earlegal du 25 mars 2016
Jean-François Henrotte, Fanny Coton et Lexing répondent, après une brève introduction aux questions suivantes:
- Le siège de ma société est situé en dehors de l’UE, suis-je impacté par le règlement 2016/679 ?
- Puis-je héberger des données à caractère personnel hors de l’Union européenne ?
- Quelles sont les nouvelles obligations de ma société en tant que responsable du traitement?
- Quelles sont les nouvelles obligations de ma société en tant que sous-traitant?
- Quelles sont les évolutions relatives aux droits des personnes concernées ?
- Que faire en cas de brèche de sécurité?
- Quelles relations avec la Commission Vie privée ?
- Quelle est la marche à suivre pour mettre mon entreprise en conformité avec le règlement du 14 avril 2016 ?
Vidéo du petit déjeuner-débat organisé par Lexing et le Groupe Larcier.
Toutes les vidéos des Earlegal sont accessibles ici: www.erlegal.be
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal #3 - Vers un nouveau règlement sur la protection des données
1. Vers un nouveau règlement
sur la protection des données
Jean-François HENROTTE
Fanny COTON
2. www.earlegal.beGroupe Larcier / Lexing
Où en est-on ?
Aujourd’hui
Directive 95/46 – Loi du 8/12/1992
Demain :
Règlement général 2016/679 du 27/04/16 sur la
protection des données (GDPR)
applicable le 25/05/18
2
3. www.earlegal.beGroupe Larcier / Lexing
Principe d’« accountability »
mettre en oeuvre les mesures techniques et
organisationnelles appropriées
+ les actualiser si nécessaire
ACCOUNTABILITY (Article 24.1):
Etre en mesure de démontrer que l’on respecte le
règlement
TRANSPARENCE
MODIFIER LES PRATIQUES ACTUELLES
3
4. www.earlegal.beGroupe Larcier / Lexing
Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
Justifie des investissements importants
4
5. www.earlegal.beGroupe Larcier / Lexing
Programme
Le siège de ma société est situé en dehors de l’UE, suis-je
impacté par le règlement ?
Puis-je héberger des données à caractère personnel hors de
l’Union européenne ?
Quelles sont les nouvelles obligations de ma société en tant
que responsable du traitement?
Quelles sont les nouvelles obligations de ma société en tant
que sous-traitant?
5
6. www.earlegal.beGroupe Larcier / Lexing
Programme
Quelles sont les évolutions relatives aux droits des personnes
concernées ?
Que faire en cas de brèche de sécurité?
Quelles relations avec la Commission Vie privée ?
Quelle est la marche à suivre pour mettre mon entreprise en
conformité avec le règlement ?
6
7. Groupe Larcier / Lexing www.earlegal.be
1.
Le siège de ma société est hors de l’UE,
suis-je impacté par le nouveau règlement ?
7
8. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
scanne les communications des employés pour déceler n° de carte de
crédit
de ses clients européens et américains
elle veut traiter les résultats à Denver et à défaut, en Italie
9. www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon la
directive
Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002]
De quel traitement s’agit-il ?
Qui est responsable de ce traitement ?
Le responsable est-il établi sur le territoire de l’état
membre ?
Cet établissement est-il pertinent pour le traitement ?
9
10. www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon la
directive
Établissement du RT sur le territoire d’un EM
Siège?
PJ?
Serveur?
Dans le cadre des activités
Approche fonctionnelle ou économique
G29, CJUE Google Spain
10
12. www.earlegal.beGroupe Larcier / Lexing
Champ d’application plus large
Directive :
Établissement du RT sur le territoire d’un EM et traitement dans le cadre
des activités de l’Et.
recours à des moyens sur 1 EM
Règlement :
s’appliquera également aux traitements effectués par des entreprises
situées hors de l’Union européenne, si
elles offrent leurs produits et services aux citoyens de l’UE
ou observent leur comportement.
13. www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon le
règlement
Art. 3.2 a) Traitement de données de personnes ayant leur
résidence sur le territoire l'UE,
par un RP qui n'est pas établi dans l'Union, lorsque les
activités de traitement sont :
- liées à l'offre de biens ou de services à ces personnes
concernées dans l'Union
13
14. www.earlegal.beGroupe Larcier / Lexing
Droit applicable au traitement selon le
règlement
Art. 3.2 b) – liées au suivi
du comportement
des personnes concernées
si ce comportement a lieu dans l’UE
techniques de traitement de données consistant à appliquer un
«profil» à un individu, afin notamment de prendre des décisions le
concernant ou d'analyser ou de prévoir ses préférences, son
comportement et sa disposition d'esprit. (cons. 24) – Cookies,
javascript mais aussi Fb
14
15. www.earlegal.beGroupe Larcier / Lexing
Représentant dans l’Union
Art. 27
Un représentant doit être mandaté par le RT
à traiter en plus ou à la place du RT
toutes les questions liées au traitement des données
personnelles par les autorités de contrôle et les personnes
concernées
15
16. Groupe Larcier / Lexing www.earlegal.be
2.
Puis-je héberger
des données à caractère personnel
hors de l’Union européenne?
