Protection des données: vos nouvelles obligations

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

1. Procédure. 2. Les faits

Règlement d INTERPOL sur le traitement des données

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DE LA

Cadre juridique de la Protection des Données à caractère Personnel

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Les données à caractère personnel

Loi n du relative à la protection des données à caractère personnel

Déclaration des droits sur Internet

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Commission nationale de l informatique et des libertés

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Les fiches déontologiques Multicanal

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Sur les informations traitées

Directive cadre du groupe. Protection des données des clients et des partenaires.

CODE DE CONDUITE ET D ÉTHIQUE DES ADMINISRATEURS

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Continuité d activité. Enjeux juridiques et responsabilités

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

CHARTE ETHIQUE ACHATS

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Code de conduite Zoomit

Vu la demande d'avis de M. Christos DOULKERIDIS, Secrétaire d Etat au Gouvernement de la Région de Bruxelles-Capitale reçue le 23/02/2012;

L EVALUATION PROFESSIONNELLE

CONSEILLER EN INVESTISSEMENTS FINANCIERS. 1. La définition de l activité des CIF

EX.CL/846(XXV) CONVENTION DE L UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

DROIT AU DEREFERENCEMENT

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

Décrets, arrêtés, circulaires

DELIBERATION N DU 17 SEPTEMBRE 2014 DE LA COMMISSION DE CONTROLE

LA VIOLATION DU SECRET : LE RÔLE DU BÂTONNIER

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

D) Un pouvoir spécial si le déclarant n est pas le responsable légal de l entreprise (Cf. modèle en annexe 7)

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

COMMERCIALISATION A DISTANCE DE SERVICES FINANCIERS BROCHURE D INFORMATION. Résumé

Conditions d'utilisation de la plateforme Défi papiers

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

Recommandation sur le traitement des réclamations

Photos et Droit à l image

CODE DE CONDUITE FOURNISSEUR SODEXO

CHAPITRE 1 : LA PROFESSION COMPTABLE

GUIDE PRATIQUE. Droit d accès

QUESTIONNAIRE 2015 RESPONSABILITE CIVILE PROFESSIONNELLE

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

CODE PROFESSIONNEL. déontologie

VIE PRIVÉE ET TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

CONVENTION DE COMPTE DE DEPOT EN DEVISES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

PROSPECTION COMMERCIALE PAR L ING SE LEGALISE POINT SUR LA REGLEMENTATION JURIDIQUE : L OPT-IN DEVIENT LA NORME EUROPEENNE ET FRANCAISE

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

Principes de bonne pratique :

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

GROUPE BRACCO CODE ETHIQUE

Code de conduite du Label de Qualité BeCommerce pour la Vente à

Le régime juridique qui est contractuellement attaché aux

DEMANDE D ADHESION AU CONTRAT AVOCAPI

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Le droit. à la protection des droits économiques

PUBLICITÉ & PROMOTION IMMOBILIÈRE

Président : M. Blin, conseiller le plus ancien faisant fonction., président REPUBLIQUE FRANCAISE AU NOM DU PEUPLE FRANCAIS

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Être plus proche, mais pas à n importe quel prix

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

UE 4 Comptabilité et Audit. Le programme

Mise à jour (1) FAQ n 9 : Mesures de contrôle. Moyens de preuve. Prescription. Sanctions

Responsabilité Civile Professionnelle des Bureaux d Études et Sociétés d Ingénierie Industrielle

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

OTRT : Office Tchadien de Régulation des Télécommunications. Contrat de Bureau d enregistrement

Maître Laetitia CANTOIS AVOCAT au Barreau de Caen 6 rue Samuel Bochard CAEN Tel : 02,31,23,96,26 Port : 06,87,193,293 Fax : 02,31,23,96,26 Site

CONDITIONS PARTICULIERES NUMEROS SVA

Procédure pénale. Thèmes abordés : Procédure par contumace/ Nouvelle procédure par défaut

T : F : info@cms-bfl.com Neuilly-sur-Seine, le 14 décembre 2011

Les questions juridiques importantes quand on lance une start-up

GROUPE DE RÉDACTION SUR LES DROITS DE L HOMME ET LES ENTREPRISES (CDDH-CORP)

L assurance Santé des entreprises Des garanties innovantes à moindre coût

Délibération n du 27 septembre 2010

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Ordonnance sur l engagement d entreprises de sécurité privées par la Confédération

Transcription:

Protection des données: vos nouvelles obligations, 20 octobre 2017 Pierre-Yves Thoumsin, avocat 1 2 1

RGPD à partir du 25 mai 2018 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE Personne concernée (droits) Information Accès Rectification Effacement Limitation du traitement Portabilité des données Opposition Droits d opposition à la prise de décision individuelle automatisée Représentant (dans l UE) Responsable du traitement (obligations) Licéité, loyauté, transparence Limitation des finalités Exactitude Limitation de la conservation Intégrité et confidentialité Responsabilité Registre de traitement Analyse d impact Sécurité Notification Délégué à la protection des données Sous-traitant (traite pour le compte du responsable) Autorité de contrôle Consultation Amendes administratives 3 Plan A. Concepts de base B. Droits de la personne concernée C. Obligations du responsable de traitement / Sanctions 4 2

