SlideShare une entreprise Scribd logo

Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?

Télécharger en tant que PPTX, PDF
Technofutur TIC
Technofutur TIC

En 2018, une nouvelle réglementation en matière de vie privée sera à prendre en compte dans toutes les entreprises. Conférence organisée par Technofutur TIC le 17/05/2016. Intervenants : Jacques Folon & Nathlia Ragheno

Petites entreprises & entrepreunariat
1  sur  33
La vie d’une entreprise et la vie privée Comment implémenter le nouveau règlement européen sur la protection des données personnelles Nathalie Ragheno Jacques Folon, Ph.D
La loi vie privée existe… depuis 1992 La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel. Elle définit non seulement - les droits et devoirs de la personne dont les données sont traitées - mais aussi ceux du responsable d'un tel traitement. Etes-vous à ce jour parfaitement en règle par rapport à la loi vie privée?
Petit rappel des épisodes précédents • Définition des finalités • Déclarations des traitements auprès de la CPVP • Information des personnes enregistrées • Consentement des personnes concernées • Droit d’accès, de rectification, d’opposition • Transfert des données vers des pays hors UE
Objectifs du règlement européen • Harmonisation des législations sur la protection des données • Directive Règlement • Adaptation aux nouvelles technologies et nouveaux médias sociaux • Renforcer l’indépendance et les pouvoirs des autorités de contrôle nationales • Limiter les charges administratives des entreprises (?!) #
Différences avec la loi de 1992 • Champ d’application plus étendu • Nouvelles définitions • Responsabilité du responsable de traitement ET du sous-traitant • Sanctions importantes avec le règlement • Pouvoir accru de la CPVP (Pouvoir d’investigation et de sanction)  Charges administratives pour les entreprises
Prenons un exemple concret • Nous allons vous proposer les différentes étapes de la vie d’une entreprise • Et à chaque étape nous attirerons votre attention sur les règles à respecter en fonction du règlement européen
Création de LANZADO • Commerce en ligne de vêtements pour hommes et femmes • Commerce en ligne – Qui est le responsable de traitement? – Obligations du responsable de traitement? – Accountability !
Mise en place du système informatique • Création de fichiers – Prospects – Clients – Logs d’inscriptions – Achats
Sécurité de l’information – ISO 27002 peut être un référentiel – Gestion des profils pour accès informatique (Need to have) – Gestion de login & password
Engagement de quatre employés • Création d’un fichier des membres du personnel  Que peut-on enregistrer ?  Peut-on tout savoir ? Quid des données sensibles (médicales, religieuses,…)? Quid des données judiciaires (condamnations,…)? • Règlement de travail - Clauses de confidentialité - Utilisation d’internet et des réseaux sociaux (CCT 81) - Surveillance par caméra - …. • Information sur la protection des données personnelles - Code de conduite sur la protection des données - Bring your own device
Lanzado signe un contrat avec une agence qui crée un site Internet de commerce électronique destiné aux clients belges francophones • Hébergement • Sous-traitance donnée vie privée • Responsabilité • Choix du sous-traitant
Privacy Policy Un juriste est contacté ou la fédération professionnelle (ou UCM,UWE,…) ou un DPO pour préparer : • Un registre des traitements • Analyse d’impact pour certains traitements • Information des personnes enregistrées • Instructions en interne Il est important dans ce cadre de : • Adapter les policies aux spécificités de l’entreprise • Mettre à jour les fichiers existants et les policies • ET se méfier des modèles sur Internet !!!!!
En pratique, qu’est-ce que cela implique pour la société LANZADO ? • Données traitées de manière licite, loyale et transparente • A des fins légitimes et déterminées • Pas de données excessives (proportionnalité) • Et mise à jour de ces données • Conservation limitée de ces données • Information des consommateurs ET consentement Attention: cela vaut aussi pour toute collecte de données ( directement, indirectement et via internet)
L’agence demande si des cookies peuvent être installés • Mécanisme d’opt-in =consentement préalable et informé des utilisateurs • Consentement donné 1X • Utilisateur doit pouvoir choisir – pas de conséquences négatives s’il refuse • Consentement demandé sur écran de démarrage, dans la page ou bandeau • Action positive de l’utilisateur = consentement (ex: butinage vers d’autres pages du site) • Consentement doit pouvoir être retiré
