U bent hier  ›Home› Publicaties

General Data Protection Regulation (GDPR)

Voici un résumé du nouveau réglement sur la protection des données applicables à partir du 25 mai 2018 et ses conséquences pour les entreprises au Luxembourg.

Dans un monde interconnecté où les données personnelles circulent de plus en plus vite et en nombre sans cesse croissant, la protection des données et de la vie privée des personnes concernées par elles prend toute son importance.  Il s’agit là d’un nouveau paramètre incontournable pour toute entreprise qui gère un ou plusieurs fichiers de données.  Un nouveau règlement européen vient renforcer les obligations des entreprises. Cette note permettra de mieux comprendre les enjeux de la protection  des données, prendre rapidement les mesures adéquates à mettre en œuvre et avoir les bons réflexes.

EST-CE QUE JE TRAITE DES DONNEES PERSONNELLES ?

  • Données personnelles : toute information qui se rapporte à une personne physique identifiée ou identifiable (nom, numéro national, identifiant en ligne...) appelée personne concernée
  • Traiter : collecter, enregistrer, organiser, modifier, utiliser, effacer ces données
  • Si je traite des données personnelles, je dois être en conformité avec la législation ‘Vie privée’
  • Je suis responsable du traitement : je définis moi-même les finalités et la raison d’être du traitement ainsi que les moyens
  • Je suis sous-traitant : j’agis pour le compte du responsable du traitement des données

Actions :

Afin d’être en conformité avec mes obligations légales, je veille à ce que les données personnelles soient :

  • traitées de manière légale, transparente et que leur utilisation soit facile à comprendre pour la personne concernée
  • pertinentes et limitées à l’objectif poursuivi   
  • collectées dans un but déterminé, explicite et légal   
  • exactes et tenues à jour
  • conservées uniquement durant le délai nécessaire au traitement poursuivi 
  • traitées en prenant des mesures de sécurité informatique adéquates

Je dois pouvoir démontrer la conformité de mes activités de traitement avec le règlement. Pour cela :

  • Je crée un registre de données pour toutes les activités impliquant le traitement de données personnelles (inventaire ) 
  • Je m’assure de ne traiter que le minimum de données personnelles nécessaires  pour atteindre les objectifs de traitement légaux 
  • Je rédige une privacy notice, document d’information à communiquer aux personnes  concernées qui décrit comment mon entreprise collecte, utilise, conserve,… leurs données personnelles 
  • J’élabore une politique interne (internal policy) d’information et de formation des employés 
  • Je désigne un employé responsable de la protection des données 
  • Le cas échéant, j’effectue l’analyse d’impact relative à la protection des données.  Cette analyse me permet d’identifier les risques liés au traitement des données et la manière  de les atténuer et assurer la protection de ces données 
  • Je mets en place des procédures efficaces pour assurer le respect de la législation ‘vie privée’

QUELS SONT LES CAS DANS LESQUELS JE PEUX TRAITER DES DONNÉES PERSONNELLES ?

  • Données  personnelles externes : Fournisseurs Clients Prospects …
  • Données  personnelles internes : Employés

Soit le traitement est effectué avec le consentement de la personne concernée.
 
Soit le traitement est nécessaire :

  • à l’exécution d’un contrat ( ex. traitement de l’adresse de la personne concernée afin que les marchandises achetées en ligne puissent être livrées ;  traitement des données de la carte de crédit afin d’effectuer le paiement )
  • à l’exécution d’obligations légales (ex. les employeurs doivent déclarer  les données salariales de leurs employés à la sécurité sociale ;  les autorités fiscales, les institutions financières sont tenues de déclarer  certaines opérations suspectes…)
  • pour protéger des intérêts vitaux de la personne concernée ou  d’une autre personne
  • à l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice  de l’autorité publique confiée au responsable du traitement
  • dans l’intérêt légitime (ex. une entreprise doit assurer la santé  et la sécurité de son personnel travaillant dans sa centrale nucléaire  en traitant certaines données notamment relatives à la santé)

Le consentement exige une action  affirmative claire. Le silence, les cases pré-cochées ou l’absence de réaction ne constituent pas un consentement ! Le consentement doit être vérifiable. Cela signifie qu’il faut conserver une preuve concernant  la façon et le moment où le consentement a été donné. Les individus ont  le droit de retirer leur consentement  à tout moment

Données personnelles concernant les enfants
Le General Data Protection Regulation (GDPR) contient de nouvelles dispositions visant à renforcer la protection des données personnelles des enfants

