earlegal #3 - Vers un nouveau règlement sur la protection des données

❝Vers un nouveau règlement sur la protection des données

Liège, 25 mars 2016Jean-François HENROTTE

Fanny COTON

www.earlegal.beGroupe Larcier / Lexing 2

Où en est-on ?

Aujourd’huiDirective 95/46 – Loi du 8/12/1992

Demain : Règlement général 2016/679 du 27/04/16

sur la protection des données (GDPR) applicable le 25/05/18


Principe d’« accountability »

mettre en oeuvre les mesures techniques et organisationnelles appropriées+ les actualiser si nécessaire

ACCOUNTABILITY (Article 24.1):Etre en mesure de démontrer que l’on respecte le

règlementTRANSPARENCE

MODIFIER LES PRATIQUES ACTUELLES


Sanctions

Amendes administratives infligées par l’autorité de contrôle nationale

Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent

Justifie des investissements importants


Programme

Le siège de ma société est situé en dehors de l’UE, suis-je impacté par le règlement ?Puis-je héberger des données à caractère personnel hors de l’Union européenne ?Quelles sont les nouvelles obligations de ma société en tant que responsable du traitement?Quelles sont les nouvelles obligations de ma société en tant que sous-traitant?


Programme

Quelles sont les évolutions relatives aux droits des personnes concernées ?Que faire en cas de brèche de sécurité?Quelles relations avec la Commission Vie privée ?Quelle est la marche à suivre pour mettre mon entreprise en conformité avec le règlement ?

Groupe Larcier / Lexing www.earlegal.be

❝

7

1.

Le siège de ma société est hors de l’UE, suis-je impacté par le nouveau règlement ?

www.earlegal.beGroupe Larcier / Lexing

Notre fil conducteur

Une société du Delaware – NewTIC -serveurs communs dans le Coloradosuccursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg,scanne les communications des employés pour déceler n° de carte de crédit de ses clients européens et américainselle veut traiter les résultats à Denver et à défaut, en Italie


Droit applicable au traitement selon la directive

Art. 4.1. a) directive 95/46 [art.3.2 a) L. lux. 2/8/2002]De quel traitement s’agit-il ?Qui est responsable de ce traitement ? Le responsable est-il établi sur le territoire de l’état membre ?Cet établissement est-il pertinent pour le traitement ?



Établissement du RT sur le territoire d’un EMSiège?PJ?Serveur?

Dans le cadre des activitésApproche fonctionnelle ou économiqueG29, CJUE Google Spain




Champ d’application plus large

Directive :Établissement du RT sur le territoire d’un EM et traitement dans le cadre des activités de l’Et.recours à des moyens sur 1 EM

Règlement :s’appliquera également aux traitements effectués par des entreprises situées hors de l’Union européenne, si

elles offrent leurs produits et services aux citoyens de l’UE ou observent leur comportement.


Droit applicable au traitement selon le règlement

Art. 3.2 a) Traitement de données de personnes ayant leur résidence sur le territoire l'UE,

par un RP qui n'est pas établi dans l'Union, lorsque les activités de traitement sont :

- liées à l'offre de biens ou de services à ces personnes concernées dans l'Union


Droit applicable au traitement selon le règlement

Art. 3.2 b) – liées au suividu comportementdes personnes concernéessi ce comportement a lieu dans l’UE

techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. (cons. 24) – Cookies, javascript mais aussi Fb


Représentant dans l’Union

Art. 27

Un représentant doit être mandaté par le RT à traiter en plus ou à la place du RT toutes les questions liées au traitement des données personnelles par les autorités de contrôle et les personnes concernées


❝

16

2.

Puis-je héberger des données à caractère personnel

hors de l’Union européenne?



Une société du Delaware – NewTIC -serveurs communs dans le Colorado500 employéssuccursale BENELUX, avec siège à Bruxelles et employés à Bruxelles et au Luxembourg,Développe un logiciel pour la gestion de ses 5.000 clients (CRM)elle veut traiter les résultats à Denver et à défaut, en Italie


Transfert

Transfert de données = traitement de données en tant que telRespect :• des règles applicables à tout traitement de

données• des règles encadrant le transfertPrincipe : interdiction des transferts de données vers des pays n'offrant pas un niveau de protection adéquat


Transfert au sein de l’UE

Directive : régime « équivalent » au sein des 28 États membresAu sein de l’UE : autorisé de la même manière qu’un transfert au sein d’un même ÉtatPas d’autorisation à solliciter

Déterminer le droit applicable à chaque traitement OK pour l’Italie


❝Puis-je héberger mon site web et ma base de données clients

dans un cloud aux USA?