Information donnée à propos des cookies Avertissement • clair, compréhensible et visible • accessible depuis chaque page et référencé de manière visible • Et portant sur Exemples sur le site de la CPVP – les finalités – les catégories d’infos stockées – la durée conservation – les modalités d’effacement – et les éventuelles communications à des tiers
L’agence leur crée une page Facebook, un compte Twitter et Instagram • Si enregistrement des contacts réseaux sociaux • Ce sont des données personnelles
La société achète des listes de prospects à des list-brokers • Garantie du list broker • Deux cas envois – soit par le list broker – Soit on achète la liste
Le premier client passe commande • Information à fournir lors de l’enregistrement des données • Enregistrement des données (collecte, organisation, conservation, extraction, consultation,communication, diffusion, interconnexion,…) • Droit d’accès (gratuit et réponse dans un délai de max. 1 mois) • Droit de rectification , d’effacement • Droit d’opposition et droit de demander de ne pas être contacté (Do Not Call Me List + Liste Robinson) Opt-out • Droit à l’oubli Transparence des informations Conserver dates des enregistrement + sources et traces des opt-out
L’informaticien crée une base de données de clients et se pose la question de savoir ce qui doit être conservé comme information • Partition des fichiers – Marketing – Comptabilité – Refus partiel • Client actif • Client qui ne veut plus être contacté • Droit à l’oubli
L’agence effectue une campagne d’e-mailing • Vérifier la fiabilité des emails • Preuve – de l’opt-in – Source – date d’obtention • Quid des données existantes
Une personne contactée durant cette campagne envoie un recommandé et porte plainte auprès de la CPVP : elle ne comprend pas comment cette société a eu son adresse email • Information lors de la collecte de données (même si ce n’est pas auprès de la personne concernée elle-même) • Dans un délai raisonnable (max. 1 mois ou lors de la 1ère communication)
Après 3 mois LANZADO a déjà 3.000 clients en Belgique, et elle décide de prospecter des clients en Suisse, en France et au Luxembourg  que doit-elle vérifier? La prospection inclut-elle un transfert de données personnelles? Le pays destinataire est-il situé dans l’UE? Le pays destinataire garantit-il un niveau de protection adéquat des données?
USA Andorre Argentine, Canada, Suisse… NON OUI Niveau de protection adéquat Transfert vers un pays tiers à l’UE OUINON Transfert au sein d’un groupe Transfert hors groupe Transaction spécifique Clauses contractuelles Consentement, Contrat Binding Corporate Rules
Un vendeur est interrogé par un client qui lui demande si LANZADO a un responsable vie privée. • DPO • Pas pour tout le monde – Organisme public – Seuil pour secteur privé – Traitement à risque (pas encore défini)
Le quatrième mois, plusieurs clients mécontent, qui avaient déjà acheté des vêtements, les contactent et demandent que leurs données soient retirées de la base de données Oui mais quelle base de donnée ? Toutes les données?
Le fichier des clients et des prospects se développe et LANZADO décide d’utiliser un CRM vendu par une société américaine et dont les données seront stockées dans le Cloud • Responsabilité • Clauses commission • Contrat avec réversibilité
Pour protéger le stock Lanzado souhaite installer des caméras de surveillance dans et autour de son entrepôt
Un administrateur de LANZADO, demande lors du dernier CA, quelles sont les mesures de sécurité qui ont été prises afin de respecter le minimum légal • Sécurité suffisante • Data breach notification
CONCLUSIONS Il faut prendre conscience de l’importance de bien gérer les données dans une entreprise et de les protéger efficacement Il est nécessaire de politique pro-active (accountability) désigner une personne responsable (DPO ou non) Sinon  risques de sanction risques d’image et de réputation
…Entre 2016 et 2018 vous devrez donc… 1. Vérifier dans quelle mesure votre entreprise est en conformité avec la legislation actuelle en matière de Data Protection 2. et étudier les mesures complémentaires à mettre en oeuvre au regard du nouveau Règlement Don’t wait! Do it Now
Nous vous remercions pour votre attention ! Nathalie Ragheno Premier conseiller  +32 2 515 09 52 * nr@vbo-feb.be Jacques Folon Partner Edge-Consulting Professeur Ichec Me. de conf. ULG +32 475 98 21 15 * jacques.folon@ichec.be www.folon.com
Vous avez des questions ?
Liens utiles: • https://www.privacycommission.be/fr/themes -de-vie-privee • https://www.privacycommission.be/fr/la-vie- privee-sur-le-lieu-de-travail • CCT 81 http://www.cnt-nar.be/CCT-COORD/cct- 081.pdf

