Feedback
ella
Un nouveau règlement sur le respect de la vie privée : la Commission vie privée lance un plan par étapes
Nouvelles en vrac 16/09/2016
Publié le 27/09/2016

Nouvelles règles en matière de vie privée en 2018

 

En mai entrait en vigueur le nouveau règlement européen sur le respect de la vie privée : le règlement général sur la protection des données (RGPD) ou le general data protection regulation (GDPR).  Ce n’est qu’en 2018 que les nouvelles règles en matière de vie privée seront définitivement d’application, mais les entreprises et les organisations qui traitent des données à caractère personnel ont intérêt à d’ores et déjà s’y préparer.

 

Le législateur belge élaborera encore une série de points (e.a. les sanctions). Nous continuerons de suivre la situation.

 

La Commission vie privée a élaboré sur son site web un dossier thématique ainsi qu’un plan par étapes pratique pour permettre aux entreprises de se préparer aux nouvelles règles. Ces règles ne sont pas totalement neuves, car nombre de principes et de concepts sont identiques à ceux de l'actuelle loi belge sur la vie privée de 1992.

 

Mise en œuvre du nouveau règlement en 13 étapes

 

L’obligation de documentation du responsable du traitement deviendra plus importante, les mesures prises doivent être bien documentées. Le plan par étapes aide les entreprises et les organisations à évaluer leur politique actuelle en matière de protection des données et à l’adapter aux nouvelles exigences du RGPD.

 

Les treize étapes concernent :

 

  1. la prise de conscience,

  2. le registre des données,

  3. la communication,

  4. les droits de l’intéressé,

  5. la demande d’accès,

  6. la base légale pour le traitement de données à caractère personnel,

  7. le consentement,

  8. les enfants,

  9. les fuites de données,

  10. la protection des données dès la conception et l’évaluation de l’impact sur la protection des données,

  11. le délégué à la protection des données,

  12. l’international,

  13. les contrats existants

 

Avec ce plan par étapes, l’employeur peut d’ores et déjà se mettre au travail !

 

FAQ

 

Prochainement, la Commission vie privée complétera le dossier thématique relatif au nouveau règlement avec les réponses aux questions les plus posées.

Qu'est-ce que cela signifie pour le secteur public?

Ce règlement et sa concrétisation dans un plan par étapes importent tant pour le secteur public que pour le secteur privé.

Source:
www.privacycommission.be

Sommaire

1. Nouvelles règles en matière de vie privée en 2018

Le 24 mai 2016, le nouveau règlement européen sur la vie privée est entré en vigueur : la dénomination officielle est « le règlement général sur la protection des données » (RGPD) ou le « general data protection regulation » (GDPR).  Ce n’est qu’à partir du 25 mai 2018 que les nouvelles règles en matière de vie privée seront définitivement d’application, mais les entreprises et les organisations qui traitent des données à caractère personnel ont intérêt à d’ores et déjà s’y préparer. Pour le commentaire du nouveau règlement : voir AJ4422.

 

Les États membres peuvent encore élaborer un grand nombre de points. Ainsi, le législateur belge affinera certainement les sanctions. Pour le reste, on ignore sur quoi la Belgique se concentrera ou ce à quoi elle donnera sa propre interprétation.

 

Le règlement européen requiert que les États membres instaurent une autorité indépendante pour la protection des données et que cette autorité ait le pouvoir d'infliger des amendes administratives qui peuvent se monter à 4% du chiffre d'affaires annuel mondial d'une entreprise. La Commission vie privée assumera ce rôle et doit par conséquent être réformée en régulateur indépendant.

 

La Commission vie privée donne déjà des informations sur son site web à propos de la nouvelle réglementation. Elle a élaboré un dossier thématique ainsi qu’un plan par étapes pratique pour les entreprises afin de se préparer aux nouvelles règles. Ces règles ne sont pas totalement neuves, car nombre de principes et de concepts sont identiques à ceux de l'actuelle loi belge sur la vie privée du 8 décembre 1992.

2. Mise en œuvre du nouveau règlement en 13 étapes

L’obligation de documentation du responsable du traitement deviendra plus importante, les mesures prises doivent être bien documentées. Le plan par étapes aide les entreprises et les organisations à évaluer leur politique actuelle en matière de protection des données et à l’adapter aux nouvelles exigences du RGPD.

 

L’employeur peut mettre en œuvre le nouveau règlement en treize étapes.

2.1. Prise de conscience

La première étape du processus consiste sans aucun doute à informer des nouvelles règles les figures clés dans l’entreprise. Elles doivent en estimer les conséquences et déterminer les domaines qui peuvent actuellement poser problème.

 

Si l’entreprise tient un registre des risques, celui-ci peut constituer un point de départ utile.

 

La mise en œuvre du RGPD peut avoir une influence considérable sur les moyens disponibles, certainement pour ce qui concerne les entreprises ou structures d’organisation grandes et plus complexes.

2.2. Registre des données

La deuxième étape consiste à identifier précisément une série de données :

  • quelles données à caractère personnel vous tenez à jour, 
  • d’où elles viennent,
  • avec qui vous les avez partagées.

