earlegal #3 - Vers un nouveau règlement sur la protection des données

Vers un nouveau règlement
sur la protection des données
Jean-François HENROTTE
Fanny COTON

www.earlegal.beGroupe Larcier / Lexing
Où en est-on ?
Aujourd’hui
Directive 95/46 – Loi du 8/12/1992
Demain :
Règlement général 2016/679 du 27/04/16 sur la
protection des données (GDPR)
applicable le 25/05/18
2

Principe d’« accountability »
mettre en oeuvre les mesures techniques et
organisationnelles appropriées
+ les actualiser si nécessaire
ACCOUNTABILITY (Article 24.1):
Etre en mesure de démontrer que l’on respecte le
règlement
TRANSPARENCE
MODIFIER LES PRATIQUES ACTUELLES
3

Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
 Justifie des investissements importants
4

Programme
Le siège de ma société est situé en dehors de l’UE, suis-je
impacté par le règlement ?
Puis-je héberger des données à caractère personnel hors de
l’Union européenne ?
Quelles sont les nouvelles obligations de ma société en tant
que responsable du traitement?
Quelles sont les nouvelles obligations de ma société en tant
que sous-traitant?
5

Programme
Quelles sont les évolutions relatives aux droits des personnes
concernées ?
Que faire en cas de brèche de sécurité?
Quelles relations avec la Commission Vie privée ?
Quelle est la marche à suivre pour mettre mon entreprise en
conformité avec le règlement ?
6

Groupe Larcier / Lexing www.earlegal.be
1.
Le siège de ma société est hors de l’UE,
suis-je impacté par le nouveau règlement ?
7

Notre fil conducteur
Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
scanne les communications des employés pour déceler n° de carte de
crédit
de ses clients européens et américains
elle veut traiter les résultats à Denver et à défaut, en Italie

Droit applicable au traitement selon la
directive
Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002]
De quel traitement s’agit-il ?
Qui est responsable de ce traitement ?
Le responsable est-il établi sur le territoire de l’état
membre ?
Cet établissement est-il pertinent pour le traitement ?
9

directive
Établissement du RT sur le territoire d’un EM
Siège?
PJ?
Serveur?
Dans le cadre des activités
Approche fonctionnelle ou économique
G29, CJUE Google Spain
10

directive
11

Champ d’application plus large
Directive :
Établissement du RT sur le territoire d’un EM et traitement dans le cadre
des activités de l’Et.
recours à des moyens sur 1 EM
Règlement :
s’appliquera également aux traitements effectués par des entreprises
situées hors de l’Union européenne, si
elles offrent leurs produits et services aux citoyens de l’UE
ou observent leur comportement.

Droit applicable au traitement selon le
règlement
Art. 3.2 a) Traitement de données de personnes ayant leur
résidence sur le territoire l'UE,
par un RP qui n'est pas établi dans l'Union, lorsque les
activités de traitement sont :
- liées à l'offre de biens ou de services à ces personnes
concernées dans l'Union
13

Droit applicable au traitement selon le
règlement
Art. 3.2 b) – liées au suivi
du comportement
des personnes concernées
si ce comportement a lieu dans l’UE
techniques de traitement de données consistant à appliquer un
«profil» à un individu, afin notamment de prendre des décisions le
concernant ou d'analyser ou de prévoir ses préférences, son
comportement et sa disposition d'esprit. (cons. 24) – Cookies,
javascript mais aussi Fb
14

Représentant dans l’Union
Art. 27
Un représentant doit être mandaté par le RT
à traiter en plus ou à la place du RT
toutes les questions liées au traitement des données
personnelles par les autorités de contrôle et les personnes
concernées
15

2.
Puis-je héberger
des données à caractère personnel
hors de l’Union européenne?
16

Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
500 employés
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
Développe un logiciel pour la gestion de ses 5.000 clients (CRM)
elle veut traiter les résultats à Denver et à défaut, en Italie

Transfert
Transfert de données
= traitement de données en tant que tel
Respect :
• des règles applicables à tout traitement de données
• des règles encadrant le transfert
Principe : interdiction des transferts de données vers des
pays n'offrant pas un niveau de protection adéquat

Transfert au sein de l’UE
Directive : régime « équivalent » au sein des 28 États membres
Au sein de l’UE : autorisé de la même
manière qu’un transfert au
sein d’un même État
Pas d’autorisation à solliciter
Déterminer le droit applicable à chaque traitement
 OK pour l’Italie

Puis-je héberger mon site web
et ma base de données clients
dans un cloud aux USA?