16
17. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Une société du Delaware – NewTIC -
serveurs communs dans le Colorado
500 employés
succursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et
au Luxembourg,
Développe un logiciel pour la gestion de ses 5.000 clients (CRM)
elle veut traiter les résultats à Denver et à défaut, en Italie
18. www.earlegal.beGroupe Larcier / Lexing
Transfert
Transfert de données
= traitement de données en tant que tel
Respect :
• des règles applicables à tout traitement de données
• des règles encadrant le transfert
Principe : interdiction des transferts de données vers des
pays n'offrant pas un niveau de protection adéquat
19. www.earlegal.beGroupe Larcier / Lexing
Transfert au sein de l’UE
Directive : régime « équivalent » au sein des 28 États membres
Au sein de l’UE : autorisé de la même
manière qu’un transfert au
sein d’un même État
Pas d’autorisation à solliciter
Déterminer le droit applicable à chaque traitement
OK pour l’Italie
20. Groupe Larcier / Lexing www.earlegal.be
Puis-je héberger mon site web
et ma base de données clients
dans un cloud aux USA?
21. www.earlegal.beGroupe Larcier / Lexing
Transfert hors de l’UE
Seulement si le pays en question assure un niveau de
protection adéquat.
Ok pour transfert
de données par
la société aux USA ?
22. www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : quels pays ?
Liste blanche de la Commission:
Norvège, Liechtenstein, Islande, Suisse, Canada (pour les
traitements soumis à la loi canadienne "Personal Information
Protection and Electronic Documentation Act" et pour les
données relatives aux passagers aériens), Andorre, Argentine,
Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les
données relatives aux passagers aériens), Israël, Nouvelle-
Zélande et Uruguay
Législation des États-Unis n’offre pas le niveau de
protection adéquat
23. www.earlegal.beGroupe Larcier / Lexing
Niveau de protection adéquat : Safe
Harbour ?
Pour les États-Unis : ok si le destinataire des données aux États-Unis a
adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour
Principles » (ainsi que pour les données relatives aux passagers
aériens)
MAIS : Autorégulation : entreprises déclarent qu'elles respectent les
principes du «Safe Harbour» et sont inscrites dans un registre du
Département américain du Commerce.
Chaque année: auto-certification ou organisme certificateur
externe.
Trop de souplesse
Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière
de sécurité nationale et restriction des pouvoirs des ARN)
Privacy shield depuis le 1er août 2016
Contesté devant CJUE
24. www.earlegal.beGroupe Larcier / Lexing
Nouveautés pour les transferts ?
GDPR : Critères plus nombreux et plus précis que Directive pour
reconnaitre le niveau de protection adéquat
Autorité nationale doit :
surveiller le déroulement effectif des transferts
vérifier que l'État tiers présente toujours un niveau de protection
adéquat
possibilité pour la Commission d’amender ou suspendre sa
décision,
possibilité de retirer la décision
25. www.earlegal.beGroupe Larcier / Lexing
Quid si cloud provider aux USA ou en Inde ?
Solution : clauses contractuelles spécifiques
clauses types :
RT: Décision de la Commission du 15 juin 2001
ST: Décision de la Commission du 5 février 2010
ou non : Les entreprises peuvent proposer leurs propres clauses
et soumettre à l’Autorité nationale de contrôle
Dérogations : notamment consentement de la personne
concernée et nécessaire à l’exécution d’un contrat
26. Groupe Larcier / Lexing www.earlegal.be
Chaque société de mon groupe
doit-elle conclure une convention vie privée pour
communiquer des données
à une autre société du groupe ?
28. www.earlegal.beGroupe Larcier / Lexing
Règles d’entreprise contraignantes
A l'intérieur d'un groupement d'entreprises ou d'un groupe
d'entreprises engagées dans une activité économique conjointe
Multinationale n'introduit qu'une seule demande auprès d'une
Autorité de contrôle "chef de file", examinée par 28 autorités de manière
concertée
En Belgique : après approbation de la Commission : arrêté royal
Ne couvre pas les flux de
données en dehors de ce groupe
29. www.earlegal.beGroupe Larcier / Lexing
BCR dans le Règlement
Améliorations pour les entreprises ?
disposition spécifique (démontre l'importance accordée aux
multinationales)
pratiques administratives déjà établies (désignation de l'autorité chef de
file, procédure coordonnée, critères,…) sont reprises directement dans
le règlement
travail des Autorités Nationales devrait être plus efficace et plus rapide
Améliorations pour les citoyens ?
renforcement des critères à satisfaire pour obtenir l’approbation des BCR
surveillance régulière du respect des critères
possibilité de remettre en question les décisions prises (mais volonté
politique de le faire concrètement ?)
30. www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
Visent tous deux les TPE et PME :
Code de conduite = équivalent "allégé" des BCR
Projet par les associations regroupant les
responsables de traitement ou les sous-traitants
Soumis à l'Autorité de Contrôle compétente
Émet un avis sur l'adéquation du code avec la
législation et le publie si positif.
Pourra couvrir plusieurs États Membres
// Privacy shield: repose sur auto-régulation
autorisation préalable reste nécessaire pour chaque transfert
31. www.earlegal.beGroupe Larcier / Lexing
Codes de conduite et certifications
Certification
Contrôle par autorité nationale
ou par un organisme de certification
(agréé par l'Autorité de Contrôle - indépendance – expertise)
Rassurant pour le RT et pour le public
MAIS ne réduit pas :
la responsabilité du RT ni du ST
le pouvoir de contrôle et de sanction des autorités
nationales
32. Groupe Larcier / Lexing www.earlegal.be
3.
