Un nouveau vent, pas un ouragan !

La nouvelle loi vie privée européenne – le « Règlement général sur la protection des données » (ou RGPD) – qui sera d’application le 25 mai 2018, constitue une opportunité pour les entreprises de réfléchir à la manière dont elles conservent les données, dont elles les utilisent et à ce qu’il en est de la protection de celles-ci.

Au besoin, la politique de protection des données qui est appliquée doit être adaptée afin de satisfaire à la nouvelle législation. Pour les entreprises et les organisations, optimaliser leur gestion des données constitue donc un exercice pertinent.

Pourquoi la nouvelle législation en matière de protection de la vie privée est-elle nécessaire ?

La nouvelle législation en matière de protection de la vie privée est basée sur la législation existante mais apporte sur certains points une amélioration ou un approfondissement. De manière générale, vous devez avoir une attitude raisonnable quant au traitement de données à caractère personnel.

La manière dont vous vous y prenez relève de la responsabilité de votre entreprise/organisation. Vous avez à cet égard une responsabilité. Cela implique qu’en tant qu’organisation, vous devez pouvoir démontrer quelles actions techniques et organisationnelles vous avez entreprises pour satisfaire à la nouvelle législation en matière de protection de la vie privée.

Pourquoi la nouvelle législation en matière de protection de la vie privée est-elle nécessaire ?

▶  Besoin d’une harmonisation des législations nationales en matière de protection de la vie privée au sein de l’Europe
▶  Adaptation des règles à la nouvelle réalité numérique
▶  Offrir au citoyen plus de contrôle sur ses données

Quels sont les avantages de la nouvelle législation ?

Dès que la nouvelle législation en matière de protection de la vie privée sera d’application, il n’y aura plus qu’une seule loi vie privée applicable au sein de l’Union européenne, au lieu de 28 lois nationales différentes.

Pour les entreprises et les organisations qui sont actives dans plusieurs États membres de l’Union européenne, cela signifie :

▶  moins de charges et de coûts administratifs
▶  plus de sécurité juridique
▶  une obligation de documentation à remplir librement
▶  les mêmes règles pour tout le monde, aussi à l’étranger, ce qui favorise la concurrence loyale au sein de l’Union européenne
▶  un traitement plus facile des données au-delà des frontières
▶  1 autorité de contrôle compétente
▶  une économie globale pour les entreprises de 2,3 milliards d’euros par an.

 

Pourquoi ne pouvons-nous pas encore répondre à toutes les questions ?

L’interprétation et la mise en œuvre de la nouvelle législation en matière de protection de la vie privée est un “work in progress”. Bien que la Commission vie privée souhaite vous informer au mieux, nous ne pouvons actuellement pas encore répondre à toutes les questions

Nous ne pouvons répondre à toutes les questions en raison de la concertation commune entre tous les contrôleurs européens, des travaux encore en cours pour la loi-cadre nationale et la loi de réforme organique et des applications encore inconnues de la loi dans la pratique.

Les entreprises et organisations sont donc invitées à suivre de près le site Internet de la Commission vie privée pour les mises à jour les plus récentes.

 

 

Règlement Général sur la Protection des Données

 

 

 

Conscientisation

Veillez à ce que les personnes clés et les décideurs de votre entreprise ou organisation soient informé(e)s de la réglementation.

Ils doivent en évaluer les conséquences et désigner les domaines qui peuvent aujourd’hui être problématiques à la lumière du RGPD. Si votre entreprise ou organisation dispose d’un registre des risques, il peut constituer un excellent point de départ.

La mise en oeuvre du RGPD peut avoir une influence considérable sur les moyens disponibles, surtout en ce qui concerne les entreprises ou structures de plus grande taille ou plus complexes. Vérifiez s’il existe des modèles pour votre secteur ou si des codes de conduite ont été développés par les associations sectorielles.

 

Registre des activités de traitement

Faites l’inventaire minutieux des données à caractère personnel que vous conservez, notez quelle est leur provenance et les personnes avec lesquelles vous les avez partagées.

Il serait intéressant d’enregistrer tous vos traitements. Vous devez éventuellement organiser un audit d’information à cet effet. Ceci s’applique éventuellement à toute l’entreprise ou uniquement à certaines sections déterminées.

Le nouveau règlement attribue aux personnes concernées un certain nombre de droits, spécifiquement adaptés au monde des réseaux. Lors-que votre entreprise conserve par exemple des données à caractère personnel inexactes et les a partagées avec d’autres organisations, vous devrez informer ces dernières de l’inexactitude afin qu’elles puissent apporter les corrections dans leurs propres données. Cette ,obligation de documentation contribue en outre au respect de l’exigence de responsabilité contenue dans le RGPD. Selon ce principe, une entreprise ou une organisation doit prouver qu’elle agit conformément aux principes de protection des données.