Transfert hors de l’UE

Seulement si le pays en question assure un niveau de protection adéquat.

Ok pour transfertde données parla société aux USA ?


Niveau de protection adéquat : quels pays ?

Liste blanche de la Commission: Norvège, Liechtenstein, Islande, Suisse, Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act" et pour les données relatives aux passagers aériens), Andorre, Argentine, Guernesey, île de Man, îles Féroé, Jersey, Australie (pour les données relatives aux passagers aériens), Israël, Nouvelle-Zélande et Uruguay

Législation des États-Unis n’offre pas le niveau de protection adéquat


Niveau de protection adéquat : Safe Harbour ?

Pour les États-Unis : ok si le destinataire des données aux États-Unis a adhéré aux "principes de la sphère de sécurité" ou « Safe Harbour Principles » (ainsi que pour les données relatives aux passagers aériens)

MAIS : Autorégulation : entreprises déclarent qu'elles respectent les principes du «Safe Harbour» et sont inscrites dans un registre du Département américain du Commerce.

Chaque année: auto-certification ou organisme certificateur externe. Trop de souplesse

Contesté devant CJUE : Arrêt Schrems 6/10/15 ! (dérogations en matière de sécurité nationale et restriction des pouvoirs des ARN)

Privacy shield depuis le 1er août 2016Contesté devant CJUE


Nouveautés pour les transferts ?

GDPR : Critères plus nombreux et plus précis que Directive pour reconnaitre le niveau de protection adéquat

Autorité nationale doit :surveiller le déroulement effectif des transferts vérifier que l'État tiers présente toujours un niveau de protection adéquat

possibilité pour la Commission d’amender ou suspendre sa décision, possibilité de retirer la décision


Quid si cloud provider aux USA ou en Inde ?

Solution : clauses contractuelles spécifiquesclauses types :

RT: Décision de la Commission du 15 juin 2001 ST: Décision de la Commission du 5 février 2010

ou non : Les entreprises peuvent proposer leurs propres clauses et soumettre à l’Autorité nationale de contrôle

Dérogations : notamment consentement de la personne concernée et nécessaire à l’exécution d’un contrat


❝Chaque société de mon groupe doit-elle conclure une convention vie privée

pour communiquer des données à une autre société du groupe ?


NON

Solution : Règles d’entreprise contraignantes

(Binding Corporate Rules = BCR)

Règles d’entreprise contraignantes


Règles d’entreprise contraignantes

A l'intérieur d'un groupement d'entreprises ou d'un groupe d'entreprises engagées dans une activité économique conjointe

Multinationale n'introduit qu'une seule demande auprès d'une Autorité de contrôle "chef de file", examinée par 28 autorités de manière concertée

En Belgique : après approbation de la Commission : arrêté royal

Ne couvre pas les flux de données en dehors de ce groupe


BCR dans le Règlement

Améliorations pour les entreprises ?disposition spécifique (démontre l'importance accordée aux multinationales)pratiques administratives déjà établies (désignation de l'autorité chef de file, procédure coordonnée, critères,…) sont reprises directement dans le règlementtravail des Autorités Nationales devrait être plus efficace et plus rapide

Améliorations pour les citoyens ?renforcement des critères à satisfaire pour obtenir l’approbation des BCRsurveillance régulière du respect des critèrespossibilité de remettre en question les décisions prises (mais volonté politique de le faire concrètement ?)


Codes de conduite et certifications

Visent tous deux les TPE et PME :

Code de conduite = équivalent "allégé" des BCRProjet par les associations regroupant les responsables de traitement ou les sous-traitants Soumis à l'Autorité de Contrôle compétenteÉmet un avis sur l'adéquation du code avec la législation et le publie si positif. Pourra couvrir plusieurs États Membres

// Privacy shield: repose sur auto-régulationautorisation préalable reste nécessaire pour chaque transfert


Codes de conduite et certifications

CertificationContrôle par autorité nationaleou par un organisme de certification(agréé par l'Autorité de Contrôle - indépendance – expertise)

Rassurant pour le RT et pour le publicMAIS ne réduit pas :

la responsabilité du RT ni du STle pouvoir de contrôle et de sanction des autorités nationales


❝

32

3.