A. Concepts de base 1. Données à caractère personnel 2. Traitement 5 A.1. Données à caractère personnel Toute information se rapportant à une personne physique identifiée ou identifiable Nom Numéro d identification Données de localisation Identifiant en ligne Éléments propres à l identité o Physique o Physiologique o Génétique o Psychique o Économique o Culturelle o Sociale 6 3

A.1. Catégories particulières de données (art. 9) Principe : interdiction du traitement origine raciale ou ethnique opinions politiques convictions religieuses ou philosophiques ou appartenance syndicale données génétiques et données biométriques aux fins d identifier une personne physique de manière unique données concernant la santé données concernant la vie sexuelle ou l orientation sexuelle Exceptions Consentement explicite Droit du travail / sécurité sociale Sauvegarde des intérêts vitaux de la PC Membre d organismes à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale Données manifestement rendues publiques Constatation, exercice ou défense d un droit en justice Intérêt public (proportionnalité) Soins de santé et santé publique Fins archivistiques dans l intérêt public, recherche scientifique ou historique, statistiques (cf art. 89) autres dérogations prévues par les Etats membres 7 A.2. Traitement (ensemble d ) opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données RGDP applicable au traitement: o Automatisé en tout ou en partie o Non automatisé, si données contenues ou appelées à figurer dans un fichier Exceptions o Activités ne relevant pas du champ d application du droit de l UE; o Activité strictement personnelle ou domestique; o Autorité dans le cadre de la prévention et détection des infractions pénales 8 4

A.3. Principes relatifs au traitement (art. 5) 1) Licéité, loyauté et transparence 2) Finalité 3) Limitation 4) Exactitude 5) Conservation limitée 6) Sécurité 9 C. Droits de la personne concernée 1. Information 2. Accès 3. Rectification 4. Effacement 5. Limitation du traitement 6. Portabilité des données 7. Opposition 8. Droits re. prise de décision individuelle automatisée 10 5

D.1. Information (art. 12 14) Forme concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples: Identité et coordonnées du (représentant du) responsable Coordonnées DPD Finalités Base légale Catégories de données concernées (si pas collectées auprès de la personne concernée) Intérêts légitimes du responsable (Catégories) de destinataires des données Transfert vers des pays tiers et garanties Durée de conservation ou critères pour déterminer la durée Existence des droits d accès, rectification, d effacement, limitation, opposition et portabilité Droit de retirer son consentement à tout moment Droit d introduire une réclamation auprès d une autorité de contrôle Origine réglementaire ou contractuelle de la fourniture de données Obligation ou non de fournir les données et conséquences d un refus Existence d une prise de décision automatisée, y compris profilage Source des données (si pas collectées auprès de la personne concernée) 11 D.2. Effacement (art. 17) Droit à l oubli (cf. CJUE, 13 mai 2014, Google Spain, C-131/12) Hypothèses visées: o Plus nécessaires au regard des finalités o Retrait du consentement et plus d autre fondement juridique o Opposition au traitement et pas de motif légitime impérieux o Traitement illicite o Effacement pour respecter une obligation légale o Données collectées quand la personne était un enfant Mesures raisonnables pour informer les responsables du traitement en aval 12 6

D.3. Portabilité des données (art. 20) Deux facettes: o Droit de recevoir les données dans un format structuré, couramment utilisé et lisible par machine o Droit de transmettre ces données à un autre responsable du traitement Deux conditions o Traitement fondé sur le consentement o Traitement effectué à l aide de procédés automatisés 13 D.4. Droit de ne pas faire l objet d une décision fondée exclusivement sur un traitement individuel automatisé (art. 22) Profilage: «toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements pour cette personne physique» Exceptions: o Nécessité pour la conclusion ou l exécution d un contrat; o Autorisée par le droit national et des mesures appropriées sauvegardent les droits et libertés; o Consentement explicite. 14 7

C. Obligations du responsable de traitement 1. Licéité, loyauté et transparence 2. Limitation des finalités 3. Minimisation des données 4. Exactitude 5. Limitation de la conservation 6. Intégrité et confidentialité 7. Responsabilité 15 C.1. Licéité, loyauté et transparence Licéité (art. 6) 1) Consentement (art. 7) Si déclaration écrite - Clairement distincte des autres questions - Forme compréhensible et aisément accessible - Termes clairs et simples Acte positif clair silence, cases cochées par défaut ou inactivité Droit de retrait à tout moment Enfants (art. 8) Réévaluer les consentements existants! 2) Exécution d un contrat 3) Obligation légale 4) Sauvegarde des intérêts vitaux de la PC 5) Mission d intérêt public / exercice de l autorité publique 6) Intérêts légitimes du responsable de traitement 16 8