Recommandé

Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
Denis VIROLE
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
FCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
FCPA Enforcement Tends and Their Impact on Corporate Compliance ProgramsFCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
FCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
PECB
 
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
Technofutur TIC
 
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internetBye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Technofutur TIC
 
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Technofutur TIC
 

Recommandé

Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 
Règlement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UERèglement général sur la protection des données (RGPD) de l’UE
Règlement général sur la protection des données (RGPD) de l’UE
PECB
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
Denis VIROLE
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
FCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
FCPA Enforcement Tends and Their Impact on Corporate Compliance ProgramsFCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
FCPA Enforcement Tends and Their Impact on Corporate Compliance Programs
PECB
 
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
Technofutur TIC
 
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internetBye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Technofutur TIC
 
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Technofutur TIC
 
Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu
Technofutur TIC
 
Bosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challengesBosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challenges
Technofutur TIC
 
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Technofutur TIC
 
Réussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entrepriseRéussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entreprise
Technofutur TIC
 
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Technofutur TIC
 
Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018
Technofutur TIC
 
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l..."Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
Technofutur TIC
 
Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...
Technofutur TIC
 
Community manager, content manager
Community manager, content managerCommunity manager, content manager
Community manager, content manager
Technofutur TIC
 
Secure Access: Intégration Checkpoint R80.1
Secure Access: Intégration Checkpoint R80.1Secure Access: Intégration Checkpoint R80.1
Secure Access: Intégration Checkpoint R80.1
Technofutur TIC
 
PIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINTPIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINT
Technofutur TIC
 
Des outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associationsDes outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associations
Technofutur TIC
 
Créer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphoneCréer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphone
Technofutur TIC
 
Crowdfunding Spot
Crowdfunding SpotCrowdfunding Spot
Crowdfunding Spot
Technofutur TIC
 
La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !
Technofutur TIC
 
Amplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficaceAmplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficace
Technofutur TIC
 
Les outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projetLes outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projet
Technofutur TIC
 
Wordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communicationWordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communication
Technofutur TIC
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
Technofutur TIC
 
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1] Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Technofutur TIC
 

Contenu connexe

Plus de Technofutur TIC

Crowdfunding Spot
Crowdfunding SpotCrowdfunding Spot
Crowdfunding Spot
Technofutur TIC
 
Amplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficaceAmplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficace
Technofutur TIC
 
Les outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projetLes outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projet
Technofutur TIC
 
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1] Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Technofutur TIC
 

Plus de Technofutur TIC (20)

Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu
 
Bosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challengesBosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challenges
 
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
 
Réussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entrepriseRéussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entreprise
 
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
 
Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018
 
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l..."Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
 
Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...
 
Community manager, content manager
Community manager, content managerCommunity manager, content manager
Community manager, content manager
 
Secure Access: Intégration Checkpoint R80.1
Secure Access: Intégration Checkpoint R80.1Secure Access: Intégration Checkpoint R80.1
Secure Access: Intégration Checkpoint R80.1
 
PIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINTPIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINT
 
Des outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associationsDes outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associations
 
Créer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphoneCréer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphone
 
Crowdfunding Spot
Crowdfunding SpotCrowdfunding Spot
Crowdfunding Spot
 
La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !
 
Amplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficaceAmplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficace
 
Les outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projetLes outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projet
 
Wordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communicationWordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communication
 
Contrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPRContrat de sous-traitance - GDPR
Contrat de sous-traitance - GDPR
 
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1] Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
 

Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?

