Comment mettre son entreprise en conformité avec le RGPD?

I.                Rappel Succinct de la règlementation “RGPD”

Le RGPD (ou GDPR (en anglais General Data Protection Regulation) est le Règlement Général sur la Protection des Données, est une nouvelle règlementation européenne, entrée en vigueur le 25 mai 2018 et qui définit les règles relatives à la protection des données personnelles des citoyens européens.

Les ‘Données à caractère personnel’ désignent toutes les informations relatives à une personne et sur base desquelles, celle-ci peut être identifiée directement ou indirectement, e.g. nom, adresse, e-mail, adresse IP, données de connexion, etc.

Le traitement quant à lui est défini comme « toute opération effectuée sur ces données à caractère personnel » telle que « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Le RGPD impose en matière de protection des données, une série de nouvelles obligations à toute personne ou entreprise traitant des données à caractère personnel

 A. Le traitement des données à caractère personnel : conditions

Pour pouvoir traiter les données à caractère personnel l’une des conditions suivantes doit être satisfaite :

• le traitement découle du consentement spécifique et clair de la personne concernée. La personne concernée doit avoir librement et sciemment consenti, après avoir été́ informée;

• le traitement découle de l’exécution d’un contrat auquel la personne concernée est partie ou pour exécuter des mesures précontractuelles prises à la demande de celle-ci;

• le traitement découle de l’application d’une obligation légale à laquelle le responsable du traitement est soumis;

• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

• le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

• le traitement s’avère nécessaire pour veiller aux intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

B.    Sanction en cas de non-respect du RGPD

Relevons d’emblée que l’Autorité de protection de Données (APD) dispose de divers pouvoirs incluant la descente dans les locaux de l’entreprise, la consultation du registre, l’audition de personnes et la saisie de matériel informatique.

En cas de non-respect du RGPD, l’APD peut d’abord exiger du responsable de traitement ou de son sous-traitant de prendre des mesures correctrices, e.g. avertissement, mise en conformité, limitation de traitement, rectification, ordonner la cessation du traitement litigieux, etc.

L’APD peut encore opter pour une mesure coercitive en infligeant une amende administrative :

  • infraction simple : 10.000.000,00 euros, ou 2 % du chiffre d’affaires annuel ;
  • infraction grave : 20.000.000,00 euros, ou 4 % du chiffre d’affaires annuel.

 

II.              Recommandation Générale

 Au regard de la definition précitée, votre entreprise participe certainement au traitement de données à caractère personnel.  

Le RGPD impose à votre entreprise les obligations suivantes :

1° La Tenue d’un registre de traitement de données à caractère personnel

Sauf si votre entreprise ne traite que de façon irrégulière des données personnelles, le RGPD impose dorénavant  la tenue d’un registre des activités de traitement de données à caractère personnel.

Ce registre obligatoire devra préciser:

- Le type de données traitées ;

- La finalité des données traitées ;

- Les types de personnes concernées ;

- L’endroit où sont stockées ces données ;

- La durée de conservation des données ;

- Les personnes (en interne ou parmi vos traitants) ayant accès à ces données ;

- Les mesures de protection techniques et organisationnelles prises par votre entreprise ;

Ce registre doit être mis à jour à chaque modification ou ajout de traitements de données à caractère personnel.

Ce registre vous sert de documentation à présenter à l’Autorité de Protection des Données (APD) en cas de contrôle ou demande de ladite autorité.

2° La désignation d’un délégué à la protection (« DPO ») 

L’article 37 du Règlement Général sur la Protection des Données (RGPD) établit 3 hypothèses dans lesquelles la désignation d’un DPO devient obligatoire :

- le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public (;

- l’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus;

- l’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) et de données relatives à des condamnations pénales ou des infractions.

Si votre entreprise satisfait l’une des hypothèses susmentionnées, celle-ci aura dès lors l’obligation de désigner un DPO.

