Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?

La vie d’une entreprise et la vie privéeComment implémenter le nouveau règlement européen sur

la protection des données personnelles

Nathalie Ragheno Jacques Folon, Ph.D

La loi vie privée existe… depuis 1992

La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel.

Elle définit non seulement

- les droits et devoirs de la personne dont les données sont traitées

- mais aussi ceux du responsable d'un tel traitement.

Etes-vous à ce jour parfaitement en règle par rapport à la loi vie privée?

Petit rappel des épisodes précédents

• Définition des finalités • Déclarations des traitements auprès de la CPVP• Information des personnes enregistrées• Consentement des personnes concernées• Droit d’accès, de rectification, d’opposition• Transfert des données vers des pays hors UE

Objectifs du règlement européen

• Harmonisation des législations sur la protection des données

• Directive Règlement • Adaptation aux nouvelles technologies et

nouveaux médias sociaux• Renforcer l’indépendance et les pouvoirs des

autorités de contrôle nationales• Limiter les charges administratives des

entreprises (?!)

¿

Différences avec la loi de 1992

• Champ d’application plus étendu• Nouvelles définitions• Responsabilité du responsable de traitement ET

du sous-traitant• Sanctions importantes avec le règlement• Pouvoir accru de la CPVP (Pouvoir d’investigation

et de sanction)

Charges administratives pour les entreprises

Prenons un exemple concret • Nous allons vous proposer les différentes

étapes de la vie d’une entreprise• Et à chaque étape nous attirerons votre

attention sur les règles à respecter en fonction du règlement européen

Création de LANZADO

• Commerce en ligne de vêtements pour hommes et femmes

• Commerce en ligne – Qui est le responsable de traitement?– Obligations du responsable de traitement?– Accountability !

Mise en place du système informatique

• Création de fichiers – Prospects– Clients– Logs d’inscriptions– Achats

Sécurité de l’information

– ISO 27002 peut être un référentiel – Gestion des profils pour accès informatique (Need

to have)– Gestion de login & password

Engagement de quatre employés

• Création d’un fichier des membres du personnel Que peut-on enregistrer ? Peut-on tout savoir ?

Quid des données sensibles (médicales, religieuses,…)?Quid des données judiciaires (condamnations,…)?

• Règlement de travail- Clauses de confidentialité - Utilisation d’internet et des réseaux sociaux (CCT 81)- Surveillance par caméra- ….

• Information sur la protection des données personnelles- Code de conduite sur la protection des données - Bring your own device

Lanzado signe un contrat avec une agence qui crée un site Internet de commerce électronique destiné aux clients belges francophones

• Hébergement • Sous-traitance donnée vie privée• Responsabilité • Choix du sous-traitant

Privacy PolicyUn juriste est contacté ou la fédération professionnelle (ou UCM,UWE,…) ou un DPO pour préparer :

• Un registre des traitements• Analyse d’impact pour certains traitements• Information des personnes enregistrées• Instructions en interne

Il est important dans ce cadre de :• Adapter les policies aux spécificités de l’entreprise• Mettre à jour les fichiers existants et les policies• ET se méfier des modèles sur Internet !!!!!

En pratique, qu’est-ce que cela implique pour la société LANZADO ?

• Données traitées de manière licite, loyale et transparente • A des fins légitimes et déterminées• Pas de données excessives (proportionnalité)• Et mise à jour de ces données• Conservation limitée de ces données

• Information des consommateurs ET consentement

Attention: cela vaut aussi pour toute collecte de données ( directement, indirectement et via internet)

L’agence demande si des cookies peuvent être installés

• Mécanisme d’opt-in =consentement préalable et informé des utilisateurs

• Consentement donné 1X• Utilisateur doit pouvoir choisir – pas de conséquences

négatives s’il refuse• Consentement demandé sur écran de démarrage, dans

la page ou bandeau• Action positive de l’utilisateur = consentement (ex: butinage vers d’autres pages du site)• Consentement doit pouvoir être retiré

Information donnée à propos des cookies

Avertissement • clair, compréhensible et visible• accessible depuis chaque page et référencé de manière visible• Et portant sur

Exemples sur le site de la CPVP

– les finalités – les catégories d’infos stockées– la durée conservation– les modalités d’effacement– et les éventuelles communications à des tiers

