règlement général sur la protection des données

Règlement général sur la protectiondes données: entre obligations etdroits

Bénédicte Losdyck

Avocate – Crosslaw

Chercheuse au CRIDS – Université de Namur

[email protected]

Philosophie qui sous-tend le nouveau règlement

Harmonisation du cadre légal applicable dans tous les Etats membres

Précise les obligations qui existaient sous l’empire de la directive 95/46et en ajoute de nouvelles

Nécessite à l’avenir un comportement proactif

Prévoit la possibilité pour les autorités de contrôle d’imposer desamendes administratives pouvant s’élever jusqu’à 20 millions d’euros

4 % du chiffre d’affaires annuel mondial total d’une entreprise

Le montant le plus élevé sera retenu

Brussels - Kortrijk | www.crosslaw.be 2

Nécessité de se réserver des preuves

En cas de contrôle: le responsable et le sous-traitant doivent être enmesure de démontrer la conformité des activités de traitement avec lerèglement, y compris l’efficacité des mesures adoptées Incorporer des processus de compliance

Contrôler régulièrement les processus

Élément déterminant afin de limiter sa responsabilité et les risques


Les nouvelles obligations imposées par le règlement

Obligation de tenir des registres des activités de traitement

Analyse d’impact relative à la protection des données

Désignation d’un délégué à la protection des données

Notification à l’autorité de contrôle d’une violation de données


Obligation de tenir des registres des activités de traitement

Etablir une documentation décrivant les traitements réalisés

Obligation pour le responsable et le sous-traitant de tenir un registreinterne incluant: Noms et données de contact

Finalité du traitement

Catégories de personnes concernées et données traitées

Destinataires

Transferts vers les pays tiers

Délai de conservation

Mesures techniques et organisationnelles


Analyse d’impact relative à la protection des données

Pour les traitements susceptibles d’engendrer un risque élevé tels que: L’évaluation systématique et approfondie d’aspects personnels (ex: profilage) sur la

base de laquelle sont prises des décisions ayant des effets juridiques ou significatifs Le traitement de données particulières ou relatives à des condamnations pénales La surveillance systématique à grande échelle d’une zone accessible au public

Evaluation a priori

Avis du DPO et des personnes concernées ou de leurs représentants requis

Si l’analyse indique un risque élevé : consultation préalable de l’autorité decontrôle

Analyse doit être documentée

Autorité de contrôle nationale doit établir une liste des types d’opérationspour lesquelles une analyse d’impact est requise


Désignation d’un délégué à la protection des données

Dans quels cas? Autorités ou organismes publics Activité principale consiste en du profilage à grande échelle Activité principale consiste en du traitement de données particulières ou

relatives à des condamnations pénales à grande échelle D’autres possibilités peuvent être prévues par le législateur

Obligation applicable tant au responsable qu’au sous-traitant

Peut être membre du personnel ou engagé sur la base d’un contrat de service

Possibilité d’avoir un seul délégué pour Un groupe d’entreprises Plusieurs autorités ou organismes publics


Notification à l’autorité de contrôle d’une violation de données

Se préparer à une éventuelle fuite de données Préparer sa réaction a priori

Mettre en place des procédures de notification Notification à l’autorité de supervision

Sans retard et si possible endéans les 72h Si impossible : justifier les motifs du retard

Exception si pas de risque pour les droits et libertés des personnes concernées

Notification à la personne concernée En cas de risque élevé pour ses droits et libertés

Le chiffrement des données peut permettre d’être exempté

Le sous-traitant doit notifier au responsable du traitement sans délai

Obligation pour le responsable de documenter toute violation de données


Fondement du traitement de données ?

Traitement opéré sur la base du consentement ? Si oui, attention car cette notion est définie plus strictement par le règlement

Le silence ne suffit plus Nécessité d’une action positive (déclaration ou acte positif clair)

Nécessité d’un consentement explicite dans certaines hypothèses

Preuve à charge du responsable du traitement

Pas de mesure transitoire prévue Consentement obtenu conformément aux nouvelles exigences?

Conditions strictes pour obtenir le consentement des enfants dans le cadre desservices de la société de l’information


Fondement du traitement de données ?

Traitement basé sur l’intérêt légitime? Importance de pouvoir le justifier

Responsable du traitement

Tiers

Mise en balance avec les intérêts et les droits et libertés de la personne

Exemples fournis par le règlement Prévention de la fraude

Marketing direct (à des fins de prospection)

Ressource humaine et gestion clients

Obligation de communiquer l’information

Utilisation accrue à l’avenir vu la facilité avec laquelle le consentement peutêtre rétracté


Les nouveaux droits de la personne concernée

Droit à l’effacement ou droit à l’oubli

Droit à la limitation du traitement

Droit à la portabilité des données

Le responsable du traitement doit Communiquer en des termes clairs et simples

Faciliter l’exercice de ces droits

Fournir les informations sur les mesures prises dans un délai d’un mois

Assumer les frais liés sauf si la demande est infondée ou excessive


Droit à l’effacement ou droit à l’oubli

Existait déjà mais est étendu

Peut être exercé à condition que: Les données ne soient plus nécessaires au regard de la finalité poursuivie Le consentement sur lequel est fondé le traitement soit retiré La personne concernée s’oppose au traitement et qu’il n’y ait pas de motif légitime

impérieux pour le traitement Le traitement soit illicite Ce soit nécessaire pour respecter une obligation légale Les données aient été collectées dans le cadre de l’offre de services de la société de

l’information à des enfants

Le responsable qui a rendu les données publiques est tenu de les effacer etd’informer les responsables de traitement qui traitent ces données qu’ilconvient d’effacer tout lien vers celles-ci ou toute copie ou reproduction


Droit à la limitation du traitement

Droit d’obtenir que le responsable limite le traitement des donnéeslorsque: L’exactitude des données est contestée

Le traitement est illicite

Les données ne sont plus nécessaires aux fins du traitement mais la personneconcernée en a besoin pour faire valoir ses droits en justice

Le droit d’opposition est exercé

Interdiction de traiter les données sans le consentement pendant cettepériode

Obligation pour le responsable de notifier la limitation du traitement àchaque destinataire des données


Droit à la portabilité des données

Droit de recevoir ses données dans un format structuré, courammentutilisé, lisible et interopérable et de demander leur transmission à unautre responsable de traitement à condition que, cumulativement : Le traitement soit automatisé

La personne ait fourni les données au responsable du traitement

Le traitement soit fondé sur le consentement ou soit nécessaire à l’exécutiond’un contrat

Le transfert des données vers un autre responsable soit techniquementpossible (en cas de demande de transfert)

Pas d’obligation pour le responsable d’adopter ou de maintenir dessystèmes de traitement qui sont techniquement compatibles


En pratique, avant le 25 mai 2018

Soyez capable de démontrer le respect des dispositions légales Documenter

les traitements de données à caractère personnel les processus de mise en conformité

Evaluez l’ensemble des contrats existants dans lesquels votre entreprise ou organisme est responsable ou sous-traitant Amendement/renforcement de certaines obligations contractuelles requis?

Modifiez à l’avenir vos contrats types en prévoyant Les droits et obligations du responsable du traitement Les obligations du sous-traitant

Adaptez vos politiques en matière de vie privée

Formez vos équipes


Merci pour votre attention. Questions?


règlement général sur la protection des données

Law