Pour vous y aider, la Commission vie privée met à disposition sur son site Internet un modèle de registre des activités de traitement avec un manuel y afférent.

 

Délégué à la protection des données

Désignez au besoin un délégué à la protection des données ou une personne qui est responsable du respect des règles de protection des données. Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation.

Le nouveau règlement requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la protection des données, par exemple pour les autorités publiques ou les sous-traitants dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées, ce à grande échelle.

Il est important que soit une personne de l’organisation, soit un conseiller externe soit responsable du respect des principes de protection des données et qu’une personne ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger dès à présent si votre entreprise ou organisation a l’obligation de désigner un tel délégué. Dans l’affirmative, évaluez si l’approche actuelle correspond aux exigences du RGPD.

 

Communication

Évaluez votre déclaration de confidentialité existante et analysez-la à la lumière du nouveau règlement.

Si votre entreprise ou organisation traite des données à caractère personnel, vous devez fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la manière dont il utilisera les données. Ces informations sont généralement communiquées sous la forme d’une déclaration de confidentialité.

Le nouveaurèglement pose des exigences quant au contenu de cette déclaration de confidentialité. Il faudra ainsi communiquer le fondement légal du traitement de données et les délais pendant lesquels vous conserverez les informations, préciser si vous échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à caractère personnel sont traitées à tort. Le RGPD requiert que ces informations soient communiquées de manière concise, dans une langue compréhensible et claire.

 

Droits de la personne concernée

Vous devez vérifier si les procédures dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique.

Le nouveau règlement prévoit notamment les droits suivants pour la personne concernée :

  • information et accès aux données à caractère personnel ;
  • rectification et suppression des données ;
  • objection à l’encontre de pratiques de marketing direct ;
  • objection à l’encontre de prises de décision automatisées et de profilage ;
  • portabilité des données.

Prévoyez des feuilles de route qui détaillent comment faire lors-que quelqu’un veut exercer son droit. Qui prendra la décision ? Les systèmes sont-ils conçus pour y répondre ?

Le droit à la portabilité des données requiert une attention particulière. Il s’agit d’un renforcement de l’accès où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des entreprises et organisations le faisaient déjà, mais sachez que des impressions papier ou une forme électronique inhabituelle ne suffisent pas pour le nouveau règlement.

Vous recourez à des décisions individuelles automatisées ? Vous devez alors connaître les règles spécifiques qui s’y appliquent en vertu du nouveau règlement.

 

Demande d’accès

Réfléchissez à la manière dont vous traiterez les demandes d’accès eu égard aux délais du nouveau règlement et prévoyez éventuellement une mise à jour de vos procédures d’accès existantes.

Le nouveau règlement définit la manière de traiter les demandes d’accès. Dans la plupart des cas, il faut donner suite à la demande d’accès dans les 30 jours, et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des demandes
d’accès, vous devez disposer à cet effet d’une politique et de procédures adaptées.

Vous devez fournir à la personne concernée qui demande l’accès certaines informations complémentaires comme les délais de conservation des informations et l’existence du droit de faire rectifier des données inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, il est crucial de disposer d’une bonne feuille de route.

Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit être menée à ce sujet.

À terme, il peut se révéler rentable de développer un système grâce auquel la personne concernée peut consulter elle-même les données en ligne. Les entreprises et organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne.

 

Fondement légal pour le traitement de données à caractère personnel

Documentez les différents types de traitements de données que vous effectuez et identifiez le fondement légal pour chacun d’entre eux.

Vous devez choisir parmi les fondements énoncés dans le nouveau règlement, mais faites attention à la différence entre données “ordinaires” et données “particulières”.

En vertu du nouveaurèglement, les droits de la personne concernée peuvent différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si son consentement était à la base du traitement.

Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de responsabilité.

 

Consentement

Évaluez la manière dont vous demandez, obtenez et enregistrez le consentement. Le nouveau règlement mentionne les termes “consentement” et “consentement explicite”.

Il n’est pas nécessaire de faire la distinction, étant donné que le consentement doit dans les deux cas être libre, spécifique, éclairé et univoque. Le consentement doit également se révéler par une manifestation active de l’accord. En d’autres termes, le consentement ne peut pas être déduit tacitement ou à partir d’une case cochée préalablement ou d’une absence d’action.