Quelles sont les nouvelles obligations de ma société
en qualité de responsable du traitement ?
32
33. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Société NEWTIC - Secteur informatique
500 employés
Base de données de 5.000 clients.
Développe un logiciel pour la gestion de ses propres clients
(CRM)
Clients de NEWTIC = vous ?
34. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
35. www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Protection des données par défaut
Inverser la démarche actuelle
36. www.earlegal.beGroupe Larcier / Lexing
Protection des données dès la conception
Se préoccuper de la protection des données dès la conception des
technologies et des pratiques de l’entreprise
Compte tenu des techniques les plus récentes et des coûts
Minimiser et pseudonymiser autant que possible
Protection des données par défaut
Par défaut, seules les données à caractère personnel nécessaires à
chaque finalité spécifique sont traitées
L’utilisateur peut changer les réglages par la suite
Protection des données dès la conception
Protection des données par défaut
37. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
38. www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
Analyse de l’impact du traitement projeté sur la protection des données
Interne – par le RT / app. immédiate
Contenu : description des opérations de traitement
évaluation des risques
mesures envisagées pour limiter les risques
mécanismes pour démontrer la “compliance”
Éventuellement : code de conduite appliqué
avis du délégué à la protection des données
39. www.earlegal.beGroupe Larcier / Lexing
Analyse d’impact
A chaque fois ? NON – requis si :
Si le traitement est susceptible de créer un risque élevé pour les personnes
concernées en particulier par le recours à de nouvelles technologies
(déterminé par le RT à la suite d’une analyse d’impact…)
Profilage sur base duquel sont basées des décisions qui ont
des effets sur la personne concernées
Traitement à grande échelle de données sensibles
origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques,
affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie
sexuelle, condamnations pénales
Surveillance à grande échelle de zones accessibles au public
Cas que détermine l’autorité nationale : risque
40. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• (Consultation préalable de la CPVP)
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de sécurité)
41. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
examiné plus loin
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
42. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche de
sécurité)
43. www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
(Lignes directrices WP 243 du G 29)
Pourquoi ?
associé en temps utile à toutes les questions relatives à la protection des
données à caractère personnel.
informer et conseiller le responsable du traitement
Formation du personnel
Vérifier l’exécution de l’analyse d’impact
Contrôler la conformité avec le Règlement
Personne de contact pour les personnes concernées et pour l’autorité
nationale
Quelle charge de travail ?
44. www.earlegal.beGroupe Larcier / Lexing
Délégué à la protection des données
Quand ? Obligatoire si traitement :
par une autorité publique ou un organisme public, à l’exception des
tribunaux
qui exige un suivi régulier et systématique à grande échelle des personnes
concernées
de données sensibles à grande échelle
MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque
(abandon du critère des 5.000 personnes concernées)
Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué
Expert en droit de la protection des données
Absence de conflit d’intérêt
Protégé contre licenciement en raison avis qu’il émet
secret professionnel ou obligation de confidentialité
45. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations pour le RT
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
• Délégué à la protection des données
• (Notification/communication en cas de brèche
de sécurité examiné infra)
46. Groupe Larcier / Lexing www.earlegal.be
4.
Quelles sont les nouvelles obligations
de ma société en qualité de sous-traitant ?
46
47. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC décide de développer logiciel CRM pour la vente
Configure le logiciel
Assure la maintenance
Devient sous-traitant
48. www.earlegal.beGroupe Larcier / Lexing
Droit applicable aux mesures de sécurité
du sous-traitant ?
Directive : Les mesures de sécurité liant le ST sont celles de son
établissement
Possibilité d’un droit pour le traitement et un autre
pour les mesures de sécurité
Règlement : même législation
49. www.earlegal.beGroupe Larcier / Lexing
Obligations du sous-traitant
dans le nouveau règlement ?
Obligation de conseil v-à-v du client quant au respect
de la vie privée
+ nouvelles obligations propres de NEWTIC en vertu
GDPR
mêmes sanctions que celles applicables au responsable
du traitement
50. www.earlegal.beGroupe Larcier / Lexing
Nouvelles obligations des sous-traitants
mentions obligatoires dans le contrat de sous-traitance
+
privacy by design
documentation adéquate
mesures techniques et organisationnelles appropriées afin de
garantir un niveau de sécurité adapté
effectuer les analyses d’impact
désigner un délégué à la protection des données
satisfaire aux exigences requises en cas de transfert de données
vers des pays tiers
coopérer avec les autorités de contrôle nationales
51. Groupe Larcier / Lexing www.earlegal.be
5.
Quelles sont les évolutions relatives aux droits des
personnes concernées ?
51
52. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
Ados pris en photo par NEWTIC
pour un concours
puis les images sont utilisées dans une publicité
sociale et virale
53. www.earlegal.beGroupe Larcier / Lexing
Consentement
Directive : explicite ou implicite
Règlement : explicite
acte positif, garantissant son caractère libre, spécifique, informé et
univoque.
sous une forme compréhensible et aisément accessible, en des termes clairs et
simples.
Distinguer question du consentement des autres questions.
Plus possible d’opter pour un consentement tacite ou passif
ou au moyen de cases cochées par défaut.
Vérifier les polices vie privée actuelles !