Les consentements déjà obtenus
Je ne suis pas tenu d’obtenir un nouveau consentement des personnes concernées si celui donné auparavant répond déjà aux nouvelles exigences. Je dois donc m’assurer que ce dernier réponde bien aux normes requises  par la nouvelle législation

Actions :

  • Je veille à ce que les personnes concernées reçoivent une explication claire du traitement  auquel elles consentent
  • Je veille à ce que le mécanisme de consentement soit vraiment volontaire et « opt-in » 
  • Je m’assure que les personnes concernées puissent retirer leur consentement facilement 
  • Je ne me fie pas au silence ou à l’absence de réaction pour considérer qu’il y a consentement

QU’EST-CE QUE LA PERSONNE CONCERNÉE PEUT ME DEMANDER ?

Décision individuelle automatisée et profilage

  • Toute personne a le droit de ne pas être soumise à une décision  individuelle lorsqu‘elle est fondée exclusivement sur  un traitement automatisé
  • Dans le cas d’une décision automatisée, je dois m’assurer que la personne peut (1) obtenir une intervention humaine dans  la prise de décision ; (2) exprimer leur point de vue ;  et (3) obtenir une explication de la décision et la contester
  • Ce droit ne s’applique pas si la décision est nécessaire pour (1) la conclusion ou l’exécution d’un contrat ou (2) est autorisée par la loi ou (3) prise sur base d’un consentement explicite

Droit à l’information

  • Je dois fournir en toute transparence des informations aux personnes concernées sur la façon dont je traite leurs données personnelles et quelles données je traite (Privacy notice)
  • Les informations à fournir dépendent de la manière (directe ou indirecte) dont j’ai obtenu les données personnelles
  • Je dois fournir les informations au moment où les données sont obtenues (si obtenues directement auprès de la personne) ou dans un délai raisonnable (obtenues indirectement)

Droit à l’oubli

  • La personne concernée peut me demander d’être « oubliée »  mais ce droit n’est pas absolu
  • Les individus ont le droit de faire effacer leurs données  personnelles et d’empêcher leur traitement si le traitement  leur cause des dommages
  • Il existe des circonstances particulières où je peux refuser d’effacer des données personnelles

Droit à la rectification
A la demande de la personne concernée, je dois :

  • Rectifier des données personnelles si elles sont inexactes ou incomplètes
  • Informer les tiers si je leur ai communiqué les données  personnelles
  • Informer les personnes au sujet des tiers auxquels  les données ont été divulguées
  • Répondre à la personne concernée dans un délai d’un mois (prolongeable de deux mois)

Droit à la portabilité des données

  • La personne concernée peut me demander de transférer des données personnelles d’un environnement informatique  à un autre d’une manière sûre et sécurisée
  • Seules les données personnelles qu’un individu a fournies à un responsable de traitement ( sur la base du consentement ou du contrat ) sont concernées
  • Je dois fournir les données sous une forme structurée,  couramment utilisée et lisible.
  • Je dois le faire gratuitement et dans un délai d’un mois (prolongeable de deux mois )

Droit d’opposition
La personne concernée peut s’opposer :
01au direct marketing : lorsque je reçois une demande  d’opposition, je dois cesser de traiter immédiatement  les données de la personne concernée sans exceptions
02 -  au traitement sur base des intérêts légitimes : lorsque je reçois une opposition, je dois arrêter le traitement  de ces données sauf s’il y a des exceptions légales
03au traitement pour des recherches scientifiques / historiques dans certains cas. Je dois informer la personne concernée de son droit de s’opposer dès la première  communication et dans la privacy notice

Droit d’accès
Lorsque la personne concernée en fait la demande, je dois lui fournir ses données personnelles de manière : 01 - concise, transparente, intelligible et facilement accessible, rédigée en langage clair et facile
02 - gratuitement
03 - dans un délai d’un mois (prolongeable de deux mois)

QUELLES SONT MES OBLIGATIONS EN TANT QUE RESPONSABLE DE TRAITEMENT OU SOUS-TRAITANT ?
Quand je traite des données personnelles, je le fais en tant que responsable de traitement ou en tant que sous-traitant. Dorénavant, des obligations pèsent sur l’un et l’autre, alors que l’ancienne législation  n’en imposait qu’au responsable de traitement.