Transfert hors de l’UE
Seulement si le pays en question assure un niveau de
protection adéquat.
Ok pour transfert
de données par
la société aux USA ?

Niveau de protection adéquat : quels pays ?
Liste blanche de la Commission:
Norvège, Liechtenstein, Islande, Suisse, Canada (pour les
traitements soumis à la loi canadienne "Personal Information
Protection and Electronic Documentation Act" et pour les
données relatives aux passagers aériens), Andorre, Argentine,
Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les
données relatives aux passagers aériens), Israël, Nouvelle-
Zélande et Uruguay
Législation des États-Unis n’offre pas le niveau de
protection adéquat

Niveau de protection adéquat : Safe
Harbour ?
Pour les États-Unis : ok si le destinataire des données aux États-Unis a
adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour
Principles » (ainsi que pour les données relatives aux passagers
aériens)
MAIS : Autorégulation : entreprises déclarent qu'elles respectent les
principes du «Safe Harbour» et sont inscrites dans un registre du
Département américain du Commerce.
Chaque année: auto-certification ou organisme certificateur
externe.
 Trop de souplesse
Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière
de sécurité nationale et restriction des pouvoirs des ARN)
Privacy shield depuis le 1er août 2016
Contesté devant CJUE

Nouveautés pour les transferts ?
GDPR : Critères plus nombreux et plus précis que Directive pour
reconnaitre le niveau de protection adéquat
Autorité nationale doit :
surveiller le déroulement effectif des transferts
vérifier que l'État tiers présente toujours un niveau de protection
adéquat
 possibilité pour la Commission d’amender ou suspendre sa
décision,
possibilité de retirer la décision

Quid si cloud provider aux USA ou en Inde ?
Solution : clauses contractuelles spécifiques
clauses types :
RT: Décision de la Commission du 15 juin 2001
ST: Décision de la Commission du 5 février 2010
ou non : Les entreprises peuvent proposer leurs propres clauses
et soumettre à l’Autorité nationale de contrôle
Dérogations : notamment consentement de la personne
concernée et nécessaire à l’exécution d’un contrat

Chaque société de mon groupe
doit-elle conclure une convention vie privée pour
communiquer des données
à une autre société du groupe ?

NON
Solution : Règles d’entreprise
contraignantes
(Binding Corporate Rules = BCR)
Règles d’entreprise contraignantes

Règles d’entreprise contraignantes
A l'intérieur d'un groupement d'entreprises ou d'un groupe
d'entreprises engagées dans une activité économique conjointe
Multinationale n'introduit qu'une seule demande auprès d'une
Autorité de contrôle "chef de file", examinée par 28 autorités de manière
concertée
En Belgique : après approbation de la Commission : arrêté royal
Ne couvre pas les flux de
données en dehors de ce groupe

BCR dans le Règlement
Améliorations pour les entreprises ?
disposition spécifique (démontre l'importance accordée aux
multinationales)
pratiques administratives déjà établies (désignation de l'autorité chef de
file, procédure coordonnée, critères,…) sont reprises directement dans
le règlement
travail des Autorités Nationales devrait être plus efficace et plus rapide
Améliorations pour les citoyens ?
renforcement des critères à satisfaire pour obtenir l’approbation des BCR
surveillance régulière du respect des critères
possibilité de remettre en question les décisions prises (mais volonté
politique de le faire concrètement ?)

Codes de conduite et certifications
Visent tous deux les TPE et PME :
Code de conduite = équivalent "allégé" des BCR
Projet par les associations regroupant les
responsables de traitement ou les sous-traitants
Soumis à l'Autorité de Contrôle compétente
Émet un avis sur l'adéquation du code avec la
législation et le publie si positif.
Pourra couvrir plusieurs États Membres
// Privacy shield: repose sur auto-régulation
autorisation préalable reste nécessaire pour chaque transfert

Codes de conduite et certifications
Certification
Contrôle par autorité nationale
ou par un organisme de certification
(agréé par l'Autorité de Contrôle - indépendance – expertise)
Rassurant pour le RT et pour le public
MAIS ne réduit pas :
la responsabilité du RT ni du ST
le pouvoir de contrôle et de sanction des autorités
nationales

3.
Quelles sont les nouvelles obligations de ma société
en qualité de responsable du traitement ?
32

Société NEWTIC - Secteur informatique
500 employés
Base de données de 5.000 clients.
Développe un logiciel pour la gestion de ses propres clients
(CRM)
Clients de NEWTIC = vous ?

Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)

Protection des données dès la conception
Protection des données par défaut
Inverser la démarche actuelle

Se préoccuper de la protection des données dès la conception des
technologies et des pratiques de l’entreprise
Compte tenu des techniques les plus récentes et des coûts
Minimiser et pseudonymiser autant que possible
Par défaut, seules les données à caractère personnel nécessaires à
chaque finalité spécifique sont traitées
L’utilisateur peut changer les réglages par la suite

Analyse d’impact
Analyse de l’impact du traitement projeté sur la protection des données
Interne – par le RT / app. immédiate
Contenu : description des opérations de traitement
évaluation des risques
mesures envisagées pour limiter les risques
mécanismes pour démontrer la “compliance”
Éventuellement : code de conduite appliqué
avis du délégué à la protection des données

Analyse d’impact
A chaque fois ? NON – requis si :
Si le traitement est susceptible de créer un risque élevé pour les personnes
concernées en particulier par le recours à de nouvelles technologies
(déterminé par le RT à la suite d’une analyse d’impact…)
Profilage sur base duquel sont basées des décisions qui ont
des effets sur la personne concernées
Traitement à grande échelle de données sensibles
origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques,
affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie
sexuelle, condamnations pénales
Surveillance à grande échelle de zones accessibles au public
Cas que détermine l’autorité nationale : risque

• (Consultation préalable de la CPVP)
• (Notification/communication en cas de brèche de sécurité)

• Consultation préalable de la CPVP
 examiné plus loin
sécurité)

sécurité)

Délégué à la protection des données
(Lignes directrices WP 243 du G 29)
Pourquoi ?
associé en temps utile à toutes les questions relatives à la protection des
données à caractère personnel.
informer et conseiller le responsable du traitement
Formation du personnel
Vérifier l’exécution de l’analyse d’impact
Contrôler la conformité avec le Règlement
Personne de contact pour les personnes concernées et pour l’autorité
nationale
Quelle charge de travail ?

Délégué à la protection des données
Quand ? Obligatoire si traitement :
par une autorité publique ou un organisme public, à l’exception des
tribunaux
qui exige un suivi régulier et systématique à grande échelle des personnes
concernées
de données sensibles à grande échelle
MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque
(abandon du critère des 5.000 personnes concernées)
Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué
Expert en droit de la protection des données
Absence de conflit d’intérêt
Protégé contre licenciement en raison avis qu’il émet
secret professionnel ou obligation de confidentialité

• (Notification/communication en cas de brèche
de sécurité  examiné infra)

4.
Quelles sont les nouvelles obligations
de ma société en qualité de sous-traitant ?
46

NEWTIC décide de développer logiciel CRM pour la vente
Configure le logiciel
Assure la maintenance
Devient sous-traitant

Droit applicable aux mesures de sécurité
du sous-traitant ?
Directive : Les mesures de sécurité liant le ST sont celles de son
établissement
Possibilité d’un droit pour le traitement et un autre
pour les mesures de sécurité
Règlement : même législation

Obligations du sous-traitant
dans le nouveau règlement ?
Obligation de conseil v-à-v du client quant au respect
de la vie privée
+ nouvelles obligations propres de NEWTIC en vertu
GDPR
mêmes sanctions que celles applicables au responsable
du traitement

Nouvelles obligations des sous-traitants
mentions obligatoires dans le contrat de sous-traitance
+
privacy by design
documentation adéquate
mesures techniques et organisationnelles appropriées afin de
garantir un niveau de sécurité adapté
effectuer les analyses d’impact
désigner un délégué à la protection des données
satisfaire aux exigences requises en cas de transfert de données
vers des pays tiers
coopérer avec les autorités de contrôle nationales

5.
Quelles sont les évolutions relatives aux droits des
personnes concernées ?
51

Ados pris en photo par NEWTIC
pour un concours
puis les images sont utilisées dans une publicité
sociale et virale

Consentement
Directive : explicite ou implicite
Règlement : explicite
acte positif, garantissant son caractère libre, spécifique, informé et
univoque.
sous une forme compréhensible et aisément accessible, en des termes clairs et
simples.
Distinguer question du consentement des autres questions.
Plus possible d’opter pour un consentement tacite ou passif
ou au moyen de cases cochées par défaut.
Vérifier les polices vie privée actuelles !