54. www.earlegal.beGroupe Larcier / Lexing
Consentement des enfants
Spécificité pour les services de la société de l’information
En particulier : à des fins de marketing
création de profils de personnalité ou d'utilisateur
collecte de données lors de l'utilisation de services fournis directement à
un enfant
En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut
descendre jusqu’à 13 ans)
le consentement n’est licite que si donné ou autorisé par une personne
exerçant l’autorité parentale.
Obligation pour le responsable du traitement de le vérifier compte tenu des
moyens technologiques dont il dispose.
+ en termes particulièrement clairs
55. www.earlegal.beGroupe Larcier / Lexing
« Droit à l’oubli » numérique
Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand :
données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légal
la personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ;
les données ont fait l’objet d’un traitement illicite ;
Données collectées dans le cadre de l’offre directe de service de la société de l’information à un
enfant de moins de 16 ans
Exceptions :
nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques)
obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique)
nécessaire à des fins de recherche scientifique et historique ou statistique
constatation, exercice ou défense de droits en justice.
+ mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées
identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées
56. www.earlegal.beGroupe Larcier / Lexing
Obligation de transparence et d’information
Obligation de faciliter l’exercice des droits de la personne
concernée
Obligation de répondre dans les meilleurs délais (au plus
tard dans le mois) à toute demande d’information
Ne peut refuser la demande d’une personne, à moins que
l’entreprise démontre ne pas être en mesure d’identifier la
personne.
57. www.earlegal.beGroupe Larcier / Lexing
Portabilité des données
Recevoir ses propres données
dans un format structuré, couramment utilisé et
lisible par une machine
pourra même obtenir, si techniquement possible, que
les données soient directement transmises à un
autre opérateur
(Lignes directrices WP 242 du G 29)
58. Groupe Larcier / Lexing www.earlegal.be
6.
Que faire en cas de brèche de sécurité ?
58
59. www.earlegal.beGroupe Larcier / Lexing
Notre fil conducteur
NEWTIC est victime d’une attaque de pirates
informatiques
et soupçonne que des tiers aient mis la main sur des
données privées de ses clients
Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012),
la Défense (500 collaborateurs en janvier 2013),
Jobat (15.000 personne en janvier 2013),
Belgacom (septembre 2013),
Ashley Madison
………….
60. www.earlegal.beGroupe Larcier / Lexing
Obligations actuelles
en cas de brèche de sécurité ?
A. Pour les entreprises qui fournissent des services
de communication électroniques:
Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:
- Notification à l’IBPT dans les 24 H du constat de la violation
- Avertir le client « sans retard injustifié » si risque d’affectation de ses données
à caractère personnel ou sa vie privée
Rem:
- Personnes concernées = PP et PM
B. Pour les autres entreprises :
Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de
sécurité à entreprendre pour éviter la violation des données
61. www.earlegal.beGroupe Larcier / Lexing
Notification à l’autorité de contrôle
Communication à la personne concernée
Quand ? Si risque élevé
PAS SI le RT :
A pris mesures préalables de protection (technologiques et organisationnelles)
ex : chiffrement
A pris mesures après la brèche pour s’assurer que le risque ne peut plus se
réaliser
Règlement : Quelles obligations
en cas de brèche de sécurité ?
62. www.earlegal.beGroupe Larcier / Lexing
Notification uniquement à l’autorité de contrôle SI:
Effort disproportionné de prévenir toutes les personnes concernées
Communication publique ou mesure similaire
Affecterait substantiellement l’intérêt public
Contenu de la notification:
Nature de la brèche (catégories and nombre de traitements et personnes
concernées)
Données de contact du délégué
Conséquences de la brèche
Mesures prises/envisagées
Règlement : Quelles obligations
en cas de brèche de sécurité ?
63. www.earlegal.beGroupe Larcier / Lexing
Règlement : Quelles obligations
en cas de brèche de sécurité ?
Délai pour la notification :
À l’autorité de contrôle : dans les plus brefs délais (max.
72 h)
À la personne concernée : dans les plus brefs délais
Par le sous-traitant à son client : dans les plus brefs délais
64. www.earlegal.beGroupe Larcier / Lexing
Intérêt de se préparer à la gestion des fuites de
données
Délais très courts (en heures)!
Mieux vaut savoir que faire
Preuve de rigueur et d’une véritable politique « vie
privée » vis-à-vis de la CPVP
limitation des amendes
Preuve de bonne foi, volonté d’une relation de
confiance avec le client, image positive
65. Groupe Larcier / Lexing www.earlegal.be
7.
Quelles relations
avec la Commission Vie privée ?
Avant / Pendant le traitement
65
66. www.earlegal.beGroupe Larcier / Lexing
Avant le traitement :
Nouvelles obligations pour le RT:
• Privacy by design
• Analyse d’impact
• Consultation préalable de la CPVP
• Tenue d’un registre des traitements (interne)
67. www.earlegal.beGroupe Larcier / Lexing
Consultation préalable de la CPVP
Quand ? Si l’analyse d’impact > traitement est susceptible de
créer un “risqué élevé”
(même si le RT prévoit des mesures pour limiter le risque)
Quoi ? AVIS rendu dans 8 semaines
(14 semaines si complexe)
PLUS d’autorisation
PLUS de déclaration
CPVP pourra utiliser ses moyens d’investigation
et émettre des avertissements
68. www.earlegal.beGroupe Larcier / Lexing
Directive :
L’art. 4 peut rendre applicable plusieurs droits et
donc plusieurs autorités nationales de contrôle
Multiples démarches
Multiples législations
Différentes appréciations et délais de
traitement
Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?
