CABINET D'AVOCATS BALTHASAR & DELRÉE
R.G.P.D
Règlement Général sur la Protection des Données
Le 14 avril 2016, le Parlement Européen a définitivement adopté le nouveau Règlement Général sur la Protection des Données ("R.G.P.D.").
Ce règlement européen constitue désormais le texte de référence en matière de protection des données à caractère personnel.
Il harmonise et renforce les règles existant en la matière, et sera applicable dans l'ensemble des États membres de l'Union Européenne dès le 25 mai 2018.
Chaque entreprise, employeur, association ou groupement est dès lors concerné par ce règlement et les nombreuses obligations qu'il impose.
Une importante mise en conformité doit donc être réalisée à brève échéance par tous les acteurs économiques.
Ce site vous permettra d'identifier clairement les obligations auxquelles vous serez soumis prochainement, afin de vous éviter les importantes sanctions prévues par la législation.
PRINCIPES DE LA RÉFORME
LE FONDEMENT LICITE
Tout traitement de données à caractère personnel ("DCP") doit être basé sur un fondement licite: le consentement, l'obligation légale, l'exécution d'un contrat, la mission d'intérêt public, l'intérêt légitime du responsable du traitement ou l'intérêt vital de la personne concernée.
Bien souvent, dans les relations commerciales - et principalement lorsqu'il s'agit de traiter des DCP à des fins publicitaires, il faut obtenir le consentement de la personne concernée.
Ce consentement doit être "libre, spécifique, éclairé et univoque".
Une donnée à caractère personnel est une information, quelle qu'elle soit, qui se rapporte à une personne physique identifiée (ou identifiable, directement ou indirectement): adresse, numéro de téléphone, informations relatives à l'activité professionnelle, numéro de compte en banque, adresse e-mail, informations médicales, informations quant aux préférences, opinions, habitudes, informations de localisation, profil d'achat, profil marketing...
LA TRANSPARENCE
Dès la phase de collecte des données, le responsable du traitement devra fournir aux personnes concernées des informations claires et et complètes sur la manière dont leurs données personnelles seront traitées, et sur la finalité des traitements envisagés. Ces informations devront être fournies de façon claire, explicite, concise et dépourvue d'ambiguïtés.
Il ne peut dès lors plus être question de "noyer" l'information au sujet des données collectées et des traitements qui y sont réservés dans des conditions générales, ou au beau milieu d'un volumineux contrat.
Il est essentiel que chaque acteur se dote d'une politique de traitement des données claire et précise, facilement disponible et consultable.
DROITS SUBJECTIFS
Le R.G.P.D. renforce les droits existants pour les personnes concernées, et en crée de nouveaux. Les personnes concernées ont notamment droit:
- à un accès facilité à leurs données personnelles;
- au strict respect des finalités de traitement prévues;
- à l'oubli, et donc à la suppression effective, par le responsable du traitement, de la totalité des données personnelles dont il dispose;
- à la portabilité des données, qui devra permettre aux personnes concernées de récupérer leurs données sous un format facilement lisible et réutilisable, et de les transférer à des tiers.
- ...
LA RESPONSABILITÉ
Aussi appelé "démontrabilité", ce principe-clé du R.G.P.D. impose aux entreprises de mettre en place des mécanismes et des procédures permettant de vérifier et de démontrer le bon respect des règles contenues dans le R.G.P.D.
La charge de la preuve du respect des dispositions du R.G.P.D. repose en effet sur le responsable du traitement, qui doit dès lors veiller à documenter correctement sa mise en conformité.
Les obligations des entreprises en la matière sont détaillées dans la section "Obligations" du site.
OBLIGATIONS
Liste non-exhaustive
LE REGISTRE DU TRAITEMENT
Les entreprises sont tenues d'inventorier et de documenter précisément l'ensemble des traitements de données réalisés, ainsi que les démarches entreprises en vue de la mise en conformité avec le règlement.
Ce registre détaillé doit contenir tout un ensemble d'informations relatives à chaque traitement, comme le fondement légal sur lequel ils reposent, la durée de conservation des données, ...
La tenue d’un registre du traitement remplace l'actuelle obligation de notification préalable auprès de l’autorité de contrôle.
MESURES DE SÉCURITÉ
Les entreprises sont responsables de la sécurité des données dont elles disposent, et doivent mettre en place les mesures nécessaires pour garantir celle-ci (sélection de sous-traitants en conformité avec le R.G.P.D., sécurité des systèmes informatiques, sécurité physique des données, ...).
