Embed Size (px)
Citation preview
La vie d’une entreprise et la vie privéeComment implémenter le nouveau règlement européen sur
la protection des données personnelles
Nathalie Ragheno Jacques Folon, Ph.D
La loi vie privée existe… depuis 1992
La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel.
Elle définit non seulement
- les droits et devoirs de la personne dont les données sont traitées
- mais aussi ceux du responsable d'un tel traitement.
Etes-vous à ce jour parfaitement en règle par rapport à la loi vie privée?
Petit rappel des épisodes précédents
• Définition des finalités • Déclarations des traitements auprès de la CPVP• Information des personnes enregistrées• Consentement des personnes concernées• Droit d’accès, de rectification, d’opposition• Transfert des données vers des pays hors UE
Objectifs du règlement européen
• Harmonisation des législations sur la protection des données
• Directive Règlement • Adaptation aux nouvelles technologies et
nouveaux médias sociaux• Renforcer l’indépendance et les pouvoirs des
autorités de contrôle nationales• Limiter les charges administratives des
entreprises (?!)
¿
Différences avec la loi de 1992
• Champ d’application plus étendu• Nouvelles définitions• Responsabilité du responsable de traitement ET
du sous-traitant• Sanctions importantes avec le règlement• Pouvoir accru de la CPVP (Pouvoir d’investigation
et de sanction)
Charges administratives pour les entreprises
Prenons un exemple concret • Nous allons vous proposer les différentes
étapes de la vie d’une entreprise• Et à chaque étape nous attirerons votre
attention sur les règles à respecter en fonction du règlement européen
Création de LANZADO
• Commerce en ligne de vêtements pour hommes et femmes
• Commerce en ligne – Qui est le responsable de traitement?– Obligations du responsable de traitement?– Accountability !
Mise en place du système informatique
• Création de fichiers – Prospects– Clients– Logs d’inscriptions– Achats
Sécurité de l’information
– ISO 27002 peut être un référentiel – Gestion des profils pour accès informatique (Need
to have)– Gestion de login & password
Engagement de quatre employés
• Création d’un fichier des membres du personnel Que peut-on enregistrer ? Peut-on tout savoir ?
Quid des données sensibles (médicales, religieuses,…)?Quid des données judiciaires (condamnations,…)?
• Règlement de travail- Clauses de confidentialité - Utilisation d’internet et des réseaux sociaux (CCT 81)- Surveillance par caméra- ….
• Information sur la protection des données personnelles- Code de conduite sur la protection des données - Bring your own device
Lanzado signe un contrat avec une agence qui crée un site Internet de commerce électronique destiné aux clients belges francophones
• Hébergement • Sous-traitance donnée vie privée• Responsabilité • Choix du sous-traitant
Privacy PolicyUn juriste est contacté ou la fédération professionnelle (ou UCM,UWE,…) ou un DPO pour préparer :
• Un registre des traitements• Analyse d’impact pour certains traitements• Information des personnes enregistrées• Instructions en interne
Il est important dans ce cadre de :• Adapter les policies aux spécificités de l’entreprise• Mettre à jour les fichiers existants et les policies• ET se méfier des modèles sur Internet !!!!!
En pratique, qu’est-ce que cela implique pour la société LANZADO ?