69. www.earlegal.beGroupe Larcier / Lexing
Quelle autorité nationale consulter en cas
d’activités dans plusieurs États membres ?
Règlement :
(Lignes directrices WP 244 du G 29)
autorité de contrôle de l’établissement principa
= autorité de contrôle chef de file
grande avancée pour les entreprises :
1 législation (règlement)
1 autorité de contrôle chef de file
70. www.earlegal.beGroupe Larcier / Lexing
Autorité chef de file
autorité de contrôle de l’établissement principal
= autorité de contrôle chef de file
(“One-Stop-Shop”)
Avancée pour les entreprises,
Mais désavantage pour les personnes concernées
(plainte à l’étranger ?)
Compromis: coopération des 2 aut. nat.
parvenir à un consensus
positif pour les entreprises
72. www.earlegal.beGroupe Larcier / Lexing
À tout moment !
Plaintes
En cas de fuite de données
Certains secteurs dans le viseur
Contrôles
73. www.earlegal.beGroupe Larcier / Lexing
Contrôles
Demande de renseignements
Accès aux locaux
Accès à la documentation
Pouvoir prouver la compliance
Nécessité de se préparer !!
74. www.earlegal.beGroupe Larcier / Lexing
Sanctions
Amendes administratives
infligées par l’autorité de contrôle nationale
Maximum 20.000.000 EUR ou 4% du CA annuel mondial du
groupe de l’exercice précédent
Justifie des investissements importants
75. Groupe Larcier / Lexing www.earlegal.be
8.
Quelle est la marche à suivre pour mettre votre
entreprise en conformité avec le règlement ?
75
76. www.earlegal.beGroupe Larcier / Lexing
Ressources nécessaires ?
Prêt pour privacy by design?
Prêt pour démontrer la compliance?
Plan d’action en cas de brèche de sécurité ?
76
77. www.earlegal.beGroupe Larcier / Lexing
État des lieux
Identification :
des traitements actuellement réalisés,
de la durée de conservation des données,
de la façon dont la documentation est conservée,
des preuves de consentement obtenues,
des mesures de sécurités actuellement en vigueur,
des tiers à qui les données ont été transmises
Analyse des incidents qui ont déjà eu lieu et de la façon dont ils
ont été gérés.
78. www.earlegal.beGroupe Larcier / Lexing
Identification des enjeux par le service
juridique
Obligation/opportunité de désigner un Data Protection Officer +
procédure de recrutement
Activités dans différents EM, rattacher certaines activités à un pays ?
Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de
limiter ses obligations
Détermination de l’ampleur du travail à réaliser (nombre d’heures)
Détermination des risques chiffrés (amendes/réputation)
Détermination des priorités et des traitements stratégiques
(données de tiers/des employés ; anciens/nouveaux produits)
Détermination du pourcentage de risque acceptable pour votre entreprise.
79. www.earlegal.beGroupe Larcier / Lexing
Stratégie
Mise au point de la stratégie
au sein du service juridique
Puis défense devant le comité de direction
80. www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Mise en place de procédures types :
Nouveaux traitements:
Analyse d’impact sur la vie privée
Demande d’avis préalable à la Commission Vie Privée
Archivage de la documentation (principe d’accountability)
Gestion des « incidents » :
En cas de retrait de consentement (en interne et transmission de la requête aux tiers
auxquels les données ont été transmises).
« portabilité » des données (transmission des données, éventuellement à un autre
opérateur, dans un format structuré communément utilisé),
en cas de brèche de sécurité (avec conservation des traces documentaires).
81. www.earlegal.beGroupe Larcier / Lexing
Préparation du cadre
Adaptation :
des polices vie privées existantes
(renforcement du consentement/meilleure lisibilité)
des contrats existants.
Limitation des risques dus aux brèches de sécurité :
anonymisation/chiffrement des données si possible,
éviter de devoir notifier une fuite de données
éviter la publicité que cela entraîne
rapidité de réaction, grâce à une procédure
82. www.earlegal.beGroupe Larcier / Lexing
Mise en œuvre progressive
Formation du personnel :
à la nouvelle mentalité privacy by design/privacy by default
au délai de 8 semaines nécessaire pour avis préalable
aux procédures mises en place.
Application de la procédure d’analyse d’impact aux traitements existants.
Amélioration de la tenue du registre des activités de traitement et des automatismes à
adopter.
Effacement des données dont la conservation ne peut plus être justifiée et mise en
œuvre d’un processus automatisé d’effacement des données pour l’avenir.
83. www.earlegal.beGroupe Larcier / Lexing
Perfectionnement
Simulation d’une brèche de sécurité
Simulation d’une « descente » de la Commission Vie Privée.
Communication publique quant aux efforts mis en place par
l’entreprise.
84. www.earlegal.beGroupe Larcier / Lexing
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise ?
COMPLIANCE =
BENEFICES d’un point de vue :
gestion des risques
réputation
économique
techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. (cons. 21) – Cookies, javascript mais aussi Fb
notamment des principes de légitimité,
compatibilité de la communication avec le traitement d’origine,
information des personnes concernées
Déclaration de traitement
Commission européenne et les Etats-Unis seraient sur le point de s’entendre sur les conditions de transfert des données personnelles entre les deux blocs Umbrella Agreement accord cadre sur la protection des données en matière de coopération judiciaire
De bon augure pour un accord relatif aux transferts entre entreprises
Notification. Les personnes concernées doivent être informées du fait que leurs données sont collectées et des finalités du traitement.