  • 1. La vie d’une entreprise et la vie privée Comment implémenter le nouveau règlement européen sur la protection des données personnelles Nathalie Ragheno Jacques Folon, Ph.D
  • 2. La loi vie privée existe… depuis 1992 La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel. Elle définit non seulement - les droits et devoirs de la personne dont les données sont traitées - mais aussi ceux du responsable d'un tel traitement. Etes-vous à ce jour parfaitement en règle par rapport à la loi vie privée?
  • 3. Petit rappel des épisodes précédents • Définition des finalités • Déclarations des traitements auprès de la CPVP • Information des personnes enregistrées • Consentement des personnes concernées • Droit d’accès, de rectification, d’opposition • Transfert des données vers des pays hors UE
  • 4. Objectifs du règlement européen • Harmonisation des législations sur la protection des données • Directive Règlement • Adaptation aux nouvelles technologies et nouveaux médias sociaux • Renforcer l’indépendance et les pouvoirs des autorités de contrôle nationales • Limiter les charges administratives des entreprises (?!) #
  • 5. Différences avec la loi de 1992 • Champ d’application plus étendu • Nouvelles définitions • Responsabilité du responsable de traitement ET du sous-traitant • Sanctions importantes avec le règlement • Pouvoir accru de la CPVP (Pouvoir d’investigation et de sanction)  Charges administratives pour les entreprises
  • 6. Prenons un exemple concret • Nous allons vous proposer les différentes étapes de la vie d’une entreprise • Et à chaque étape nous attirerons votre attention sur les règles à respecter en fonction du règlement européen
  • 7. Création de LANZADO • Commerce en ligne de vêtements pour hommes et femmes • Commerce en ligne – Qui est le responsable de traitement? – Obligations du responsable de traitement? – Accountability !
  • 8. Mise en place du système informatique • Création de fichiers – Prospects – Clients – Logs d’inscriptions – Achats
  • 9. Sécurité de l’information – ISO 27002 peut être un référentiel – Gestion des profils pour accès informatique (Need to have) – Gestion de login & password
  • 10. Engagement de quatre employés • Création d’un fichier des membres du personnel  Que peut-on enregistrer ?  Peut-on tout savoir ? Quid des données sensibles (médicales, religieuses,…)? Quid des données judiciaires (condamnations,…)? • Règlement de travail - Clauses de confidentialité - Utilisation d’internet et des réseaux sociaux (CCT 81) - Surveillance par caméra - …. • Information sur la protection des données personnelles - Code de conduite sur la protection des données - Bring your own device
  • 11. Lanzado signe un contrat avec une agence qui crée un site Internet de commerce électronique destiné aux clients belges francophones • Hébergement • Sous-traitance donnée vie privée • Responsabilité • Choix du sous-traitant
  • 12. Privacy Policy Un juriste est contacté ou la fédération professionnelle (ou UCM,UWE,…) ou un DPO pour préparer : • Un registre des traitements • Analyse d’impact pour certains traitements • Information des personnes enregistrées • Instructions en interne Il est important dans ce cadre de : • Adapter les policies aux spécificités de l’entreprise • Mettre à jour les fichiers existants et les policies • ET se méfier des modèles sur Internet !!!!!
  • 13. En pratique, qu’est-ce que cela implique pour la société LANZADO ? • Données traitées de manière licite, loyale et transparente • A des fins légitimes et déterminées • Pas de données excessives (proportionnalité) • Et mise à jour de ces données • Conservation limitée de ces données • Information des consommateurs ET consentement Attention: cela vaut aussi pour toute collecte de données ( directement, indirectement et via internet)
  • 14. L’agence demande si des cookies peuvent être installés • Mécanisme d’opt-in =consentement préalable et informé des utilisateurs • Consentement donné 1X • Utilisateur doit pouvoir choisir – pas de conséquences négatives s’il refuse • Consentement demandé sur écran de démarrage, dans la page ou bandeau • Action positive de l’utilisateur = consentement (ex: butinage vers d’autres pages du site) • Consentement doit pouvoir être retiré
  • 15. Information donnée à propos des cookies Avertissement • clair, compréhensible et visible • accessible depuis chaque page et référencé de manière visible • Et portant sur Exemples sur le site de la CPVP – les finalités – les catégories d’infos stockées – la durée conservation – les modalités d’effacement – et les éventuelles communications à des tiers