L’agence leur crée une page Facebook, un compte Twitter et Instagram

• Si enregistrement des contacts réseaux sociaux

• Ce sont des données personnelles

La société achète des listes de prospects à des list-brokers

• Garantie du list broker• Deux cas envois – soit par le list broker– Soit on achète la liste

Le premier client passe commande• Information à fournir lors de l’enregistrement des données

• Enregistrement des données (collecte, organisation, conservation, extraction, consultation,communication, diffusion, interconnexion,…)

• Droit d’accès (gratuit et réponse dans un délai de max. 1 mois)• Droit de rectification , d’effacement• Droit d’opposition et droit de demander de ne pas être contacté (Do Not Call Me List + Liste Robinson) Opt-out

• Droit à l’oubli

Transparence des informations

Conserver dates des enregistrement + sources

et traces des opt-out

L’informaticien crée une base de données de clients et se pose la question de savoir ce qui doit être conservé

comme information

• Partition des fichiers– Marketing– Comptabilité– Refus partiel

• Client actif• Client qui ne veut plus être contacté• Droit à l’oubli

L’agence effectue une campagne d’e-mailing

• Vérifier la fiabilité des emails

• Preuve – de l’opt-in – Source – date d’obtention

• Quid des données existantes

Une personne contactée durant cette campagne envoie un recommandé et porte plainte auprès de la CPVP :

elle ne comprend pas comment cette société a eu son adresse email

• Information lors de la collecte de données (même si ce n’est pas auprès de la personne concernée elle-même)

• Dans un délai raisonnable (max. 1 mois ou lors de la 1ère communication)

Après 3 mois LANZADO a déjà 3.000 clients en Belgique, et elle décide de prospecter des clients en Suisse, en France et au Luxembourg que doit-elle vérifier?

La prospection inclut-elle un transfert de données personnelles?

Le pays destinataire est-il situé dans l’UE?

Le pays destinataire garantit-il un niveau de protection adéquat des données?

USA

Andorre Argentine, Canada, Suisse…

NON OUI

Niveau de protection adéquat

Transfert vers un pays tiers à l’UE

OUINON

Transfert au sein d’un groupe

Transfert hors groupe

Transaction spécifique

Clauses contractuelles

Consentement,Contrat

Binding Corporate Rules

Un vendeur est interrogé par un client qui lui demande si LANZADO a un responsable vie privée.

• DPO • Pas pour tout le monde – Organisme public– Seuil pour secteur privé– Traitement à risque (pas encore défini)

Le quatrième mois, plusieurs clients mécontent, qui avaient déjà acheté des vêtements, les contactent et demandent que leurs données soient retirées de la base de données

Oui mais quelle base de donnée ?Toutes les données?

Le fichier des clients et des prospects se développe et LANZADO décide d’utiliser un CRM vendu par une société américaine et dont les données seront stockées dans le Cloud

• Responsabilité• Clauses commission• Contrat avec réversibilité

Pour protéger le stock Lanzado souhaite installer des caméras de surveillance dans et autour de son

entrepôt

Un administrateur de LANZADO, demande lors du dernier CA, quelles sont les mesures de sécurité qui ont été prises afin de respecter le minimum légal

• Sécurité suffisante• Data breach notification

CONCLUSIONS

Il faut prendre conscience de l’importance de bien gérer les données dans une entreprise et de les protéger efficacement

Il est nécessaire de politique pro-active (accountability)désigner une personne responsable (DPO ou non)Sinon risques de sanctionrisques d’image et de réputation

…Entre 2016 et 2018 vous devrez donc…

1. Vérifier dans quelle mesure votre entreprise est en conformité avec la legislation actuelle en matière de Data Protection

2. et étudier les mesures complémentaires à mettre en oeuvre au regard du nouveau Règlement

Don’t wait!Do it Now

Nous vous remercions pour votre attention !

Nathalie Ragheno

Premier conseiller

Å +32 2 515 09 52* nr@vbo-feb.be

Jacques FolonPartner Edge-Consulting

Professeur IchecMe. de conf. ULG

Å +32 475 98 21 15

* jacques.folon@ichec.be

www.folon.com

Vous avez des questions ?

Liens utiles:

• https://www.privacycommission.be/fr/themes-de-vie-privee

• https://www.privacycommission.be/fr/la-vie-privee-sur-le-lieu-de-travail

• CCT 81http://www.cnt-nar.be/CCT-COORD/cct-081.pdf