Choix. Les personnes concernées doivent avoir la possibilité de refuser (mécanisme d'opt-out) que les données les concernant soient transférées à des tiers ou utilisées pour une autre finalité que celle pour laquelle elles ont donné leur consentement.
Transfert à des tiers. Le transfert de données ne peut se faire que vers un tiers garantissant le même niveau de respect des principes de protection de données personnelles.
Accès. Les personnes concernées doivent pouvoir accéder aux informations les concernant, et les corriger ou les supprimer le cas échéant.
Sécurité. L'entreprise doit prendre les mesures nécessaires pour protéger les données collectées contre la suppression, le mauvais usage, la divulgation ou l'altération.
Intégrité des données. Les données doivent être pertinentes, fiables, précises, complètes et mises à jour eu égard aux finalités poursuivies.
Mise en application. L'entreprise doit mettre tout en œuvre pour que ces règles soient effectivement appliquées et contrôler leur respect.
Dérogations selon la directive :
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé
b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers
ou
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
Dérogations selon projet de Règlement?
En l'absence de reconnaissance d'un niveau de protection adéquat, de garantie appropriée ou de BCR approuvées, un transfert de données sera toutefois possible pour autant que :
la personne concernée a donné son consentement explicite à la proposition de transfert, après avoir été informée que ces transferts peuvent comporter des risques pour elle en raison de l'absence d'une décision d'adéquation et de garanties appropriées;
le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;
le transfert est nécessaire pour la conclusion ou l'exécution d'un contrat conclu dans l'intérêt de la personne concernée, entre le contrôleur et une autre personne physique ou morale;
le transfert est nécessaire pour des raisons importantes d'intérêt public;
le transfert est nécessaire pour la constatation, l'exercice ou la défense d'un droit en justice;
le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est dans l'incapacité physique ou juridique de donner son consentement;
le transfert est effectué à partir d'un registre qui, selon le droit de l'Union ou d'un État membre est destiné à fournir des informations au public et qui est ouvert à la consultation par le public ou par toute personne justifiant d'un intérêt légitime, mais seulement dans la mesure où les conditions prévues par la loi de l'Union ou de l'État membre pour la consultation sont remplies;
le transfert, qui n'est pas à grande échelle ou fréquent, est nécessaire eu égard à l'intérêt légitime poursuivi par le contrôleur, lequel n'outrepasse pas les intérêts ou les droits et libertés de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant l'opération de transfert de données et, sur la base de cette évaluation, présente des garanties adéquates en matière de protection des données.
Que ce soit dans une procédure judiciaire, dans une procédure administrative ou toute procédure à l'amiable, y compris les procédures devant les organismes de réglementation, considérant 86.
Dans ce cas, le transfert ne doit pas porter sur la totalité des données personnelles ou des catégories de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne peut être effectué qu'à la demande de ces personnes ou si elles en sont les destinataires.
Le responsable du traitement ou le sous-traitant qui souhaite invoquer cette exception devra documenter l'ensemble des mesures de sauvegarde appropriées qu'il déploiera.
la structure et les coordonnées du groupe concerné et de chacun de ses membres;
des informations sur les transferts de données ou les catégories de transferts, y compris les types de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées et l'identification du ou des pays tiers en question;
la manifestation de leur caractère juridiquement contraignant, tant interne qu'externe;
des informations quant à l'application concrète des principes généraux de protection des données, en particulier la limitation des finalités, la qualité des données, la base juridique pour le traitement, le traitement de catégories particulières de données à caractère personnel, les mesures pour assurer la sécurité des données, et les exigences en matière de transfert vers des entités qui ne sont pas liées par les règles d'entreprise contraignantes;
un rappel des droits des personnes concernées à l'égard du traitement de leurs données à caractère personnels et les moyens d'exercer ces droits, y compris le droit de ne pas être soumis à un profilage conformément à l'article 20 du règlement, le droit de déposer une plainte devant l'e Autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l'article 75 du règlement, d'obtenir réparation et, le cas échéant, une indemnité pour violation des règles d'entreprise contraignantes;
l'acceptation par le responsable du traitement ou le sous-traitant établi sur le territoire d'un État membre de la responsabilité de toute violation des règles d'entreprise contraignantes par tout membre concerné qui ne serait pas établi dans l'Union;
la façon dont l'information sur les règles d'entreprise contraignantes est fournie aux personnes concernées;
le détail des tâches de tout délégué à la protection des données désigné conformément à l'article 35 ou de toute autre personne ou entité en charge de la surveillance du respect des règles d'entreprise contraignantes au sein du groupe, ainsi que du suivi de la formation des employés et du traitement des plaintes;
le détail des procédures de traitement des plaintes;
le détail des mécanismes déployés au sein du groupe pour assurer la vérification du respect des règles d'entreprise contraignantes, comme des audits, mécanismes qui incluent des méthodes pour s'assurer que des mesures correctives sont effectivement prises le cas échéant. Les résultats de ces audits doivent être communiqués au délégué à la protection des données, au conseil d'administration de la société qui chapeaute le groupe d'entreprises et devraient être rendus disponibles sur demande des Autorités de contrôles compétentes.
