Protection de la vie privée en Belgique

Bruxelles Formation2 décembre 2010

La protection des données personnelles

Jacques Folon

AVANT

Ce que les patrons croient…

En réalité…En réalité…

Ou sont les données?Ou sont les données?

Tout le monde se parle !Tout le monde se parle !

Les employés partagent des informations

Source : https://www.britestream.com/difference.html.

La transparence est devenue indispensable !

Comment Comment faire pour faire pour protéger les protéger les données?données?

• 60% des citoyens européens se sentent 60% des citoyens européens se sentent concernésconcernés

• La découverte des vols de données se fait La découverte des vols de données se fait après-coup!après-coup!

• La protection des données est un risque La protection des données est un risque opérationnel => observé par les investisseursopérationnel => observé par les investisseurs

• La connaissance de ses clients est un atout La connaissance de ses clients est un atout (CRM)(CRM)

La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et

indispensable

Quels sont les risques?

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles

On en parlera !

Contexte juridique

Trois définitions importantesTrois définitions importantes

• Qu’est-ce qu’une donnée personnelle?Qu’est-ce qu’une donnée personnelle?

• Qu’est-ce qu’un traitement?Qu’est-ce qu’un traitement?

• Qu’est-ce qu’un responsable de Qu’est-ce qu’un responsable de traitement?traitement?

On entend par "données à caractère personnel”:

toute information concernant une personne physique identifiée ou identifiable,

désignée ci-après "personne concernée"; est réputée identifiable une personne

qui peut être identifiée, directement ou indirectement,

notamment par référence à un numéro d'identification ou à un ou plusieurs

Éléments spécifiques, propres à son identité physique, physiologique,

psychique, économique, culturelle ou sociale

Donnée personnelleDonnée personnelle

Par "traitement",

on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés

Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,

l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,

la communication par transmission, diffusion ou toute autre forme de mise à disposition,

le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction

de données à caractère personnel.

Traitement de données

Par "responsable du traitement",

on entend la personne physique ou morale,

l'association de fait ou l'administration publique qui, seule ou conjointement

avec d'autres, détermine les finalités

et les moyens du traitement de données à caractère personnel.

Responsable de traitement

Responsabilités du “responsable de traitement »• LoyautéLoyauté

• FinalitéFinalité

• ProportionalitéProportionalité

• Exactitude des donnéesExactitude des données

• Conservation non excessiveConservation non excessive

• SecuritéSecurité

• ConfidentialitéConfidentialité

• Finalité expliquée avant le consentementFinalité expliquée avant le consentement

• Information à la personne concernéeInformation à la personne concernée

• Consentement indubitable (opt in)Consentement indubitable (opt in)

• Déclaration à la CNILDéclaration à la CNIL

Droits du consommateurDroits du consommateur

Droits du consommateurDroits du consommateur

6 PRINCIPES:6 PRINCIPES:

3.3. Droit d’accèsDroit d’accès• Droit de Droit de

rectificationrectification• Droit de Droit de

refuser le refuser le marketing marketing directdirect

• Droit de retraitDroit de retrait• Droit à la Droit à la

sécuritésécurité• Acceptation Acceptation

préalablepréalable

Données reçues et transféréesDonnées reçues et transférées

Informations sensiblesInformations sensibles

Informations sensiblesInformations sensibles

•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires

3030

• ObligatoireObligatoire

• Le propriétaire de Le propriétaire de la banque de la banque de données doit être données doit être capable de capable de prouver que l’opt-prouver que l’opt-in a bien eu lieu !!in a bien eu lieu !!

• Exceptions selon Exceptions selon les législationsles législations

OPT IN SUR INTERNET

CoockiesCoockies

Transferts de données transfrontaliersTransferts de données transfrontaliers

SécuritéSécurité

• Que peut-on Que peut-on contrôler?contrôler?

• Limites?Limites?

• Correspondance Correspondance privéeprivée

• Saisies sur Saisies sur salairesalaire

• Sanctions réelles Sanctions réelles

• Communiquer Communiquer lesles sanctions?sanctions?

Le maillon faible…Le maillon faible…

• Sécurité organisationnelleSécurité organisationnelle

– Département sécuritéDépartement sécurité

– Consultant en sécuritéConsultant en sécurité

– Procédure de sécuritéProcédure de sécurité

– Disaster recoveryDisaster recovery

• Sécurité techniqueSécurité technique– Risk analysisRisk analysis– Back-upBack-up– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT– Système d’authentification (identity management)Système d’authentification (identity management)– Loggin and password efficacesLoggin and password efficaces

• Sécurité juridiqueSécurité juridique– Contrats d’emplois et informationContrats d’emplois et information– Contrats avec les sous-contractantsContrats avec les sous-contractants– Code de conduiteCode de conduite– Contrôle des employésContrôle des employés– Respect complet de la réglementationRespect complet de la réglementation

Qui contrôle quoi ?

Espérons que la sécurité de vos données

ne ressemble jamais à ceci !