C.2. Limitation des finalités Finalités déterminées, explicites et légitimes Traitement ultérieur = compatible Exception: «traitement ultérieur à des fins archivistiques dans l intérêt public, à des fins de recherche scientifique ou historique ou à des fin statistiques» (cf art. 89, 1) 17 C.3. Minimisation des données Données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités 18 9

C.4. Exactitude Données exactes + tenues à jour Données inexactes à effacement ou rectification 19 C.5. Limitation de la conservation Données permettant l identification des personnes concernées o période n excédant pas celle nécessaire au regard de la finalité Traitement à des fins exclusivement archivistiques dans l intérêt du public, recherche scientifique ou historique, ou statistiques (art. 89, 1) o Conservation plus longue o Mesures techniques et organisationnelles appropriées pour garantir les droits et libertés 20 10

C.6. Intégrité et confidentialité Sécurité des données (cf infra) 21 C.7. Responsabilité 1) Prévention = pincipe de responsabilité (accountability) a. Registre de traitement b. Sécurité du traitement c. Analyse d impact d. Délégué à la protection des données 2) Gestion a. Notification des violations b. Régime de responsabilité (liability) 22 11

Prévention a. Registre de traitement (art. 30) Contenu: o Nom et coordonnées du responsable / représentant / DPO o Finalités du traitement o Catégories de personnes concernées et des catégories de données o Catégories de destinataires o Eventuel transfert vers un pays tiers o Délai d effacement pour les différentes catégories o Description générale des mesures de sécurité techniques et organisationnelles Exemptions si moins de 250 employés, sauf traitement o risqué pour droits et libertés o non occasionnel o données sensibles ou relatives aux condamnations et infractions https://www.privacycommission.be/fr/canevas-de-registre-des-activites-de-traitement 23 Prévention b. Protection et sécurité Mesures techniques et organisationnelles appropriées (art. 25) Mesures à prévoir (art. 32): o Pseudonymisation et chiffrement o Confidentialité, intégrité, disponibilité et résilience des systèmes de traitement o Rétablissement de la disponibilité et de l accès en cas d incident physique ou technique o Procédures de test, analyse et évaluation régulières des mesures de sécurité Code de conduite approuvé (art. 40) à organismes sectoriels Mécanismes de certification approuvés (art. 42) 24 12

Prévention c. Analyse d impact (art. 35) Dans quel cas? o Recours à de nouvelles technologies et risque élevé pour les droits et libertés Contenu minimal o Description des opérations envisagées et finalités; o Évaluation de la nécessité et de la proportionnalité; o Évaluation des risques pour les droits et libertés; o Mesures envisagées pour y faire face. Consultation préalable de l autorité de contrôle si l analyse d impact indique un risque élevé 25 Prévention d. Délégué à la protection des données Désignation (art. 37) o Autorités et organismes publics o Activités exigeant un suivi régulier et systématique à grande échelle des personnes concernées o Traitement de données sensibles / condamnations pénales o Autres cas facultatifs Fonction (art. 38) o Associé à toute question relative à la protection des données o Point de contact pour les personnes concernées o Secret professionnel o Indépendance vis-à-vis du sous-traitant Missions (art. 39) o Informer et conseiller le responsable de traitement o Contrôler le respect du RGDP et autres dispositions en matière de protection des données o Conseils concernant l analyse d impact o Coopérer avec l autorité de contrôle o Point de contact pour l autorité de contrôle 26 13

Gestion a. Notification des violations Notification à l autorité de contrôle (art. 33) o En cas de violation, dans les 72 heures o SAUF si la violation n est pas susceptible d engendrer une violation des droits et libertés des personnes physiques Communication à la personne concernée (art. 34) o Si susceptible d engendrer un risque élevé pour les droits et libertés o SAUF si mesures préalables (chiffrement), ultérieures ou disproportionnée Notification du sous-traitant au responsable 27 Gestion b. Liability Le responsable ou le sous-traitant peuvent être poursuivis par la personne concernée Responsabilité solidaire à réparation effective Sanctions o Réclamation auprès de l autorité de contrôle (art. 77) o Recours juridictionnel contre Une décision de l autorité de contrôle (art. 78); Contre le responsable du traitement ou un sous-traitant (art. 79) o Droit à réparation du dommage matériel et moral (art. 82) o Amendes administratives effectives, proportionnées et dissuasives (art. 83): o Jusqu à 10.000.000 EUR / 20.000.000 EUR ou, dans le cas d une entreprise, 2% / 4% du C.A. annuel mondial 28 14

Conclusion Veille juridique À.p.d. 25/05/18 Tous concernés Nouveaux concepts RGDP Responsabilité renforcée Mise à jour 29 Pierre-Yves Thoumsin pierre-yves.thoumsin@jvm.be 02 289 00 20 www.belgiantrademark.be Twitter: @PYThoumsin 30 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back