lLe détail des mécanismes de signalement et d'enregistrement des modifications aux BCR et de signalement de ces modifications à l'Autorité de contrôle;
lLe détail du mécanisme de coopération avec l'Autorité de contrôle pour assurer le respect des BCR par tous les membres du groupe, en particulier par la mise à disposition de l'Autorité de contrôle des résultats des audits;
lLe détail des mécanismes de signalement à l'Autorité de contrôle compétente des exigences légales auxquelles un membre du groupe est soumis dans un pays tiers et qui sont susceptibles d'avoir une incidence défavorable importante sur les garanties prévues par les BCR;
des informations sur la formation à la protection des données fournies au personnel ayant un accès permanent ou régulier de aux données à caractère personnel.
Le responsable ou le sous-traitant peut s'exonérer de cette responsabilité s'il prouve que le membre concerné n'est pas responsable du fait générateur du dommage.
Régime exceptionnel par rapport au droit du gage.
DPI oisif / non exploité perd de sa valeur ;
Régime exceptionnel par rapport au droit du gage.
DPI oisif / non exploité perd de sa valeur ;
Accountability : assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données à caractère personnel
La notion de privacy by design signifie la prise en compte, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des exigences en matières de protection des données et de mettre en œuvre les mesures techniques et organisationnelles appropriées.
La notion de privacy by default consiste à s’assurer que, par défaut, seules les données nécessaires au regard de chaque finalité déterminée sont traitées.
La mise en œuvre de ces principes requiert que soient prises des mesures consistant notamment à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de superviser le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
Accountability : assurer une véritable traçabilité et transparence vis-à-vis des autorités, ce qui induit la rédaction de tout document et dossier prouvant le respect de la protection des données à caractère personnel
L’analyse d’impact préalable sera désormais un prérequis obligatoire pour le responsable du traitement en cas de traitement de données présentant un risque élevé pour les droits et libertés des personnes physiques en raison de la nature ou de la portée des opérations envisagées, en ce compris pour les traitements déjà en cours lors de l’entrée en vigueur du futur règlement.
Dans l’hypothèse où un délégué à la protection des données a été désigné au sein de l’entreprise, celui-ci apportera son conseil dans le cadre de cette analyse d’impact.
La Commission Vie Privée) doit publier une liste des hypothèses dans lesquelles elle exige une analyse d’impact préalable. Le législateur européen a déjà identifié les cas suivants :
En cas d'évaluation systématique et approfondie d' aspects personnels propres à des personnes physiques, qui est fondée sur un traitement automatisé, notamment le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière tout aussi significative ;
En cas de traitement à grande échelle des données génétiques, données biométriques, données concernant la santé ou la vie et l’orientation sexuelle, ou des données relatives aux condamnations ou aux infractions pénales ;
En cas de surveillance systématique à grande échelle d'une zone accessible au public.
Il convient, par conséquent, de mettre au point un modèle d’analyse d’impact et de l’appliquer aux traitements en cours.
Lorsqu’une telle analyse d’impact est réalisée et révèle un risque élevé pour les droits et libertés des personnes physiques, l’entreprise doit consulter la Commission vie privée et lui fournir toute information utile en vue de l’examen de ce traitement.
La Commission disposera d’un délai de 8 semaines (qui pourrait être prolongé de 6 semaines) pour émettre son avis. Si celui-ci est négatif ou contient des remarques, le traitement projeté devra être revu, puis à nouveau soumis à l’avis de la Commission.
Il faudra donc intégrer ce délai dans le développement des nouveaux produits ou services de votre entreprise.
discrimination,
financial loss,
damage to the reputation, identity theft or fraud
breach of pseudonymity,
loss of confidentiality of data protected by professional secrecy
taking into account the nature, scope, context and purposes of the processing
Examiné lors precedent earlegal
Les missions du délégué à la protection des données seront, entre autres, d’informer et de conseiller l’entreprise (et ses salariés) sur leurs obligations, contrôler la conformité avec le futur règlement, dispenser des conseils en ce qui concerne l’analyse d’impact, coopérer et faire office de point de contact avec l’autorité nationale de contrôle (la Commission Vie Privée).
Les entreprises, agissant en tant que responsable du traitement ou en tant que sous-traitant, dont les activités de base consistent en des opérations qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou consistent en un traitement à grande échelle de données génétiques, données biométriques, données concernant la santé ou la vie et l’orientation sexuelle ou encore de données relatives aux condamnations ou aux infractions pénales devront dorénavant désigner un délégué à la protection des données.
Les autorités publiques ou organismes publics qui effectuent des traitements de données à caractère personnel devront également désigner un délégué à la protection des données.
Le délégué à la protection des données pourra être un membre interne à l’entreprise et combiner cette fonction avec d’autres tâches ou être quelqu’un d’externe. Cette personne devra en toute hypothèse pouvoir exercer sa fonction en toute indépendance et faire rapport directement à aux personnes chargées de la direction quotidienne de l'entreprise.
L’entreprise doit fournir au délégué à la protection des données toutes les ressources nécessaires à l’accomplissement de sa mission ainsi que lui fournir un accès aux données.
Il convient donc d’évaluer la nécessité, voire l’opportunité pour votre entreprise de désigner un délégué à la protection des données, d’entamer le cas échéant la procédure de recrutement, d’inclure dès que possible ce nouvel intervenant dans votre processus de production.
