En 2018, une nouvelle réglementation en matière de vie privée sera à prendre en compte dans toutes les entreprises.
Conférence organisée par Technofutur TIC le 17/05/2016. Intervenants : Jacques Folon & Nathlia Ragheno
Cédric Rainotte - Maximizing the Digital Video Opportunity [Partie 1]
Comment implémenter le nouveau règlement européen sur la protection des données personnelles ?
1. La vie d’une entreprise et la vie privée
Comment implémenter le nouveau règlement européen
sur la protection des données personnelles
Nathalie Ragheno Jacques Folon, Ph.D
2. La loi vie privée existe… depuis 1992
La Loi du 8 décembre 1992 (Loi vie privée) vise à protéger le citoyen
contre toute utilisation abusive de ses données à caractère
personnel.
Elle définit non seulement
- les droits et devoirs de la personne dont les données sont traitées
- mais aussi ceux du responsable d'un tel traitement.
Etes-vous à ce jour parfaitement en
règle par rapport à la loi vie privée?
3. Petit rappel des épisodes précédents
• Définition des finalités
• Déclarations des traitements auprès de la CPVP
• Information des personnes enregistrées
• Consentement des personnes concernées
• Droit d’accès, de rectification, d’opposition
• Transfert des données vers des pays hors UE
4. Objectifs du règlement européen
• Harmonisation des législations sur la
protection des données
• Directive Règlement
• Adaptation aux nouvelles technologies et
nouveaux médias sociaux
• Renforcer l’indépendance et les pouvoirs des
autorités de contrôle nationales
• Limiter les charges administratives des
entreprises (?!)
#
5. Différences avec la loi de 1992
• Champ d’application plus étendu
• Nouvelles définitions
• Responsabilité du responsable de traitement ET
du sous-traitant
• Sanctions importantes avec le règlement
• Pouvoir accru de la CPVP (Pouvoir d’investigation
et de sanction)
Charges administratives
pour les entreprises
6. Prenons un exemple concret
• Nous allons vous proposer les différentes
étapes de la vie d’une entreprise
• Et à chaque étape nous attirerons votre
attention sur les règles à respecter en fonction
du règlement européen
7. Création de LANZADO
• Commerce en ligne de vêtements pour
hommes et femmes
• Commerce en ligne
– Qui est le responsable de traitement?
– Obligations du responsable de traitement?
– Accountability !
8. Mise en place du système informatique
• Création de
fichiers
– Prospects
– Clients
– Logs d’inscriptions
– Achats
9. Sécurité de l’information
– ISO 27002 peut être un référentiel
– Gestion des profils pour accès informatique
(Need to have)
– Gestion de login & password
10. Engagement de quatre employés
• Création d’un fichier des membres du personnel
Que peut-on enregistrer ?
Peut-on tout savoir ?
Quid des données sensibles (médicales, religieuses,…)?
Quid des données judiciaires (condamnations,…)?
• Règlement de travail
- Clauses de confidentialité
- Utilisation d’internet et des réseaux sociaux (CCT 81)
- Surveillance par caméra
- ….
• Information sur la protection des données personnelles
- Code de conduite sur la protection des données
- Bring your own device
11. Lanzado signe un contrat avec une agence qui
crée un site Internet de commerce électronique
destiné aux clients belges francophones
• Hébergement
• Sous-traitance donnée vie privée
• Responsabilité
• Choix du sous-traitant
12. Privacy Policy
Un juriste est contacté ou la fédération professionnelle (ou
UCM,UWE,…) ou un DPO
pour préparer :
• Un registre des traitements
• Analyse d’impact pour certains traitements
• Information des personnes enregistrées
• Instructions en interne
Il est important dans ce cadre de :
• Adapter les policies aux spécificités de l’entreprise
• Mettre à jour les fichiers existants et les policies
• ET se méfier des modèles sur Internet !!!!!
13. En pratique, qu’est-ce que cela implique pour la
société LANZADO ?