 

En outre, il est indiqué d’enregistrer tous vos traitements.

 

L’obligation de documentation prend de l’importance, une entreprise ou organisation doit en effet prouver qu'elle agit conformément aux principes de protection des données.

2.3. Communication

Si une entreprise ou organisation traite d'ores et déjà des données à caractère personnel, elle est tenue de fournir certaines informations à l’intéressé, comme l’identité du sous-traitant et la façon dont celle-ci utilisera les

données. Généralement, ces informations figurent dans une déclaration de vie privée.

 

Le RGPD requiert que vous complétiez cette déclaration de vie privée avec de nouvelles informations. Ainsi, vous devrez désormais aussi communiquer les éléments suivants :

  • la base légale pour le traitement des données, 
  • les délais durant lesquels vous tiendrez les informations à jour, 
  • si vous échangez les données en dehors de l’Union européenne et 
  • la possibilité pour l’intéressé de déposer une plainte auprès de la Commission vie privée si celui-ci estime que ses données à caractère personnel ne sont pas correctement traitées.

 

Le RGPD requiert que ces informations soient mentionnées dans un langage succinct, compréhensible et clair.

2.4. Droits de l’intéressé

Les citoyens bénéficient de toute une série de nouveaux droits concernant leurs données à caractère personnel. Ils obtiennent davantage de contrôle sur l’utilisation de leurs données personnelles. Ainsi, ils bénéficient du droit :

  • à la consultation,

  • à la correction,

  • à l’oubli,

  • à la limitation du traitement,

  • à la portabilité des données,

  • à la réclamation contre la prise de décision automatisée et le profilage.

 

L’employeur doit vérifier si les procédures actuelles prévoient tous les droits auxquels l’intéressé peut prétendre, en ce compris la façon dont les données à caractère personnel peuvent être supprimées ou la façon dont ces données seront communiquées par voie électronique.

2.5. Demande d’accès

Le RGPD prévoit de nouvelles règles en ce qui concerne le mode de gestion des demandes d’accès. Dans la plupart des cas, il faudra donner suite gratuitement et dans les 30 jours (c.-à-d. le délai actuel de 45 jours) à la demande d’accès.

 

Les demandes manifestement non fondées ou excessives peuvent être imputées ou refusées.

 

À terme, il peut être économique de développer un système qui permette à l’intéressé de consulter lui-même les données en ligne. Les entreprises et les organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne.

2.6. Base légale du traitement de données à caractère personnel

Selon le nouveau règlement sur le respect de la vie privée, les droits de l’intéressé peuvent varier en fonction de la

base légale du traitement des données. C’est pourquoi il sera désormais important de déterminer la base légale des différents types de traitements de données.

 

Exemple : l’intéressé dispose d’un droit plus fort pour demander la suppression de ses données si son consentement est à la base du traitement.

 

Les bases légales dans le RGPD sont quasi identiques à celles contenues dans la loi actuelle sur la vie privée, à savoir :

  1. l’intéressé a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;  
  2. le traitement est nécessaire à l’exécution d’un contrat auquel l'intéressé est partie, ou à la prise de mesures à la demande de l'intéressé avant la conclusion d'un contrat ;  
  3. le traitement est nécessaire pour satisfaire à une obligation légale qui incombe au responsable du traitement ;  
  4. le traitement est nécessaire pour protéger les intérêts vitaux de l’intéressé ou d’une autre personne physique ;  
  5. le traitement est nécessaire pour accomplir une tâche d’intérêt général ou une tâche dans le cadre de l’exercice de l’autorité publique qui est confiée au responsable du traitement ;  
  6. le traitement est nécessaire pour la défense des intérêts justifiés du responsable du traitement ou d’un tiers.

 

 

2.7. Consentement

Le traitement est notamment licite lorsque la personne concernée a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

 

Lorsque le traitement repose sur un consentement, le responsable du traitement doit pouvoir démontrer que la personne concernée a donné son consentement au traitement des données à caractère personnel. La demande de consentement doit être rédigée dans une forme compréhensible et facilement accessible ainsi que dans un langage clair et simple

 

Le consentement doit être donné par un acte positif clair. Il doit attester que la personne concernée accepte le traitement de ses données à caractère personnel de manière libre, spécifique, éclairée et univoque. Par exemple en cliquant sur une case sur un site Internet. Le silence, l’utilisation de cases cochées par défaut ou l’inactivité ne peut faire office de consentement.

 

Le responsable du traitement doit pouvoir démontrer que le consentement a été donné. Évaluez

donc les systèmes actuels qui enregistrent le consentement, afin de garantir un audit trail (trace de contrôle).

2.8. Enfants

Si une entreprise collecte des données d’enfants âgés de moins de 16 ans, un parent ou tuteur devra donner son consentement pour que le traitement des données soit licite. Cela peut entraîner des conséquences considérables si une entreprise est axée sur l’offre de services à des enfants et collecte leurs données à caractère personnel.

 

Le consentement doit être contrôlable et, le cas échéant, la déclaration de vie privée doit être rédigée dans un langage compréhensible pour les enfants.

