Home > Info business

GDPR épisode #3 : Les premières démarches à entreprendre

il y a 9 jours
GDPR épisode #3 : Les premières démarches à entreprendre

 

Le Règlement général relatif à la protection des données à caractère personnel ("RGDP" ou "GDPR " en anglais est entré en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018.

Ce règlement européen concerne tous les pays membres de l'Union européenne.

Toutes les entreprises qui ont leur siège social en France et en Belgique sont par conséquent concernées.

A partir du mois de mai 2018, toute entreprise (quelle que soit sa taille) ayant son siège social en Europe devra être en mesure de prouver, à tout moment, que les données à caractère personnel qu'elle détient (noms, prénoms, numéro de téléphone, IBAN, adresses postales...) sont protégées et inutilisables en cas de vol.

L'objectif de cette nouvelle règlementation est d'harmoniser la loi dans l'ensemble des pays membres de l'Union qui ont actuellement des régimes différents en matière de traitement et sécurisation des données.

Il s'agit par ailleurs de renforcer et d'unifier la protection des données pour les individus au sein de l'Union européenne.

L'innovation majeure de ce règlement tient aux sanctions financières (4% du chiffre d'affaires) susceptibles d'être infligées aux entreprises en cas de non respect/manquement à cette nouvelle règlementation.

 

 

Ce mois-ci, M° Laurent Van Reepinghen nous propose de voir quelles sont les démarches et les  mesures que les entreprises peuvent d'ores et déjà entreprendre afin de se conformer à leurs nouvelles obligations. 

 

Tout d'abord, nous attirons votre attention sur le caractère limité des cas dans lesquels votre société/entreprise est autorisée à "traiter" des données à caractère personnel.

En effet, le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :

 

  • lorsque la personne concernée a indubitablement donné son consentement ;
  • lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
  • lorsqu'il est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi, d'un décret ou d'une ordonnance ;
  • lorsqu'il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée ;
  • lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
  • lorsqu'il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées.

 

En cas de traitement de données qui ne rentre pas dans les hypothèses précitées, le responsable du traitement engage sa responsabilité.

En outre, il importe que le responsable du traitement mette en oeuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures.

Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

 

Ainsi, le responsable du traitement doit-il veiller à ce que les données à caractère personnel soient :

  1° traitées loyalement et licitement;

  2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;

  3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;

  4° exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitéesultérieurement, soient effacées ou rectifiées;

 5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

 

Afin de procéder de manière systématique,  nous vous invitons à procéder en deux phases :

 

 1.  Une première phase d'audit ayant pour objet de recueillir toutes les informations qui permettent de cartographier le traitement des données à caractère  personnel. au sein de votre entreprise.

Cette cartographie – qui recense précisément les traitements de données personnelles mis en œuvre par votre société,  permet de mieux appréhender l’impact du GDPR sur ses activités et, ainsi, de mettre en évidence les actions et procédures à mener.

Pour ce faire, la tenue d’un registre et d’une documentation complète et à jour vous permettra de faire le point régulièrement et facilement sur conformité.

 

Dans ce contexte, il s'agit de recenser les informations suivantes :

 

-       Les différentes opérations de traitement de données personnelles ; 

-       Les catégories de données personnelles collectées et traitées ;

-       Les objectifs poursuivis pour chaque activité de traitement ( c'est-à-dire les "finalités" de traitement) ;

-       Les intervenants (internes et externes) ;

-       Les flux des données, indiquant notamment l’origine et la destination des données (y compris les éventuels transferts à des tiers, intra ou hors UE). 

 

Concrètement, pour chaque « processus opérationnel de traitement », il convient d'identifier les informations suivantes :

-   Description fonctionnelle du traitement (c.-à-d. identification des finalités) ;

- Fondement légal du traitement (par ex. exécution d’un contrat, intérêt légitime, obligation légale, consentement, etc.) ;

-   Qualité de l'auteur du traitement (responsable de traitement, co-responsable, sous-traitant, etc.) ;

-  Catégories de données (c.-à-d. détails sur les données traitées, par ex. données d’identification, données financières, données de facturation, données de géolocalisation, données physiques, habitudes de vie, composition de ménage, loisirs et intérêts, affiliations, données judiciaires, habitudes de consommation, caractéristiques du logement, études et formation, profession et emploi, etc.) ;

-   Catégories de personnes concernées (par ex. visiteurs du site web, clients existants) ;

-   Délai(s) de conservation (pour chaque type de données) ;

-  Méthode(s) de collecte des données (par ex. auprès de la personne concernée, par l’intermédiaire d’un logiciel, de cookies, d’un tiers, etc.) ; 

-  Catégorie(s) de destinataires de données (en interne et externe), précisant les catégories de données, les documents et les garanties appropriées ;

-   Les sous-traitants externes à NOOZ avec le cas échéant l’identification du contrat de sous-traitance ;

-   Transferts éventuels hors de l’Union européenne (fondement, garanties, contrats, etc.) ;

-   Description de la technologie utilisée ;

-   Description des risques et des mesures de sécurité (documentation éventuelle à l’appui).

Ce premier fastidieux travail de récolte d'infos terminé vous permettra de mieux identifier les actions à entreprendre afin de mettre les traitements en conformité avec la nouvelle réglementation.

 

 

2. Dans le cadre d'une seconde phase, il s'agira de : 

 

- veiller à ce que seules les données strictement nécessaires à la poursuite de vos objectifs soient collectées et traitées ;

- identifier la base juridique sur laquelle se fonde le traitement (par exemple: le consentement de la personne, l'intérêt légitime, l'exécution d'obligations contractuelles ou légales, etc..) ;

- réviser/corriger les mentions d'information ;

- rédiger les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement)

- vérifier les mesures de sécurité qui sont mises en place en interne.

 

Enfin, et c'est le maître mot du nouveau règlement, il s'agira de documenter les démarches effectuées en interne afin d'assurer la mise en conformité au nouveau règlement.  Cette documentation porte sur trois axes:

 

- la documentation relative au traitement des données qui reprend le registre de traitement, l'encadrement des transferts des données hors de l'Union européenne ;

- l'information des personnes ;

- la documentation des contrats qui définissent les rôles et responsabilités des différents acteurs.

 

Pour plus d'informations à ce sujet technique et délicat:

 

Laurent Van Reepinghen

Avocat au Barreau de Bruxelles

lv@lex4u.com

m 0477 48 15 41