3° La rédaction d’une private policy (Déclaration de confidentialité sur la protection du traitement)

Ce document doit se conformer à un ensemble d’obligations tenant essentiellement à fournir à la personne concernée certaines informations relatives au traitement de ses données à caractère personnel.

La déclaration de confidentialité a notamment pour objectif d’aviser vos utilisateurs sur les différents droits dont il dispose au regard du traitement de leurs données à caractère personnel.

Les droits des personnes dont les données à caractère personnel sont connectés sont les suivants :

     -  Droit à l’information

     -  Droit d’accès

     - Droit à l’oubli (effacement)

     - Droit de rectification

     - Droit d’opposition

    - Droit à la portabilité des données

    - Droit à la limitation du traitement

4° La mise en place de mesures techniques et organisationnelles visant à la sécurisation des données à caractère personnel

Le RGPD impose au responsable du traitement ou à son sous-traitant l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

5° La mise en place d’une procédure relative à la gestion des violations des données

En cas de violation de données à caractère personnel, Le RGPD impose au responsable de traitement d’en faire notification à l'autorité de contrôle compétente.

    o    Violation de données à caractère personnel

Aucune définition n’est fournie sur la notion de violation des données à caractère personnel.  Pareille violation s’entend généralement de tout incident, intentionnel ou non, de nature à altérer les données, leur confidentialité ou encore les rendre indisponibles.

A titres exemplatifs, la violation des données à caractère personnel peut provenir d’un hacking, de ransomware, de la perte de confidentialité d’une communication, etc.

   o    Obligation de notification :

L'obligation de notification à l'Autorité trouve à s'appliquer dès que survient la violation de données   entraînant un « risque pour les droits et libertés de la personne concernée ».

   o    Responsable de la notification

La notification doit être faite par le responsable du traitement ou par le sous-traitant si le responsable du traitement a conclu des conventions écrites explicites à cet égard avec le sous-traitant.

   o    Délai de notification

En dehors du secteur des télécommunications, le délai de notification est de maximum 72 heures après le constat de la fuite de données. Dans la mesure où ; le responsable du traitement ne disposerait pas d'informations suffisantes pour analyser la nature du problème, il peut procéder à une première notification et la compléter, après analyse, par une notification complémentaire

   o    Destinataires de la notification

La notification sera, dans tous les cas, adressée à l’APD.

La notification devra aussi être adressée à la personne concernée lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés  de ladite personne physique.

o    Formalités de notification

La notification est adressée à l'APD via un formulaire en ligne.

La notification à la personne physique concernée sera faite par des moyens de communication qui garantissent une réception rapide de l’information. 

o    La tenue d’un journal/registre d’incident

Même dans les cas où la notification d’une violation de données à caractère personnel ne s’avère pas nécessaire, il est recommandé que le responsable du traitement tienne un journal des incidents.

Ce journal contiendra une brève description de chaque fuite de données ainsi qu'une explication de la non-notification de ladite fuite.

III.              Quelques Recommandations pratiques

        1° Exploitation des plateformes numériques (site internet, application mobile) :

 Il convient à cet endroit d’épingler quelques recommandations pratiques en matière de traitement de données à caractère personnel  effectué par devers vos plateformes.

 Pour ce faire, nous vous invitions à :

  •  Rédiger une « déclaration de politique de confidentialité » ou « Charte vie privée » (notre projet en annexe) ;
  •  Contrôler les différents formulaires en ligne de vos plateformes, en supprimant les champs libres ainsi que ceux non nécessaires par rapport à la finalité annoncée ;
  • Veiller à ce que le consentement soit recueilli de façon libre, via notamment une case qui ne peut être pré-cochée ;
  • Équiper vos plateformes d’un outil fiable permettant l’archivage et l’horodatage des consentements recueillis ;
  • Vérifier le niveau de sécurité des serveurs (et des backups éventuels)  stockant les données à caractère personnel de vos plateformes;
  • Vérifier le processus d’inscription à la newsletter, qui doit impliquer un double « opt-in »{C}[4] ;
  • Mettre en place et tenir un registre de traitement des données à caractère personnel ;
  • Évaluer l’intérêt de désigner un délégué à la Protection (DPO) des données à caractère personnel ;
  • Mettre en place une procédure de gestion en cas violation des données.

