règlement général sur la protection des données
TRANSCRIPT
Règlement général sur la protectiondes données: entre obligations etdroits
Bénédicte Losdyck
Avocate – Crosslaw
Chercheuse au CRIDS – Université de Namur
Philosophie qui sous-tend le nouveau règlement
Harmonisation du cadre légal applicable dans tous les Etats membres
Précise les obligations qui existaient sous l’empire de la directive 95/46et en ajoute de nouvelles
Nécessite à l’avenir un comportement proactif
Prévoit la possibilité pour les autorités de contrôle d’imposer desamendes administratives pouvant s’élever jusqu’à 20 millions d’euros
4 % du chiffre d’affaires annuel mondial total d’une entreprise
Le montant le plus élevé sera retenu
Brussels - Kortrijk | www.crosslaw.be 2
Nécessité de se réserver des preuves
En cas de contrôle: le responsable et le sous-traitant doivent être enmesure de démontrer la conformité des activités de traitement avec lerèglement, y compris l’efficacité des mesures adoptées Incorporer des processus de compliance
Contrôler régulièrement les processus
Élément déterminant afin de limiter sa responsabilité et les risques
Brussels - Kortrijk | www.crosslaw.be 3
Les nouvelles obligations imposées par le règlement
Obligation de tenir des registres des activités de traitement
Analyse d’impact relative à la protection des données
Désignation d’un délégué à la protection des données
Notification à l’autorité de contrôle d’une violation de données
Brussels - Kortrijk | www.crosslaw.be 4
Obligation de tenir des registres des activités de traitement
Etablir une documentation décrivant les traitements réalisés
Obligation pour le responsable et le sous-traitant de tenir un registreinterne incluant: Noms et données de contact
Finalité du traitement
Catégories de personnes concernées et données traitées
Destinataires
Transferts vers les pays tiers
Délai de conservation
Mesures techniques et organisationnelles
Brussels - Kortrijk | www.crosslaw.be 5
Analyse d’impact relative à la protection des données
Pour les traitements susceptibles d’engendrer un risque élevé tels que: L’évaluation systématique et approfondie d’aspects personnels (ex: profilage) sur la
base de laquelle sont prises des décisions ayant des effets juridiques ou significatifs Le traitement de données particulières ou relatives à des condamnations pénales La surveillance systématique à grande échelle d’une zone accessible au public
Evaluation a priori
Avis du DPO et des personnes concernées ou de leurs représentants requis
Si l’analyse indique un risque élevé : consultation préalable de l’autorité decontrôle
Analyse doit être documentée
Autorité de contrôle nationale doit établir une liste des types d’opérationspour lesquelles une analyse d’impact est requise
Brussels - Kortrijk | www.crosslaw.be 6
Désignation d’un délégué à la protection des données
Dans quels cas? Autorités ou organismes publics Activité principale consiste en du profilage à grande échelle Activité principale consiste en du traitement de données particulières ou
relatives à des condamnations pénales à grande échelle D’autres possibilités peuvent être prévues par le législateur
Obligation applicable tant au responsable qu’au sous-traitant
Peut être membre du personnel ou engagé sur la base d’un contrat de service
Possibilité d’avoir un seul délégué pour Un groupe d’entreprises Plusieurs autorités ou organismes publics
Brussels - Kortrijk | www.crosslaw.be 7
Notification à l’autorité de contrôle d’une violation de données
Se préparer à une éventuelle fuite de données Préparer sa réaction a priori
Mettre en place des procédures de notification Notification à l’autorité de supervision
Sans retard et si possible endéans les 72h Si impossible : justifier les motifs du retard
Exception si pas de risque pour les droits et libertés des personnes concernées
Notification à la personne concernée En cas de risque élevé pour ses droits et libertés
Le chiffrement des données peut permettre d’être exempté
Le sous-traitant doit notifier au responsable du traitement sans délai
Obligation pour le responsable de documenter toute violation de données
Brussels - Kortrijk | www.crosslaw.be 8
Fondement du traitement de données ?