Actions :

En tant que responsable de traitement, je dois :

  • examiner toutes mes activités de traitement des données et conserver un registre d’inventaire 
  • m’assurer que j’ai mis en œuvre des mesures techniques et organisationnelles appropriées  pour assurer la sécurité nécessaire des données à caractère personnel   
  • respecter le principe de responsabilisation et coopérer avec la Commission de la protection  de la vie privée le cas échéant 
  • m’assurer que je dispose de procédures et de modèles appropriés pour identifier,  examiner et signaler rapidement des violations de données à la Commission de la protection  de la vie privée

En tant que sous-traitant, je dois :

  • examiner mes contrats de traitement de données existants et m’assurer de la sécurité et de la confidentialité nécessaires des données personnelles que je traite 
  • traiter uniquement les données conformément aux instructions du responsable de traitement  
  • m’assurer que je dispose de procédures et de modèles appropriés pour identifier, examiner et (dans la mesure nécessaire) signaler rapidement les violations de données au responsable  de traitement concerné
  • noter que je ne peux désigner des sous-sous-traitants qu’avec l’autorisation du responsable  de traitement

QUE DOIS-JE FAIRE SI JE TRANSFÈRE DES DONNÉES EN DEHORS L’UE ?

  • Je transfère  des données vers :

La Suisse, le Canada, Andorre, l’Argentine, Guernesey, l’île de Man, les îles Féroé, Jersey, l’Australie, Israël, la Nouvelle-Zélande, l’Uruguay ou les Etats Unis 

  • Je ne dois rien faire, ces pays ont un niveau  de protection adéquat (Privacy Shield)
  • Autre pays :
  • Transfert au sein  d’un groupe d’entreprises
  • Je conclus des clauses contraignantes (Binding Corporate Rules ) : ce sont des accords régissant les transferts effectués entre entreprises au sein d’un même groupe
  • Transfert  hors groupe
  • Je conclus avec l’entreprise vers laquelle les données sont  transmises des clauses conventionnelles standards  ‘data protection’ adoptées par la Commission européenne
  • Transaction  spécifique
  • Soit j’obtiens le consentement de la personne concernée, soit le transfert est nécessaire dans le cadre de l’exécution  du contrat

QUID EN CAS DE VIOLATION DE DONNÉES (DATA BREACH) ?
Violation de données à caractère personnel = destruction, perte, altération,  divulgation non autorisée de données à caractère personnel

Si la violation risque de porter atteinte aux droits et libertés des individus, je dois la notifier  à la Commission de la protection de la vie privée dans les 72 heures qui suivent le moment  du constat. Lorsqu’une violation est susceptible d’entraîner un risque élevé pour les droits  et libertés des individus, je dois en informer directement les personnes concernées

  • Je m’assure que mes employés ou responsables comprennent ce qui constitue une violation des données 
  • Je désigne une personne chargée d’examiner et de signaler les violations de données 
  • Je mets en place des procédures solides de détection des infractions, d’enquête et de rapports internes 
  • Je prépare des lettres types afin de signaler une violation le plus rapidement possible

 

PERSONNE RESPONSABLE DE LA PROTECTION DES DONNÉES  & DATA PROTECTION OFFICER

FEBIAC Conseille à toutes les entreprises de désigner une personne responsable
Lorsque votre activité principale consiste dans le traitement à large échelle et le monitoring  systématique des individus ou des catégories particulières de données, vous êtes obligé  de désigner un Data Protection Officer (DPO)

Les missions du DPO :

  • Informer et conseiller l’entreprise et ses employés sur leurs obligations de se conformer au GDPR et autres lois de protection des données
  • Surveiller la conformité au GDPR
  • Être le premier point de contact
  • Vous pouvez attribuer le rôle de DPO à un employé si ses fonctions professionnelles sont compatibles avec les tâches du DPO et ne conduisent pas à un conflit d’intérêts
  • Vous pouvez également vous adresser à un DPO externe à l’entreprise

7 RECOMMANDATIONS INCONTOURNABLES

  • Je fais un inventaire de tous les traitements et des données traitées ainsi que de leurs objectifs
  • Je traite les données enregistrées de manière loyale et transparente
  • J’enregistre uniquement les données nécessaires et ne les conserve pas au-delà de la période utile
  • Je prends les mesures adéquates de protection des traitements et des données
  • J’informe clairement les personnes concernées par les données
  • Je mets en place une politique de protection des données et de la vie privée en interne
  • Je désigne une personne responsable de la protection des données et de la vie privée

Source : FEB, FEBIAC

Cordialement,
Guido Savi 
Public Affairs, FEBIAC Luxembourg
ACEA Representative Luxembourg  

Twitter