Si vous comptez sur le consentement de la personne concernée pour traiter ses données, veillez surtout à ce que ce consentement réponde aux exigences du nouveau règlement. Notez que le consentement doit être contrôlable et que la personne concernée a généralement davantage de droits lorsque vous comptez sur le consentement comme fondement du traitement de données.

Le nouveau règlement précise que le responsable du traitement doit être en mesure de démontrer que le consentement a été donné. Évaluez donc vos systèmes qui enregistrent le consentement, afin d’assurer une piste d’audit efficace.

 

Enfants

Dans un seul contexte déterminé, le RGPD permet aux enfants à partir de 16 ans de donner eux-mêmes leur consentement pour le traitement de données, à savoir dans le contexte des services Internet commerciaux qui s’adressent directement aux enfants.

Attention – le législateur belge peut accorder le même privilège au groupe des 13-16 ans – suivez les informations de la Commission vie privée. Notez que les enfants qui ont donné eux-mêmes leur consentement peuvent exiger que leurs données soient effacées à tout moment, y compris après avoir atteint leur majorité !

Vérifiez si vous traitez des données de mineurs et si vous devez vérifier l’âge de la personne concernée. Vérifiez comment vous pouvez contacter le ou les parents ou le ou les tuteurs, par exemple pour demander le consentement ou pour conclur e un contrat.

Si votre entreprise ou organisation collecte des données d’enfants, tenez compte du rôle que jouent leurs parents ou tuteurs ! Retenez que le consentement doit être contrôlable et que le cas échéant, la déclaration de confidentialité doit être rédigée en des termes compréhensibles pour les enfants.

 

Fuites de données

Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration si une fuite de données survenait.

Dans certains cas, vous devez informer directement la personne concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à des pertes financières personnelles. Les plus grandes entreprises ou organisations devront élaborer une politique et des procédures pour gérer les fuites de données – soit au niveau central, soit au niveau local.

Toutes les fuites de données ne devront pas être signalées à l’autorité de contrôle – uniquement celles pour lesquelles il est probable que la personne concernée subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation d’une obligation de secret.

Notez que le non-respect de l’obligation de déclaration peut donner lieu à une amende, en sus de l’amende pour la fuite de données elle-même.

 

La protection des données dès la conception et l’analyse d’impact relative à la protection des données (AIPD)

Familiarisez-vous avec les notions de “protection des données dès la conception” et d’ “analyse d’impact relative à la protection des données”, mieux connues sous les termes suivants : “Privacy by design” et “Data Protection Impact Assessment (DPIA)”.

Examinez la manière dont vous pouvez mettre en oeuvre ces concepts dans le fonctionnement de votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion des projets. Évaluez les situations où il est nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui
doit y être associé ? L’analyse se fera-t-elle de manière centrale ou de manière locale ?

Intégrer d’emblée la protection des données et, dans ce cadre, réaliser une analyse d’impact a toujours fait partie des “bonnes pratiques” d’une entreprise ou organisation. Le nouveau règlement en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple lorsqu’une nouvelle technologie est mise en oeuvre ou lorsqu’une opération de profilage peut entraîner des effets considérables pour les personnes concernées. Lorsque l’AIPD indique que le traitement de données comporte un “risque élevé”, et ce en dépit de mesures prises pour maîtriser le “risque élevé” (autrement dit il y a un “risque élevé résiduel”), il est nécessaire d’obtenir l’avis de la Commission vie privée quant à la licéité du traitement à la lumière du nouveau règlement.

 

International

Si votre entreprise ou organisation est active au niveau international, vous devez déterminer de quelle autorité de contrôle vous relevez.

Le nouveau règlement prévoit un règlement quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour un siège principal traditionnel, on peut le déterminer assez facilement. Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers endroits.

Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre “établissement principal” et donc aussi l’autorité de contrôle compétente.

 

Contrats existants

Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez des changements au besoin. Le RGPD crée un système intelligent qui établit le rapport entre le responsable du traitement et les sous-traitants.

Il détermine même les conditions qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez évaluer les contrats existants et apporter les modifications nécessaires.

Le nouveau règlement souligne l’importance des mesures de sécurité applicables aux banques de données. En cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du nouveau règlement.

Addthis

Add Comment

En poursuivant votre navigation ou en cliquant sur 'Accepter les cookies', vous acceptez de stocker des cookies de première et de tierce partie sur votre appareil pour améliorer la navigation sur le site, analyser l'utilisation du site et participer à nos efforts marketing. Consultez la charte de vie privée. Paramètres de cookies Accepter les cookies