Traitement opéré sur la base du consentement ? Si oui, attention car cette notion est définie plus strictement par le règlement
Le silence ne suffit plus Nécessité d’une action positive (déclaration ou acte positif clair)
Nécessité d’un consentement explicite dans certaines hypothèses
Preuve à charge du responsable du traitement
Pas de mesure transitoire prévue Consentement obtenu conformément aux nouvelles exigences?
Conditions strictes pour obtenir le consentement des enfants dans le cadre desservices de la société de l’information
Brussels - Kortrijk | www.crosslaw.be 9
Fondement du traitement de données ?
Traitement basé sur l’intérêt légitime? Importance de pouvoir le justifier
Responsable du traitement
Tiers
Mise en balance avec les intérêts et les droits et libertés de la personne
Exemples fournis par le règlement Prévention de la fraude
Marketing direct (à des fins de prospection)
Ressource humaine et gestion clients
Obligation de communiquer l’information
Utilisation accrue à l’avenir vu la facilité avec laquelle le consentement peutêtre rétracté
Brussels - Kortrijk | www.crosslaw.be 10
Les nouveaux droits de la personne concernée
Droit à l’effacement ou droit à l’oubli
Droit à la limitation du traitement
Droit à la portabilité des données
Le responsable du traitement doit Communiquer en des termes clairs et simples
Faciliter l’exercice de ces droits
Fournir les informations sur les mesures prises dans un délai d’un mois
Assumer les frais liés sauf si la demande est infondée ou excessive
Brussels - Kortrijk | www.crosslaw.be 11
Droit à l’effacement ou droit à l’oubli
Existait déjà mais est étendu
Peut être exercé à condition que: Les données ne soient plus nécessaires au regard de la finalité poursuivie Le consentement sur lequel est fondé le traitement soit retiré La personne concernée s’oppose au traitement et qu’il n’y ait pas de motif légitime
impérieux pour le traitement Le traitement soit illicite Ce soit nécessaire pour respecter une obligation légale Les données aient été collectées dans le cadre de l’offre de services de la société de
l’information à des enfants
Le responsable qui a rendu les données publiques est tenu de les effacer etd’informer les responsables de traitement qui traitent ces données qu’ilconvient d’effacer tout lien vers celles-ci ou toute copie ou reproduction
Brussels - Kortrijk | www.crosslaw.be 12
Droit à la limitation du traitement
Droit d’obtenir que le responsable limite le traitement des donnéeslorsque: L’exactitude des données est contestée
Le traitement est illicite
Les données ne sont plus nécessaires aux fins du traitement mais la personneconcernée en a besoin pour faire valoir ses droits en justice
Le droit d’opposition est exercé
Interdiction de traiter les données sans le consentement pendant cettepériode
Obligation pour le responsable de notifier la limitation du traitement àchaque destinataire des données
Brussels - Kortrijk | www.crosslaw.be 13
Droit à la portabilité des données
Droit de recevoir ses données dans un format structuré, courammentutilisé, lisible et interopérable et de demander leur transmission à unautre responsable de traitement à condition que, cumulativement : Le traitement soit automatisé
La personne ait fourni les données au responsable du traitement
Le traitement soit fondé sur le consentement ou soit nécessaire à l’exécutiond’un contrat
Le transfert des données vers un autre responsable soit techniquementpossible (en cas de demande de transfert)
Pas d’obligation pour le responsable d’adopter ou de maintenir dessystèmes de traitement qui sont techniquement compatibles
Brussels - Kortrijk | www.crosslaw.be 14
En pratique, avant le 25 mai 2018
Soyez capable de démontrer le respect des dispositions légales Documenter
les traitements de données à caractère personnel les processus de mise en conformité
Evaluez l’ensemble des contrats existants dans lesquels votre entreprise ou organisme est responsable ou sous-traitant Amendement/renforcement de certaines obligations contractuelles requis?
Modifiez à l’avenir vos contrats types en prévoyant Les droits et obligations du responsable du traitement Les obligations du sous-traitant
Adaptez vos politiques en matière de vie privée
Formez vos équipes
Brussels - Kortrijk | www.crosslaw.be 15
Merci pour votre attention. Questions?
Brussels - Kortrijk | www.crosslaw.be 16