  • 16. L’agence leur crée une page Facebook, un compte Twitter et Instagram • Si enregistrement des contacts réseaux sociaux • Ce sont des données personnelles
  • 17. La société achète des listes de prospects à des list-brokers • Garantie du list broker • Deux cas envois – soit par le list broker – Soit on achète la liste
  • 18. Le premier client passe commande • Information à fournir lors de l’enregistrement des données • Enregistrement des données (collecte, organisation, conservation, extraction, consultation,communication, diffusion, interconnexion,…) • Droit d’accès (gratuit et réponse dans un délai de max. 1 mois) • Droit de rectification , d’effacement • Droit d’opposition et droit de demander de ne pas être contacté (Do Not Call Me List + Liste Robinson) Opt-out • Droit à l’oubli Transparence des informations Conserver dates des enregistrement + sources et traces des opt-out
  • 19. L’informaticien crée une base de données de clients et se pose la question de savoir ce qui doit être conservé comme information • Partition des fichiers – Marketing – Comptabilité – Refus partiel • Client actif • Client qui ne veut plus être contacté • Droit à l’oubli
  • 20. L’agence effectue une campagne d’e-mailing • Vérifier la fiabilité des emails • Preuve – de l’opt-in – Source – date d’obtention • Quid des données existantes
  • 21. Une personne contactée durant cette campagne envoie un recommandé et porte plainte auprès de la CPVP : elle ne comprend pas comment cette société a eu son adresse email • Information lors de la collecte de données (même si ce n’est pas auprès de la personne concernée elle-même) • Dans un délai raisonnable (max. 1 mois ou lors de la 1ère communication)
  • 22. Après 3 mois LANZADO a déjà 3.000 clients en Belgique, et elle décide de prospecter des clients en Suisse, en France et au Luxembourg  que doit-elle vérifier? La prospection inclut-elle un transfert de données personnelles? Le pays destinataire est-il situé dans l’UE? Le pays destinataire garantit-il un niveau de protection adéquat des données?
  • 23. USA Andorre Argentine, Canada, Suisse… NON OUI Niveau de protection adéquat Transfert vers un pays tiers à l’UE OUINON Transfert au sein d’un groupe Transfert hors groupe Transaction spécifique Clauses contractuelles Consentement, Contrat Binding Corporate Rules
  • 24. Un vendeur est interrogé par un client qui lui demande si LANZADO a un responsable vie privée. • DPO • Pas pour tout le monde – Organisme public – Seuil pour secteur privé – Traitement à risque (pas encore défini)
  • 25. Le quatrième mois, plusieurs clients mécontent, qui avaient déjà acheté des vêtements, les contactent et demandent que leurs données soient retirées de la base de données Oui mais quelle base de donnée ? Toutes les données?
  • 26. Le fichier des clients et des prospects se développe et LANZADO décide d’utiliser un CRM vendu par une société américaine et dont les données seront stockées dans le Cloud • Responsabilité • Clauses commission • Contrat avec réversibilité
  • 27. Pour protéger le stock Lanzado souhaite installer des caméras de surveillance dans et autour de son entrepôt
  • 28. Un administrateur de LANZADO, demande lors du dernier CA, quelles sont les mesures de sécurité qui ont été prises afin de respecter le minimum légal • Sécurité suffisante • Data breach notification
  • 29. CONCLUSIONS Il faut prendre conscience de l’importance de bien gérer les données dans une entreprise et de les protéger efficacement Il est nécessaire de politique pro-active (accountability) désigner une personne responsable (DPO ou non) Sinon  risques de sanction risques d’image et de réputation
  • 30. …Entre 2016 et 2018 vous devrez donc… 1. Vérifier dans quelle mesure votre entreprise est en conformité avec la legislation actuelle en matière de Data Protection 2. et étudier les mesures complémentaires à mettre en oeuvre au regard du nouveau Règlement Don’t wait! Do it Now
  • 31. Nous vous remercions pour votre attention ! Nathalie Ragheno Premier conseiller  +32 2 515 09 52 * nr@vbo-feb.be Jacques Folon Partner Edge-Consulting Professeur Ichec Me. de conf. ULG +32 475 98 21 15 * jacques.folon@ichec.be www.folon.com
  • 33. Liens utiles: • https://www.privacycommission.be/fr/themes -de-vie-privee • https://www.privacycommission.be/fr/la-vie- privee-sur-le-lieu-de-travail • CCT 81 http://www.cnt-nar.be/CCT-COORD/cct- 081.pdf