Contrôle des employés : équilibreContrôle des employés : équilibre

• Protection de la vie privée des travailleurs

ET• Les prérogatives de

l’employeur tendant à garantir le bon déroulement du travail

Principe de finalité Principe de proportionnalité

Les 4 finalités Les 4 finalités

• Prévention de faits illégaux, de faits contraires aux Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruidignité d’autrui

• La protection des intérêts économiques, commerciaux La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre caractère de confidentialité ainsi que la lutte contre les pratiques contrairesles pratiques contraires

Les 4 finalitésLes 4 finalités3 3 La sécurité et/ou le fonctionnement technique de La sécurité et/ou le fonctionnement technique de

l’ensemble des systèmes informatiques en réseau de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des afférents, ainsi que la protection physique des installations de l’entrepriseinstallations de l’entreprise

4 Le respect de bonne foi des principes et règles 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans d’utilisation des technologies en réseau fixés dans l’entreprisel’entreprise

Peut-on tout contrôler et tout sanctionner ?

• Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ;travailleurs, aux sociétés liées ou à ses procédés techniques ;

• Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ;XXX ;

• Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit;avoir obtenu toutes les autorisations des ayants droit;

• Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ;informatique ;

• Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ;soit, avec ou sans possibilité de gain ;

• Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ;

• Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ;

• Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ;belge ;

• Participer à des chaînes de lettres, quel qu’en soit le contenu ;Participer à des chaînes de lettres, quel qu’en soit le contenu ;

• Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ;

• Participer directement ou indirectement à des envois d’emails non sollicités ;Participer directement ou indirectement à des envois d’emails non sollicités ;

• Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ;

• Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ;

sanctionssanctions

• Dans le RTDans le RT

• CohérentesCohérentes

• LégalesLégales

• Zone griseZone grise

• RéellesRéelles

• ObjectivesObjectives

• Syndicats Syndicats

Sécurité et sélectionSécurité et sélection

• Screening des CV Screening des CV

• Avant engagementAvant engagement

• Final checkFinal check

• AntécédentsAntécédents

• Quid médias Quid médias sociaux, Facebook, sociaux, Facebook, googling, etc?googling, etc?

• Tout est-il permis?Tout est-il permis?

RÖLE DU RESPONSABLE DE SECURITE

Securité: à retenirSecurité: à retenir

• Top downTop down• Obligation légaleObligation légale• Risque ou opportunité?Risque ou opportunité?• Sécurité juridiqueSécurité juridique• Sécurité organisationelleSécurité organisationelle• Sécurité informatiqueSécurité informatique• Contrôle des employésContrôle des employés

COMMENT COMMENT IMPLEMENTER LA LOI?IMPLEMENTER LA LOI?

MéthodologieMéthodologie

http://www.sunera.com/typo3temp/pics/f43202fdda.jpg

Procédure et méthodologie Procédure et méthodologie

• Décision stratégique à haut niveauDécision stratégique à haut niveau

• Réflexion et décision quant à la procédure de mise en place et ses Réflexion et décision quant à la procédure de mise en place et ses implications en terme d’organisation et en particulier:implications en terme d’organisation et en particulier:– Change management Change management – Identity managementIdentity management– Security managementSecurity management

• Désignation d’un chef de projet interne Désignation d’un chef de projet interne

• Analyse et adaptation des procédures de collecte de donnéesAnalyse et adaptation des procédures de collecte de données

• Analyse et adaptation des bases de données existantes Analyse et adaptation des bases de données existantes

• Régler la situation actuelleRégler la situation actuelle

• Établissement de règles pour le futurÉtablissement de règles pour le futur

• Procédures de contrôle et d’auditProcédures de contrôle et d’audit

Aspects stratégiquesAspects stratégiques

Il faut gagner la confiance des consommateursIl faut gagner la confiance des consommateurs

• Le respect de la vie privée peut être un incitant à Le respect de la vie privée peut être un incitant à repenser l’organisationrepenser l’organisation

• L’obligation légale de sécurité peut être un moyen de L’obligation légale de sécurité peut être un moyen de penser une sécurité globalepenser une sécurité globale

• Le respect de la vie privée est un excellent outil Le respect de la vie privée est un excellent outil marketing à partir du moment où la loi n’est pas marketing à partir du moment où la loi n’est pas encore respectée.encore respectée.

Alors quand un patron pense à ses données il est Alors quand un patron pense à ses données il est zen ?zen ?

Ou plutôt?Ou plutôt?

Quels sont les risques ?Quels sont les risques ?

11/12/10 Jacques Folon -LSGI 5959

CONCLUSION ce ne sera pas simple …CONCLUSION ce ne sera pas simple …

Jacques FolonJacques FolonJacques.folon@ichec.beJacques.folon@ichec.be

Je suis prêt à répondre à vos questions

Chargé de cours

Partner Auteur

Blog www.privacybelgium.be

http://be.linkedin.com/in/folon

www.edge-consulting.biz

Jacques.folon@edge-consulting.biz

Administrateur