          2° Organisation d’évènements

 

Il convient à cet égard d’épingler quelques recommandations spécifiques. Pour ce faire, nous vous recommandons de:

  • Régulariser les données à caractère personnel que vous avez récoltées sans fondement. Pour cela, vous pouvez notamment envoyer un e-mail demandant à chaque personne concernée son consentement en vue de l’utilisation de leurs données et préciser le but de l’utilisation. A défaut de consentement, vous devrez détruire les données recueillies par votre entreprise ;
  • Vérifier que les données que possédez pour chaque personne concernée sont exactes et toujours d’actualités ;
  • Vérifier le contenu de vos campagnes e-mailing et veiller, à chaque envoi/campagne, d’insérer dans votre email vos coordonnées mais également le processus de désinscription  (lequel doit être aussi facile que l’a été l’inscription) ;
  • Détruire spontanément les données dépassées: celles de prospects ou de clients qui ne sont plus manifestés (vous devez fixer un délai compte tenu de votre activité, en sachant qu’au-delà de 3 ans, le délai est supposé exagéré sans motivation particulière).
  • Vérifier les contrats avec les sous-traitants, en particulier ceux qui proposent des services de profilage et de retargeting. Si  par ailleurs vous effectuez de tels types de traitement de données, vous serez tenu d’effectuer, en plus du registre, une analyse d’impact relative à la protection des données (AIPD).

----------------

Access Lex

Consultez aussi nos modèles d'actes et documents juridiques 

http://www.access-lex.be/aide-juridique/acte-juridique

Quelques documents relatifs aux RGPD : 

http://www.access-lex.be/aide-juridique/acte-juridique/2048/politique-de-confidentialite

http://www.access-lex.be/aide-juridique/acte-juridique/2049/conditions-generales-dutilisation-du-site

----------------

Par Charles EPEE
Avocat au Barreau de Bruxelles
cepee@lexlau.com
www.lexlau.com

----------------

---------------

Disclaimer

ACCESS LEX met à disposition de ses utilisateurs des actes juridiques / contrats types /documents juridiques types rédigés par des avocats.

Les actes/documents juridiques proposés sur la plateforme ACCESS LEX constitue des documents modèles, rédigés en termes généraux par les avocats. Ces documents types  proposés à titre illustratifs doivent être complétés et au besoin adaptés pour correspondre aux spécificités des relations contractuelles à instituer ou des cas juridiques sur lequel ils portent.

L’utilisateur aura à l’esprit que chaque document juridique doit être adapté aux objectifs poursuivis par les parties, en tenant compte de leurs contraintes et attentes  et des particularités juridiques de leur situation.

L’utilisateur téléchargeant le document juridique et y faisant usage, renonce explicitement à mettre en cause la responsabilité d’ACCESS LEX, des éditeurs ou de l’auteur du texte, même en cas de faiblesse ou d’inexactitude, flagrante ou non, de son contenu.

En outre, malgré le soin et la rigueur apportée au contrôle des documents mis en ligne sur la plateforme, ACCESS LEX, éditeur et non auteur des textes, ne peut garantir la mise à jour permanente des documents.

Conformément aux dispositions nationales et internationales relatives à la propriété

intellectuelle, les œuvres publiées sur ACCESS LEX sont protégées et ne peuvent être diffusées sans l’accord écrit d’ACCESS LEX, des éditeurs et de l’auteur du texte.

Toute utilisation à des fins lucratives est strictement interdite.

--------------