2.9. Fuites de données

Les entreprises doivent prévoir des procédures adéquates pour détecter, rapporter et examiner les fuites de données à caractère personnel.

 

Pour ce faire, elles doivent évaluer et documenter les différents types de données à caractère personnel qu’elles tiennent à jour

lesquelles relèvent de l’obligation de déclaration, au cas où une fuite de données se produit.

 

Toutes les fuites de données ne devront pas être signalées à la Commission vie privée – mais uniquement celles à cause desquelles il est probable que l’intéressé subisse une quelconque forme de dommage, p. ex. en conséquence d'un vol d’identité ou de la violation d’une obligation de confidentialité.

 

Le non-respect de l’obligation de déclaration peut donner lieu à une amende, en sus de l’amende pour la fuite des données.

2.10. Protection des données dès la conception et évaluation de l’impact sur la protection des données

La protection des données dès la conception ou 'Privacy by design' signifie que lors de la conception de nouveaux traitements, l’entreprise doit intégrer la protection des données à caractère personnel dès le début du processus.

 

Le responsable du traitement doit tenir compte à un stade précoce, dès la conception, des obligations de protection des données. Il doit prendre des mesures techniques et organisationnelles appropriées pour exécuter les principes de protection des données de manière efficace et intégrer les garanties nécessaires dans le traitement.

 

Le responsable du traitement doit, avant le traitement, procéder à une évaluation  de l’effet des activités de traitement visées sur la protection des données à caractère personnel lorsque le traitement implique un risque élevé. Un risque élevé peut provenir de la nature, de la portée, du contexte ou des finalités du traitement.

 

Le RGPD énumère une série de cas dans lesquels de tels risques spécifiques sont présents. C’est notamment le cas pour le traitement à grande échelle de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales ou à des infractions.

Le règlement détermine aussi comment l’analyse de l’impact sur la protection des données doit s’effectuer.

Si un DPO a été désigné dans l’entreprise, le responsable du traitement doit demander conseil au DPO concernant l’exécution de cette analyse.

 

L’employeur doit vérifier comment il peut mettre en œuvre ces concepts dans le fonctionnement de l'entreprise. Ceux-ci peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion de projets.  Les entreprises doivent d’ores et déjà évaluer ces situations dans lesquelles il sera nécessaire d’exécuter de telles analyses. Qui le fera ? Qui doit être impliqué ? L’analyse a-t-elle lieu au niveau central ou local ?

 

2.11. Délégué à la protection des données (DPO)

Certaines entreprises devront désigner un délégué à la protection des données ou Data Protection Officer (DPO).

 

Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans les cas suivants :

  • le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données (par exemple de données à caractère personnel qui révèlent l’origine raciale, les opinions politiques ou les convictions religieuses) ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.

 

Les autres entreprises peuvent désigner un DPO mais n’y sont pas obligées.

 

Ce délégué à la protection des données doit veiller à la conformité au RGPD de la politique de vie privée et conseiller le responsable du traitement ou le sous-traitant. Par ailleurs, il doit également intervenir comme personne de contact pour l’autorité de contrôle.

 

Un groupe peut désigner un seul DPO s’il est aisé à contacter à partir de chaque établissement.

 

Un DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, mais il peut également exercer ses missions sur la base d’un contrat de service.

 

Le responsable du traitement ou le sous-traitant doit publier les coordonnées du DPO et les communiquer à la Commission vie privée.

2.12. International

Les entreprises actives au plan international doivent déterminer de quelle autorité de contrôle elles relèvent.

 

Le RGPD prévoit un règlement pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen

d’une plainte à caractère international, p. ex. lorsqu'un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de fil est déterminée selon l'endroit où l'entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données.

 

2.13. Contrats existants

Les contrats existants avec des sous-traitants devront être évalués à la lumière des nouvelles règles. Si nécessaire, ils devront être adaptés.

 

En cas d’externalisation, il est également important d'évaluer si les mesures de sécurité qui étaient

prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du

RGPD.

3. FAQ

La Commission vie privée souhaite diffuser des informations claires et ciblées sur cette nouvelle réglementation, c'est pourquoi elle donne aux entreprises et aux organisations la possibilité de leur poser directement des questions via un formulaire en ligne. Les questions les plus fréquentes sont reprises dans les FAQ du dossier thématique sur le site web.

 

 

Oeps,

Désolé, il s'est produit une erreur.

Veuillez réessayer plus tard.

Cette information est-elle utile pour vous ?

Oui Non

Quelle affirmation décrit le mieux votre feedback ?






Votre feedback

La version du navigateur que vous utilisez n'est pas optimale pour ce site web. La plupart des fonctions ne seront pas correctement prises en charge. La version que vous utilisez, n’est plus soutenue par Microsoft. Vous n’êtes donc plus protégé. Afin de pouvoir garantir la sécurité et la confidentialité de vos données, nous vous conseillons de passer le plus rapidement possible à Internet Explorer 11 ou d’utiliser la dernière version d’un autre navigateur.