• Données traitées de manière licite, loyale et
transparente
• A des fins légitimes et déterminées
• Pas de données excessives (proportionnalité)
• Et mise à jour de ces données
• Conservation limitée de ces données
• Information des consommateurs ET consentement
Attention: cela vaut aussi pour toute collecte de données
( directement, indirectement et via internet)
14. L’agence demande si des cookies
peuvent être installés
• Mécanisme d’opt-in =consentement préalable et
informé des utilisateurs
• Consentement donné 1X
• Utilisateur doit pouvoir choisir – pas de
conséquences négatives s’il refuse
• Consentement demandé sur écran de démarrage,
dans la page ou bandeau
• Action positive de l’utilisateur = consentement
(ex: butinage vers d’autres pages du site)
• Consentement doit pouvoir être retiré
15. Information donnée à propos des
cookies
Avertissement
• clair, compréhensible et visible
• accessible depuis chaque page et référencé de manière visible
• Et portant sur
Exemples sur le site de la CPVP
– les finalités
– les catégories d’infos stockées
– la durée conservation
– les modalités d’effacement
– et les éventuelles communications à des tiers
16. L’agence leur crée une page Facebook,
un compte Twitter et Instagram
• Si enregistrement des contacts réseaux
sociaux
• Ce sont des données personnelles
17. La société achète des listes de
prospects à des list-brokers
• Garantie du list broker
• Deux cas envois
– soit par le list broker
– Soit on achète la liste
18. Le premier client passe commande
• Information à fournir lors de l’enregistrement
des données
• Enregistrement des données
(collecte, organisation, conservation, extraction, consultation,communication,
diffusion, interconnexion,…)
• Droit d’accès (gratuit et réponse dans un délai de max. 1 mois)
• Droit de rectification , d’effacement
• Droit d’opposition et droit de demander de ne pas être contacté
(Do Not Call Me List + Liste Robinson)
Opt-out
• Droit à l’oubli
Transparence des
informations
Conserver dates des
enregistrement + sources
et traces des opt-out
19. L’informaticien crée une base
de données de clients et se
pose la question de savoir ce
qui doit être conservé
comme information
• Partition des fichiers
– Marketing
– Comptabilité
– Refus partiel
• Client actif
• Client qui ne veut plus être contacté
• Droit à l’oubli
20. L’agence effectue une campagne d’e-mailing
• Vérifier la fiabilité des
emails
• Preuve
– de l’opt-in
– Source
– date d’obtention
• Quid des données
existantes
21. Une personne contactée durant cette campagne envoie
un recommandé et porte plainte auprès de la CPVP :
elle ne comprend pas comment cette société a eu son
adresse email
• Information lors de la collecte de données (même si ce n’est
pas auprès de la personne concernée elle-même)
• Dans un délai raisonnable (max. 1 mois ou lors de la 1ère
communication)
22. Après 3 mois LANZADO a déjà 3.000 clients en
Belgique, et elle décide de prospecter des clients en
Suisse, en France et au Luxembourg que doit-elle
vérifier?
La prospection inclut-elle un transfert de
données personnelles?
Le pays destinataire est-il situé dans l’UE?
Le pays destinataire garantit-il un niveau
de protection adéquat des données?
23. USA
Andorre
Argentine,
Canada,
Suisse…
NON OUI
Niveau de protection adéquat
Transfert vers un pays tiers à
l’UE
OUINON
Transfert au sein
d’un groupe
Transfert hors
groupe
Transaction
spécifique
Clauses
contractuelles
Consentement,
Contrat
Binding
Corporate Rules
24. Un vendeur est interrogé par un client qui lui
demande si LANZADO a un responsable vie privée.
• DPO
• Pas pour tout le monde
– Organisme public
– Seuil pour secteur privé
– Traitement à risque (pas encore défini)
25. Le quatrième mois, plusieurs clients
mécontent, qui avaient déjà acheté des
vêtements, les contactent et demandent
que leurs données soient retirées de la
base de données
Oui mais quelle base de donnée ?
Toutes les données?
26. Le fichier des clients et des prospects se développe et
LANZADO décide d’utiliser un CRM vendu par une société
américaine et dont les données seront stockées dans le Cloud
• Responsabilité
• Clauses commission
• Contrat avec réversibilité
27. Pour protéger le stock Lanzado souhaite installer des
caméras de surveillance dans et autour de son
entrepôt
28. Un administrateur de LANZADO, demande lors du
dernier CA, quelles sont les mesures de sécurité qui
ont été prises afin de respecter le minimum légal
• Sécurité suffisante
• Data breach notification
29. CONCLUSIONS
Il faut prendre conscience de l’importance de bien gérer
les données dans une entreprise et de les protéger
efficacement
Il est nécessaire de
politique pro-active (accountability)
désigner une personne responsable (DPO ou non)
Sinon
risques de sanction
risques d’image et de réputation
30. …Entre 2016 et 2018
vous devrez donc…
1. Vérifier dans quelle mesure votre entreprise est en conformité avec
la legislation actuelle en matière de Data Protection
2. et étudier les mesures complémentaires à mettre en oeuvre au
regard du nouveau Règlement
Don’t wait!
Do it Now
31. Nous vous remercions pour votre attention !
Nathalie Ragheno
Premier conseiller
+32 2 515 09 52
* nr@vbo-feb.be
Jacques Folon
Partner Edge-Consulting
Professeur Ichec
Me. de conf. ULG
+32 475 98 21 15
* jacques.folon@ichec.be
www.folon.com