avec le
règlement ?
www.earlegal.beGroupe Larcier / Lexing 76
Ressources nécessaires ?Prêt pour privacy by design?Prêt pour démontrer la compliance?Plan d’action en cas de brèche de sécurité ?
www.earlegal.beGroupe Larcier / Lexing
État des lieux
Identification :
des traitements actuellement réalisés,de la durée de conservation des données,de la façon dont la documentation est conservée,des preuves de consentement obtenues,des mesures de sécurités actuellement en vigueur,des tiers à qui les données ont été transmises
Analyse des incidents qui ont déjà eu lieu et de la façon dont ils ont été gérés.
www.earlegal.beGroupe Larcier / Lexing
Identification des enjeux par le service juridique
Obligation/opportunité de désigner un Data Protection Officer + procédure de recrutementActivités dans différents EM, rattacher certaines activités à un pays ?Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de limiter ses obligationsDétermination de l’ampleur du travail à réaliser (nombre d’heures)Détermination des risques chiffrés (amendes/réputation) Détermination des priorités et des traitements stratégiques
(données de tiers/des employés ; anciens/nouveaux produits)Détermination du pourcentage de risque acceptable pour votre entreprise.
www.earlegal.beGroupe Larcier / Lexing
Stratégie
Mise au point de la stratégieau sein du service juridique
Puis défense devant le comité de direction
www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Mise en place de procédures types :
Nouveaux traitements: Analyse d’impact sur la vie privée Demande d’avis préalable à la Commission Vie PrivéeArchivage de la documentation (principe d’accountability)
Gestion des « incidents » : En cas de retrait de consentement (en interne et transmission de la requête aux tiers auxquels les données ont été transmises).« portabilité » des données (transmission des données, éventuellement à un autre opérateur, dans un format structuré communément utilisé), en cas de brèche de sécurité (avec conservation des traces documentaires).
www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Adaptation :
des polices vie privées existantes (renforcement du consentement/meilleure lisibilité)
des contrats existants.
Limitation des risques dus aux brèches de sécurité :
anonymisation/chiffrement des données si possible, éviter de devoir notifier une fuite de données éviter la publicité que cela entraîne
rapidité de réaction, grâce à une procédure
www.earlegal.beGroupe Larcier / Lexing
Mise en œuvre progressive
Formation du personnel : à la nouvelle mentalité privacy by design/privacy by default au délai de 8 semaines nécessaire pour avis préalable aux procédures mises en place.
Application de la procédure d’analyse d’impact aux traitements existants.
Amélioration de la tenue du registre des activités de traitement et des automatismes à adopter.
Effacement des données dont la conservation ne peut plus être justifiée et mise en œuvre d’un processus automatisé d’effacement des données pour l’avenir.
www.earlegal.beGroupe Larcier / Lexing
Perfectionnement
Simulation d’une brèche de sécurité
Simulation d’une « descente » de la Commission Vie Privée.
Communication publique quant aux efforts mis en place par l’entreprise.
www.earlegal.beGroupe Larcier / Lexing
La notification d’une brèche de sécurité est-elle négative pour l’entreprise ?
COMPLIANCE = BENEFICES d’un point de vue :
gestion des risques réputation économique
www.earlegal.beGroupe Larcier / Lexing
Pourquoi anticiper les futures règles?
Top Related