Consentement des enfants
Spécificité pour les services de la société de l’information
En particulier : à des fins de marketing
création de profils de personnalité ou d'utilisateur
collecte de données lors de l'utilisation de services fournis directement à
un enfant
En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut
descendre jusqu’à 13 ans)
le consentement n’est licite que si donné ou autorisé par une personne
exerçant l’autorité parentale.
Obligation pour le responsable du traitement de le vérifier compte tenu des
moyens technologiques dont il dispose.
+ en termes particulièrement clairs

« Droit à l’oubli » numérique
Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand :
données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légal
la personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ;
les données ont fait l’objet d’un traitement illicite ;
Données collectées dans le cadre de l’offre directe de service de la société de l’information à un
enfant de moins de 16 ans
Exceptions :
nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques)
obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique)
nécessaire à des fins de recherche scientifique et historique ou statistique
constatation, exercice ou défense de droits en justice.
+ mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées
identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées

Obligation de transparence et d’information
Obligation de faciliter l’exercice des droits de la personne
concernée
Obligation de répondre dans les meilleurs délais (au plus
tard dans le mois) à toute demande d’information
Ne peut refuser la demande d’une personne, à moins que
l’entreprise démontre ne pas être en mesure d’identifier la
personne.

Portabilité des données
Recevoir ses propres données
dans un format structuré, couramment utilisé et
lisible par une machine
pourra même obtenir, si techniquement possible, que
les données soient directement transmises à un
autre opérateur

6.
Que faire en cas de brèche de sécurité ?
58

NEWTIC est victime d’une attaque de pirates
informatiques
et soupçonne que des tiers aient mis la main sur des
données privées de ses clients
Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012),
la Défense (500 collaborateurs en janvier 2013),
Jobat (15.000 personne en janvier 2013),
Belgacom (septembre 2013),
Ashley Madison
………….

Obligations actuelles
en cas de brèche de sécurité ?
A. Pour les entreprises qui fournissent des services
de communication électroniques:
Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:
- Notification à l’IBPT dans les 24 H du constat de la violation
- Avertir le client « sans retard injustifié » si risque d’affectation de ses données
à caractère personnel ou sa vie privée
Rem:
- Personnes concernées = PP et PM
B. Pour les autres entreprises :
Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de
sécurité à entreprendre pour éviter la violation des données

Notification à l’autorité de contrôle
Communication à la personne concernée
Quand ? Si risque élevé
PAS SI le RT :
A pris mesures préalables de protection (technologiques et organisationnelles)
ex : chiffrement
A pris mesures après la brèche pour s’assurer que le risque ne peut plus se
réaliser
Règlement : Quelles obligations

Notification uniquement à l’autorité de contrôle SI:
Effort disproportionné de prévenir toutes les personnes concernées
Communication publique ou mesure similaire
Affecterait substantiellement l’intérêt public
Contenu de la notification:
Nature de la brèche (catégories and nombre de traitements et personnes
concernées)
Données de contact du délégué
Conséquences de la brèche
Mesures prises/envisagées

Délai pour la notification :
À l’autorité de contrôle : dans les plus brefs délais (max.
72 h)
À la personne concernée : dans les plus brefs délais
Par le sous-traitant à son client : dans les plus brefs délais

Intérêt de se préparer à la gestion des fuites de
données
 Délais très courts (en heures)!
Mieux vaut savoir que faire
 Preuve de rigueur et d’une véritable politique « vie
privée » vis-à-vis de la CPVP
 limitation des amendes
 Preuve de bonne foi, volonté d’une relation de
confiance avec le client, image positive

7.
Quelles relations
avec la Commission Vie privée ?
Avant / Pendant le traitement
65

Avant le traitement :
Nouvelles obligations pour le RT:

Consultation préalable de la CPVP
Quand ? Si l’analyse d’impact > traitement est susceptible de
créer un “risqué élevé”
(même si le RT prévoit des mesures pour limiter le risque)
Quoi ? AVIS rendu dans 8 semaines
(14 semaines si complexe)
PLUS d’autorisation
PLUS de déclaration
CPVP pourra utiliser ses moyens d’investigation
et émettre des avertissements

Directive :
L’art. 4 peut rendre applicable plusieurs droits et
donc plusieurs autorités nationales de contrôle
Multiples démarches
Multiples législations
Différentes appréciations et délais de
traitement
Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?

Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?
Règlement :
autorité de contrôle de l’établissement principa
= autorité de contrôle chef de file
grande avancée pour les entreprises :
1 législation (règlement)
1 autorité de contrôle chef de file

Autorité chef de file
autorité de contrôle de l’établissement principal
= autorité de contrôle chef de file
(“One-Stop-Shop”)
Avancée pour les entreprises,
Mais désavantage pour les personnes concernées
(plainte à l’étranger ?)
 Compromis: coopération des 2 aut. nat.
 parvenir à un consensus
 positif pour les entreprises

Pendant le traitement :
Contrôles
Sanctions
Pendant le traitement :

À tout moment !
Plaintes
En cas de fuite de données
Certains secteurs dans le viseur
Contrôles

Contrôles
Demande de renseignements
Accès aux locaux
Accès à la documentation
Pouvoir prouver la compliance
Nécessité de se préparer !!

Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
 Justifie des investissements importants

8.
Quelle est la marche à suivre pour mettre votre
entreprise en conformité avec le règlement ?
75

Ressources nécessaires ?
Prêt pour privacy by design?
Prêt pour démontrer la compliance?
Plan d’action en cas de brèche de sécurité ?
76

État des lieux
Identification :
des traitements actuellement réalisés,
de la durée de conservation des données,
de la façon dont la documentation est conservée,
des preuves de consentement obtenues,
des mesures de sécurités actuellement en vigueur,
des tiers à qui les données ont été transmises
Analyse des incidents qui ont déjà eu lieu et de la façon dont ils
ont été gérés.

Identification des enjeux par le service
juridique
Obligation/opportunité de désigner un Data Protection Officer +
procédure de recrutement
Activités dans différents EM, rattacher certaines activités à un pays ?
Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de
limiter ses obligations
Détermination de l’ampleur du travail à réaliser (nombre d’heures)
Détermination des risques chiffrés (amendes/réputation)
Détermination des priorités et des traitements stratégiques
(données de tiers/des employés ; anciens/nouveaux produits)
Détermination du pourcentage de risque acceptable pour votre entreprise.

Stratégie
Mise au point de la stratégie
au sein du service juridique
Puis défense devant le comité de direction

Préparation du cadre
Mise en place de procédures types :
Nouveaux traitements:
Analyse d’impact sur la vie privée
Demande d’avis préalable à la Commission Vie Privée
Archivage de la documentation (principe d’accountability)
Gestion des « incidents » :
En cas de retrait de consentement (en interne et transmission de la requête aux tiers
auxquels les données ont été transmises).
« portabilité » des données (transmission des données, éventuellement à un autre
opérateur, dans un format structuré communément utilisé),
en cas de brèche de sécurité (avec conservation des traces documentaires).

Préparation du cadre
Adaptation :
des polices vie privées existantes
(renforcement du consentement/meilleure lisibilité)
des contrats existants.
Limitation des risques dus aux brèches de sécurité :
anonymisation/chiffrement des données si possible,
 éviter de devoir notifier une fuite de données
 éviter la publicité que cela entraîne
rapidité de réaction, grâce à une procédure

Mise en œuvre progressive
Formation du personnel :
 à la nouvelle mentalité privacy by design/privacy by default
 au délai de 8 semaines nécessaire pour avis préalable
 aux procédures mises en place.
Application de la procédure d’analyse d’impact aux traitements existants.
Amélioration de la tenue du registre des activités de traitement et des automatismes à
adopter.
Effacement des données dont la conservation ne peut plus être justifiée et mise en
œuvre d’un processus automatisé d’effacement des données pour l’avenir.

Perfectionnement
Simulation d’une brèche de sécurité
Simulation d’une « descente » de la Commission Vie Privée.
Communication publique quant aux efforts mis en place par
l’entreprise.

La notification d’une brèche de sécurité
est-elle négative pour l’entreprise ?
COMPLIANCE =
BENEFICES d’un point de vue :
 gestion des risques
 réputation
 économique

Pourquoi anticiper les futures règles?

earlegal #3 - Vers un nouveau règlement sur la protection des données

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (16)

Ähnlich wie earlegal #3 - Vers un nouveau règlement sur la protection des données

Ähnlich wie earlegal #3 - Vers un nouveau règlement sur la protection des données (20)

Mehr von Lexing - Belgium

Mehr von Lexing - Belgium (20)

earlegal #3 - Vers un nouveau règlement sur la protection des données

Hinweis der Redaktion