Ces mesures peuvent être organisationnelles, informatiques ou administratives.
Les entreprises victimes d'une violation de leur sécurité ou d'une perte de données doivent en avertir l'autorité de contrôle dans les 72h, et parfois même les personnes concernées.
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Sous certaines conditions, une entreprise peut être obligée de désigner un délégué à la protection des données personnelles.
Il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité.
Il doit être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel.
Le délégué à la protection des données peut être une personne interne ou externe à l'entreprise, mais doit obligatoirement être spécialisé dans la matière de la protection des données.
PRIVACY BY DESIGN, PRIVACY BY DEFAULT
La protection de la vie privée dès la conception vise à agir de manière proactive et préventive, avant qu’une nouvelle technologie, parce qu’elle facilite le traitement de données personnelles, n’entraîne de nombreuses violations de la protection des données.
Grâce à la protection de la vie privée par défaut (privacy by default), quiconque traite de données à caractère personnel doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible. La législation sur la protection des données doit obliger chaque personne ou entreprise traitant des données personnelles à garantir par défaut le plus haut niveau possible de protection des données.
Par ailleurs, dans la manière dont vos sites webs, applications ou processus sont conçus, il s'agit de prévoir la possibilité effective pour les personnes concernées de faire valoir leurs droits.
NOTIFICATION DES INFRACTIONS
Toute faille de sécurité et toute violation des données à caractère personnel doit être notifiée à l'Autorité de Contrôle ainsi qu'aux personnes concernées dans les 72h de leur découverte, avec les conséquences commerciales et de mauvaise presse que cela peut engendrer.
MISE EN CONFORMITÉ
1. SENSIBILISATION ET MISE EN PLACE D'UNE CULTURE D'ENTREPRISE
La nouvelle règlementation européenne doit être une opportunité, pour chaque acteur économique, de se réapproprier la confiance de ses clients.
Le souci du respect de la vie privée doit faire partie de la culture de chaque entreprise. Chaque collaborateur, à tous les échelons, doit être sensibilisé et formé au respect des règles en la matière, et à l'esprit de la réforme.
2. CARTOGRAPHIE DES TRAITEMENTS & ANALYSE DE RISQUES
Il est par ailleurs nécessaire de réaliser ensuite un recensement des types de données traités, d'une part, et du traitement qui leur est réservé, d'autre part.
Il s'agit d'une obligation centrale pour toute organisation entrant dans le champ d'application de la règlementation.
Si les traitements identifiés constituent un risque pour les droits et libertés des personnes concernées, une analyse d'impact sur la protection des données doit être réalisée.
Cette cartographie permet par ailleurs de cerner les mesures qui devront être mises en place.
3. IDENTIFICATION DES ACTIONS À MENER
Les données collectées sont-elles toutes nécessaires au traitement auquel elles sont destinées?
Mon organisation collecte-t-elle des données dites "sensibles" ?
Les données collectées sont-elles chiffrées? Sont-elles pseudonymisées ou anonymisées?
Où sont-elles physiquement conservées? Pendant combien de temps?
Mes contrats et formulaires sont-ils adaptés?
Mes clients sont-ils suffisamment et adéquatement informés?
Mes procédés internes garantissent-ils la protection des données à caractère personnel?
Que dois-je mettre en place pour assurer le respect des droits subjectifs des personnes concernées?
C'est à toutes ces questions et bien d'autres encore qu'il faut répondre, afin d'établir un véritable plan d'action.
4. RÉORGANISER LES PROCESSUS INTERNES ET DOCUMENTER LA CONFORMITÉ
Le responsable du traitement doit, en tout temps, être en mesure de démontrer le respect de ses obligations et sa conformité au RGPD. Il doit donc non seulement tenir à jour son registre de traitement, s'assurer de la disponibilité de ses analyses d'impact et pouvoir démontrer, le cas échéant, l'obtention du consentement des personnes concernées pour les données personnelles stockées, mais aussi s'assurer de la présence des mentions d'informations sur tous ses supports internes ou externes, du respect du RGPD par ses partenaires (fournisseurs, sous-traitants, ...), ...
Le cabinet Balthasar & Delrée et son équipe spécialisée en Protection des Données vous assiste et vous guide dans le cadre de la mise en conformité de votre entreprise, de la réalisation d'un audit initial à la mise en place de mesures et de processus concrets.
Nous sommes également à votre disposition pour assumer la fonction de Délégué à la Protection des Données externe à votre organisation.