Processus de formation ou de recrutement prend du temps
dans le cas d’un responsable du traitement établi en Belgique qui confie les traitements à un sous-traitant en Italie, les traitements effectués en Italie le sont pour les besoins et sur instruction de l’établissement autrichien, et sont donc effectués « dans le cadre des activités du responsable du traitement en Belgique ». Le droit belge s’applique donc aux traitements effectués par le sous-traitant en Italie .
En outre, le sous-traitant est soumis aux exigences du droit italien concernant les mesures de sécurité qu’il est tenu de mettre en place pour les traitements.
Article 7 : en cas de consentement écrit de la personne concernée, le responsable du traitement doit veiller à ce que la demande de consentement soit présentée sous une forme compréhensible et aisément accessible, en des termes clairs et simples, et sous une forme qui la distingue clairement des éventuelles autres questions.
Sont en particulier concernées
à des fins de marketing
création de profils de personnalité ou d'utilisateur
la collecte de données relatives aux enfants lors de l'utilisation de services fournis directement à un enfant.
pas être nécessaire dans le contexte de services de prévention ou de conseil fournis directement à un enfant.
ne s'appliquent pas dans la mesure où le traitement des données à caractère personnel est nécessaire:
a) à l'exercice du droit à la liberté d'expression et d'information;
b) pour respecter une obligation légale qui requiert le traitement de données à caractère
personnel, prévue par le droit de l'Union ou par la législation d'un État membre à
laquelle le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt
public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du
traitement;
c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à
l'article 9, paragraphe 2, points h) et h ter), ainsi qu'à l'article 9, paragraphe 4;
d) à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique et
historique ou à des fins statistiques, conformément à l'article 83, paragraphe 1, dans la
mesure où le droit visé au paragraphe 1 du présent article est susceptible de rendre
impossible ou de compromettre gravement la réalisation des objectifs du traitement
à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique et
historique ou à des fins statistiques;
e) à la constatation, à l'exercice ou à la défense de droits en justice.
tout particulièrement lorsque, dans des domaines tels que la publicité en ligne, la multiplication des acteurs et la complexité des technologies utilisées empêchent la personne concernée de savoir exactement si des données
à caractère personnel la concernant sont collectées, par qui et à quelle fin.
Le futur règlement introduit le droit pour les personnes concernées de recevoir les données la concernant qu’elle a fournies au responsable du traitement et ce, dans un format structuré, couramment utilisé et lisible par une machine. Les personnes concernées pourront même obtenir, lorsque cela sera techniquement possible, que les données soient directement transmises à un autre opérateur.
Pas besoin de notification à la personne si le resp de traitement prouve qu’il a pris les mesures de protection technologiques qui rendent les données incompréhensibles à toute personne qui n’est pas autorisée à avoir accès.
• Signalement en cas de fuites de données
Les entreprises devront désormais signaler les cas de fuite des données à la Commission Vie Privée dans les plus brefs délais et, si possible, endéans les 72 heures de la prise de connaissance d’une telle fuite (à moins que l’entreprise ne puisse démontrer que l’incident ne comporte que peu de risques pour les droits et libertés des personnes concernées par la fuite de leurs données).
L’entreprise devra également conserver une trace documentaire du contexte, des effets et des mesures prises en cas de fuite des données.
Il convient dès lors de mettre en place une procédure standardisée en cas de brèche de sécurité concernant les données à caractère personnel traitées par votre entité.
Il s’impose aussi de tenter de limiter les conséquences négatives d’une fuite de données. En effet, le cryptage des données permet par exemple que les données soient inutilisables par toutes les personnes qui n’y ont pas accès. Dans cette hypothèse, la brèche de sécurité n’engendre aucun risque pour la personne concernée, et ne devra pas lui être signalée.
Ainsi, lors d’une brèche de sécurité concernant 600.000 données de contact de clients d’une chaîne de magasins franchisés qui n’avait déclaré aucun traitement de données, notre cabinet a négocié, par ses contacts privilégiés avec la Commission Vie Privée, la qualification du franchiseur en tant que sous-traitant des différents franchisés pour le traitement des données. Ceci a permis de considérer que la brèche avait eu lieu chez le sous-traitant, dont les obligations sont plus limitées, tout en permettant aux franchisés de régulariser leur situation vis-à-vis de la Commission Vie Privée.
ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
ETABLISSEMENT PRINCIPAL : établissement dans l'UE où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données; si aucune décision de ce type n’est prise dans l’Union, le lieu où sont exercées les principales activités de traitement dans le cadre des activités d’un établissement d’un RT dans l’UE
(éviter sanctions + avantage concurrentiel)
L’entrée en vigueur du futur règlement européen ne doit pas être seulement vue comme une source de contraintes, mais également comme l’opportunité de tirer parti des données personnelles comme de tout autre actif de votre société, parallèlement à une gestion de ce risque grandissant.
Nous souhaitons vous aider à maximiser la valeur des données en possession de votre entreprise, dans le respect de la législation future.
Il s’agit donc d’un investissement financier et humain, dont les fruits seront récoltés autant dans votre activité économique qu’au niveau de la réputation de votre entreprise.
étape cruciale, comment les choses peuvent être faites et quels sont les risques éventuels, afin de vous aider dans votre prise de décision.