• Données traitées de manière licite, loyale et transparente • A des fins légitimes et déterminées• Pas de données excessives (proportionnalité)• Et mise à jour de ces données• Conservation limitée de ces données
• Information des consommateurs ET consentement
Attention: cela vaut aussi pour toute collecte de données ( directement, indirectement et via internet)
L’agence demande si des cookies peuvent être installés
• Mécanisme d’opt-in =consentement préalable et informé des utilisateurs
• Consentement donné 1X• Utilisateur doit pouvoir choisir – pas de conséquences
négatives s’il refuse• Consentement demandé sur écran de démarrage, dans
la page ou bandeau• Action positive de l’utilisateur = consentement (ex: butinage vers d’autres pages du site)• Consentement doit pouvoir être retiré
Information donnée à propos des cookies
Avertissement • clair, compréhensible et visible• accessible depuis chaque page et référencé de manière visible• Et portant sur
Exemples sur le site de la CPVP
– les finalités – les catégories d’infos stockées– la durée conservation– les modalités d’effacement– et les éventuelles communications à des tiers
L’agence leur crée une page Facebook, un compte Twitter et Instagram
• Si enregistrement des contacts réseaux sociaux
• Ce sont des données personnelles
La société achète des listes de prospects à des list-brokers
• Garantie du list broker• Deux cas envois – soit par le list broker– Soit on achète la liste
Le premier client passe commande• Information à fournir lors de l’enregistrement des données
• Enregistrement des données (collecte, organisation, conservation, extraction, consultation,communication, diffusion, interconnexion,…)
• Droit d’accès (gratuit et réponse dans un délai de max. 1 mois)• Droit de rectification , d’effacement• Droit d’opposition et droit de demander de ne pas être contacté (Do Not Call Me List + Liste Robinson) Opt-out
• Droit à l’oubli
Transparence des informations
Conserver dates des enregistrement + sources
et traces des opt-out
L’informaticien crée une base de données de clients et se pose la question de savoir ce qui doit être conservé
comme information
• Partition des fichiers– Marketing– Comptabilité– Refus partiel
• Client actif• Client qui ne veut plus être contacté• Droit à l’oubli
L’agence effectue une campagne d’e-mailing
• Vérifier la fiabilité des emails
• Preuve – de l’opt-in – Source – date d’obtention
• Quid des données existantes
Une personne contactée durant cette campagne envoie un recommandé et porte plainte auprès de la CPVP :
elle ne comprend pas comment cette société a eu son adresse email
• Information lors de la collecte de données (même si ce n’est pas auprès de la personne concernée elle-même)
• Dans un délai raisonnable (max. 1 mois ou lors de la 1ère communication)
Après 3 mois LANZADO a déjà 3.000 clients en Belgique, et elle décide de prospecter des clients en Suisse, en France et au Luxembourg que doit-elle vérifier?
La prospection inclut-elle un transfert de données personnelles?
Le pays destinataire est-il situé dans l’UE?
Le pays destinataire garantit-il un niveau de protection adéquat des données?
USA
Andorre Argentine, Canada, Suisse…
NON OUI
Niveau de protection adéquat
Transfert vers un pays tiers à l’UE
OUINON
Transfert au sein d’un groupe
Transfert hors groupe
Transaction spécifique
Clauses contractuelles
Consentement,Contrat
Binding Corporate Rules
Un vendeur est interrogé par un client qui lui demande si LANZADO a un responsable vie privée.
• DPO • Pas pour tout le monde – Organisme public– Seuil pour secteur privé– Traitement à risque (pas encore défini)
Le quatrième mois, plusieurs clients mécontent, qui avaient déjà acheté des vêtements, les contactent et demandent que leurs données soient retirées de la base de données
Oui mais quelle base de donnée ?Toutes les données?
Le fichier des clients et des prospects se développe et LANZADO décide d’utiliser un CRM vendu par une société américaine et dont les données seront stockées dans le Cloud
• Responsabilité• Clauses commission• Contrat avec réversibilité
Pour protéger le stock Lanzado souhaite installer des caméras de surveillance dans et autour de son
entrepôt
Un administrateur de LANZADO, demande lors du dernier CA, quelles sont les mesures de sécurité qui ont été prises afin de respecter le minimum légal
• Sécurité suffisante• Data breach notification
CONCLUSIONS
Il faut prendre conscience de l’importance de bien gérer les données dans une entreprise et de les protéger efficacement
Il est nécessaire de politique pro-active (accountability)désigner une personne responsable (DPO ou non)Sinon risques de sanctionrisques d’image et de réputation
…Entre 2016 et 2018 vous devrez donc…
1. Vérifier dans quelle mesure votre entreprise est en conformité avec la legislation actuelle en matière de Data Protection
2. et étudier les mesures complémentaires à mettre en oeuvre au regard du nouveau Règlement
Don’t wait!Do it Now
Nous vous remercions pour votre attention !
Nathalie Ragheno
Premier conseiller
Å +32 2 515 09 52* [email protected]
Jacques FolonPartner Edge-Consulting
Professeur IchecMe. de conf. ULG
Å +32 475 98 21 15
www.folon.com
Vous avez des questions ?
Liens utiles:
• https://www.privacycommission.be/fr/themes-de-vie-privee
• https://www.privacycommission.be/fr/la-vie-privee-sur-le-lieu-de-travail
• CCT 81http://www.cnt-nar.be/CCT-COORD/cct-081.pdf