MISE EN CONFORMITÉ
1. SENSIBILISATION ET MISE EN PLACE D'UNE CULTURE D'ENTREPRISE
La nouvelle règlementation européenne doit être une opportunité, pour chaque acteur économique, de se réapproprier la confiance de ses clients.
Le souci du respect de la vie privée doit faire partie de la culture de chaque entreprise. Chaque collaborateur, à tous les échelons, doit être sensibilisé et formé au respect des règles en la matière, et à l'esprit de la réforme.
2. CARTOGRAPHIE DES TRAITEMENTS & ANALYSE DE RISQUES
Il est par ailleurs nécessaire de réaliser ensuite un recensement des types de données traités, d'une part, et du traitement qui leur est réservé, d'autre part.
Il s'agit d'une obligation centrale pour toute organisation entrant dans le champ d'application de la règlementation.
Si les traitements identifiés constituent un risque pour les droits et libertés des personnes concernées, une analyse d'impact sur la protection des données doit être réalisée.
Cette cartographie permet par ailleurs de cerner les mesures qui devront être mises en place.
3. IDENTIFICATION DES ACTIONS À MENER
Les données collectées sont-elles toutes nécessaires au traitement auquel elles sont destinées?
Mon organisation collecte-t-elle des données dites "sensibles" ?
Les données collectées sont-elles chiffrées? Sont-elles pseudonymisées ou anonymisées?
Où sont-elles physiquement conservées? Pendant combien de temps?
Mes contrats et formulaires sont-ils adaptés?
Mes clients sont-ils suffisamment et adéquatement informés?
Mes procédés internes garantissent-ils la protection des données à caractère personnel?
Que dois-je mettre en place pour assurer le respect des droits subjectifs des personnes concernées?
C'est à toutes ces questions et bien d'autres encore qu'il faut répondre, afin d'établir un véritable plan d'action.
4. RÉORGANISER LES PROCESSUS INTERNES ET DOCUMENTER LA CONFORMITÉ
Le responsable du traitement doit, en tout temps, être en mesure de démontrer le respect de ses obligations et sa conformité au RGPD. Il doit donc non seulement tenir à jour son registre de traitement, s'assurer de la disponibilité de ses analyses d'impact et pouvoir démontrer, le cas échéant, l'obtention du consentement des personnes concernées pour les données personnelles stockées, mais aussi s'assurer de la présence des mentions d'informations sur tous ses supports internes ou externes, du respect du RGPD par ses partenaires (fournisseurs, sous-traitants, ...), ...
MON ENTREPRISE EST-ELLE CONCERNÉE?
Le champ d'application du règlement est extrêmement large. Entreprises, organismes publics, associations, entreprises établies en dehors de l'Union Européenne mais traitant de données de citoyens européens, ... Tout le monde est concerné dès lors que s'opère un traitement de données personnelles, ce qui est pratiquement systématiquement le cas pour un opérateur économique (données des clients, des employés, ...).
QUAND LE R.G.P.D. SERA-T-IL APPLICABLE?
Le R.G.P.D. est applicable depuis le 25 mai 2018.
QUELS SONT LES RISQUES EN CAS DE NON CONFORMITÉ?
L'autorité de contrôle ("L'Autorité de Protection des Données") peut infliger, outre des sanctions administratives, des sanctions allant de 2 à 4% du chiffre d'affaires mondial de l'entreprise, ou de 10 à 20 millions d'euros, selon la catégorie d'infraction.
Par ailleurs, le règlement impose à chaque entreprise de s'assurer que ses partenaires commerciaux sous-traitants sur le plan des données personnelles est bel et bien en conformité avec le Règlement.
La conformité au Règlement est donc susceptible de faire partie des cahiers des charges de différents marchés, publics ou privés.
Par ailleurs, le risque de contentieux est très important, dès lors que les citoyens disposent de droits subjectifs qu'ils peuvent faire valoir devant les Tribunaux belges, eux-mêmes ou par le biais de structures représentatives de leurs droits.
SÉANCES D'INFORMATION
Nous organisons régulièrement des séances d'information à destination des acteurs tant publics que privés.
Nous sommes en mesure de vous proposer diverses formules adaptées à vos besoins ou ceux de vos clients.
Nous dispensons ainsi aussi bien des séances de sensibilisation d'1H30 que des journées de formation à vocation pratique, taillées sur-mesure pour répondre aux réalités et aux exigences de votre secteur.
Si vous désirez en savoir plus ou recevoir une offre de prix pour l'organisation de votre formation, n'hésitez pas à nous contacter.
