Jean-François Henrotte et Maxime Fabry répondent, après une brève introduction, aux questions suivantes:
La notification d'une brèche de sécurité est-elle négative pour l'entreprise ?
Seules les grandes entreprises devront-elles faire face à de nouvelles obligations particulières ?
Une société implantée dans plusieurs EM pourra-t-elle tirer avantage des futures règles ?
Pourquoi anticiper ces futures règles ?
Lexing - Belgique (http://lexing.philippelaw.eu) / Groupe Larcier (http://www.larciergroup.com)
Liège - 28/02/14
3. www.philippelaw.eu - http://ip-it.philippelaw.eu
Préambule
« Vous avez dit règlement? »
Texte législatif très conséquent (plus de 90 articles)
Nous sommes au stade du projet
« Procédure ordinaire »: La commission parlementaire a
effectué des amendements, le conseil n’a pas trouvé
de consensus…
Royaume-Uni, Danemark, Hongrie et Slovénie
veulent une directive. Allemagne n’en veut pas dans
le secteur public..
On espère l’adoption du Règlement au plus tard
en 2015..
Applicable deux ans après son entrée en
vigueur.
6. www.philippelaw.eu - http://ip-it.philippelaw.eu
Monsieur DUPONT est le directeur exécutif
de la SA MAYO:
– Société de droit belge spécialisée dans la
fabrication de bikinis, en très petites quantités;
– Personnel: 20 personnes (employés et
ouvriers);
– Réseau: 7.000 personnes (clientes, prospects,
fournisseurs, partenaires ...)
7. www.philippelaw.eu - http://ip-it.philippelaw.eu
4 questions
• La notification d’une brèche de sécurité
est-elle négative pour l’entreprise ?
• Les grandes entreprises devront-elles faire
face à de nouvelles obligations
particulières ?
• Une société implantée dans plusieurs EM
pourrait-elle tirer avantage des futures
règles ?
• Pourquoi anticiper les futures règles ?
8. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
La société MAYO est victime d’une
attaque de pirates informatiques et
soupçonne que des tiers aient mis la main
sur des données privées de ses clients et
prospects
Avant elle: SNCB Europe (1.500.000 personnes en décembre
2012), la Défense (500 collaborateurs en janvier 2013), Jobat
(15.000 personne en janvier 2013), Belgacom (septembre 2013),
scandale PRISM..
9. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
Quels sont ses droits?
Infraction pénale:
- Piratage (art 550bis Code pénal)
Il suffit d’un accès, d’une prise de connaissance!
Toutefois: difficulté de traçage.
Rem: La société aurait pu mettre des adresses
« pièges » pour assurer la traçabilité
10. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
Quelles sont ses obligations?
A. Pour les entreprises qui fournissent des services de
communication électroniques:
- Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24
juin 2013:
- Notification à l’IBPT dans les 24 H du constat de la violation
- Avertir le client « sans retard injustifié » si risque d’affectation de
ses données à caractère personnel ou sa vie privée
Rem:
- Personnes concernées = PP et PM
- Obligation limitée à un secteur particulier (dont MAYO ne
relève pas)
11. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
B. Pour les autres entreprises (MAYO) :
Actuellement: simple recommandation de
CPVP en janvier 2013 sur les mesures de
sécurité à entreprendre pour éviter la violation
des données
− Les violations des données devraient lui être
notifiées dans les 48 heures et l’information
au public devrait être entreprise dans les 24 à
48 heures suivant cette notification
12. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
C. Le futur règlement:
- La société devra notifier la violation à la CPVP « sans
retard injustifié » (art. 31);
- Suite à cette notification, la société doit
communiquer la violation à la personne concernée
« sans retard indu ».
- « Lorsque la violation de données à caractère
personnel est susceptible de porter atteinte à la
protection des données à caractère personnel, à
la vie privée, aux droits ou aux intérêts légitimes de
la personne concernée » (art. 32)
13. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
• /! Le futur règlement protège les PP uniquement
>< La LCE s’applique à tout abonné (PM incluses)
• Si violations des données par une entreprise qui
fournit des services de communications
électroniques accessibles au public: notification
à l’IBPT
Dans les autres cas: notification à la CPVP
14. www.philippelaw.eu - http://ip-it.philippelaw.eu
La notification d’une brèche de sécurité
est-elle négative pour l’entreprise?
Intérêt de se préparer adéquatement à la gestion des
incidents:
- Délais très courts (en heures)! Mieux vaut savoir que
faire pour gérer sereinement;
- Preuve de rigueur et d’une véritable politique « vie
privée » vis-à-vis de la CPVP:
- Preuve de bonne foi, volonté d’une relation de
confiance avec le client, image positive.
15. www.philippelaw.eu - http://ip-it.philippelaw.eu
4 questions
• La notification d’une brèche de sécurité
est-elle positive pour l’entreprise ?
• Les grandes entreprises devront-elles
faire face à de nouvelles obligations
particulières ?
• Quels avantages pourra tirer des futures
règles une société implantée dans
plusieurs EM ?
• Pourquoi anticiper les futures règles ?
16. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
La SA MAYO:
– Personnel: 20 personnes (employés et
ouvriers)
– Réseau: 7.000 personnes (clientes, prospects,
fournisseurs, partenaires ...), rien
d’exceptionnel
– > Une PME traitant les données de 7.020
personnes ?
17. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
Règlement: obligations particulières
lorsque:
traitement par une PM des données de
plus de 5000 personnes sur une période
de 12 mois consécutifs (même si dans
proposition originale: « 250 employés »,
on y est donc très vite! ;
18. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
La société MAYO devra notamment:
- Désigner un délégué à la protection des
données(art. 35 du règlement);
Actuellement, sauf lois et règlements
particuliers, pas de désignation d’un délégué à
la protection des données en Belgique
19. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
La société MAYO devra également:
- Faire une analyse d’impact (art. 33, analyse
sur la gestion de tout le cycle de vie des
données) et examen de la conformité de la
protection des données tous les 2 ans(art.
33bis)
20. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
Le délégué à la protection des données, un délégué
de plus?
- doit être associé à toutes les questions relatives à la
protection des données à caractère personnel;
- Est associé à la procédure d’analyse d’impact
- « L’analyse porte sur la gestion de la totalité du
cycle de vie des données à caractère
personnel, de la collecte à la suppression, en
passant par le traitement »: Véritable audit!
- peut être salarié (4 ans) ou indépendant (2 ans)
21. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
La SA MAYO:
– Réseau: 4.000 personnes (clientes,
prospects, fournisseurs, partenaires ...)
– > Traitement de données de 4.020
personnes ?
22. www.philippelaw.eu - http://ip-it.philippelaw.eu
Les grandes entreprises devront-elles faire
face à des obligations particulières?
Règlement: obligations particulières
lorsque:
- activité de base = traiter des données
sensibles, des données de localisation
ou des données relatives à des
employés, … dans des fichiers
informatisés de grande ampleur
23. www.philippelaw.eu - http://ip-it.philippelaw.eu
4 questions
• La notification d’une brèche de sécurité
est-elle positive pour l’entreprise ?
• Les grandes entreprises devront-elles faire
face à de nouvelles obligations
particulières ?
• Quels avantages pourra tirer des futures
règles une société implantée dans
plusieurs EM ?
• Pourquoi anticiper les futures règles ?
24. www.philippelaw.eu - http://ip-it.philippelaw.eu
Quels avantages pourra tirer des futures règles
une société implantée dans plusieurs EM ?
Forte de son succès, la société MAYO
décide d’ouvrir une filiale au
Luxembourg, bien connu pour être une
des capitales de la mode et en tout cas,
ses plages ensoleillées …
25. www.philippelaw.eu - http://ip-it.philippelaw.eu
A. Unification des règles
• Dans le régime actuel: 28 Etats qui on intégré la
directive dans leur régime interne
– Nécessité pour la société MAYO de prendre en
compte les règles applicables dans chacun des
Etats où elle traite des données
• Avec le Règlement: un seul corps de règles pour l’UE
Quels avantages pourra tirer des futures règles
une société implantée dans plusieurs EM ?
26. www.philippelaw.eu - http://ip-it.philippelaw.eu
Quels avantages pourra tirer des futures règles
une société implantée dans plusieurs EM ?
B. Une autorité chef de file responsable de la protection des données
• art. 28 directive 95/46 : Prévoit juste une collaboration entre les
autorités nationales
- Actuellement la société doit s’adresser aux autorités
compétentes des 2 pays pour faire les notification/demander les
autorisations nécessaires
• art. 54 bis règlement: autorité chef de file = autorité de contrôle de
l’état membre ou se situe l’établissement principal (responsable pour
tous les états membre, système de consensus avec les autres
autorités nationales)
- Si la société MAYO conserve son établissement principal en
Belgique, elle pourra ne s’adresser qu’à la CPVP
27. www.philippelaw.eu - http://ip-it.philippelaw.eu
Le règlement européen apporte-t-il des
avancées positives pour les entreprises?
Le futur règlement va faciliter le
commerce dans plusieurs EM !
/! on y est vite, il suffit d’un bureau à
l’étranger, ce n’est pas fait que pour
des sociétés comme Facebook !
28. www.philippelaw.eu - http://ip-it.philippelaw.eu
4 questions
• La notification d’une brèche de sécurité
est-elle positive pour l’entreprise ?
• Les grandes entreprises devront-elles faire
face à de nouvelles obligations
particulières ?
• Quels avantages pourra tirer des futures
règles une société implantée dans
plusieurs EM ?
• Pourquoi anticiper les futures règles ?
29. www.philippelaw.eu - http://ip-it.philippelaw.eu
Pourquoi anticiper ses futures règles?
Application du règlement inévitable:
• il s’applique aussi si responsable de traitement ou
sous-traitant établis hors de l’UE lorsque les activités
de traitement sont liées :
– à l’offre de bien ou services aux personnes
concernées dans l’Union, sans qu’un paiement
soit exigé ;
– à l’observation des personnes concernées (Art.
3).
30. www.philippelaw.eu - http://ip-it.philippelaw.eu
Pourquoi anticiper les futures règles?
• Règlement avec grosses sanctions à la clé: (art. 79)
• Anticipant le règlement, la Commission vie privée a déjà
annoncé son intention de mettre en place un service
d’inspection pour contrôler activement les organisation
et compagnies (se concentrant sur les hôpitaux et les
compagnies d’assurances)
• Nécessité pour les marchés publics (art. 23, §1bis : la
protection des données dès la conception est une
condition préalable aux offres de marchés publics)