Quelles sont les nouvelles obligations de ma société

en qualité de responsable du traitement ?



Société NEWTIC - Secteur informatique500 employés

Base de données de 5.000 clients.Développe un logiciel pour la gestion de ses propres

clients (CRM)Clients de NEWTIC = vous ?


Nouvelles obligations pour le RT

• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de

brèche de sécurité)


Protection des données dès la conception Protection des données par défaut

Inverser la démarche actuelle


Protection des données dès la conception

Se préoccuper de la protection des données dès la conception des technologies et des pratiques de l’entreprise

Compte tenu des techniques les plus récentes et des coûts Minimiser et pseudonymiser autant que possible

Protection des données par défaut

Par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique sont traitées L’utilisateur peut changer les réglages par la suite

Protection des données dès la conception Protection des données par défaut



• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de



Analyse d’impact

Analyse de l’impact du traitement projeté sur la protection des données

Interne – par le RT / app. immédiate

Contenu : description des opérations de traitementévaluation des risques mesures envisagées pour limiter les risquesmécanismes pour démontrer la

“compliance”

Éventuellement : code de conduite appliquéavis du délégué à la protection des données


Analyse d’impact

A chaque fois ? NON – requis si :

Si le traitement est susceptible de créer un risque élevé pour les personnes concernées en particulier par le recours à de nouvelles technologies (déterminé par le RT à la suite d’une analyse d’impact…) Profilage sur base duquel sont basées des décisions qui ont des effets sur la personne concernéesTraitement à grande échelle de données sensibles origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques, affiliation syndicale, données génétiques biométriques, relatives à la santé ou à la vie sexuelle, condamnations pénalesSurveillance à grande échelle de zones accessibles au publicCas que détermine l’autorité nationale : risque



• Privacy by design• Analyse d’impact• (Consultation préalable de la CPVP)• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de brèche de

sécurité)



• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements

(interne) examiné plus loin• Délégué à la protection des données• (Notification/communication en cas de brèche de

sécurité)



• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de



Délégué à la protection des données

(Lignes directrices WP 243 du G 29)

Pourquoi ?

associé en temps utile à toutes les questions relatives à la protection des données à caractère personnel.informer et conseiller le responsable du traitementFormation du personnelVérifier l’exécution de l’analyse d’impactContrôler la conformité avec le RèglementPersonne de contact pour les personnes concernées et pour l’autorité nationale

Quelle charge de travail ?


Délégué à la protection des données

Quand ? Obligatoire si traitement :par une autorité publique ou un organisme public, à l’exception des tribunauxqui exige un suivi régulier et systématique à grande échelle des personnes concernéesde données sensibles à grande échelle

MAIS l’Union ou un État membre pourront prévoir d’autres cas obligatoires -- > risque(abandon du critère des 5.000 personnes concernées)

Qui ? Interne ou externe - groupe d’entreprise peut avoir 1 seul délégué

Expert en droit de la protection des donnéesAbsence de conflit d’intérêtProtégé contre licenciement en raison avis qu’il émet

secret professionnel ou obligation de confidentialité



• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)• Délégué à la protection des données• (Notification/communication en cas de

brèche de sécurité examiné infra)


❝

46

4.

Quelles sont les nouvelles obligations de ma société en qualité de sous-traitant ?



NEWTIC décide de développer logiciel CRM pour la vente

Configure le logicielAssure la maintenance

Devient sous-traitant


Droit applicable aux mesures de sécurité du sous-traitant ?

Directive : Les mesures de sécurité liant le ST sont celles de son établissement

Possibilité d’un droit pour le traitement et un autre pour les mesures de sécurité

Règlement : même législation


Obligations du sous-traitant dans le nouveau règlement ?

Obligation de conseil v-à-v du client quant au respect de la vie privée+ nouvelles obligations propres de NEWTIC en vertu GDPRmêmes sanctions que celles applicables au responsable du traitement


Nouvelles obligations des sous-traitants

mentions obligatoires dans le contrat de sous-traitance+

privacy by designdocumentation adéquatemesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adaptéeffectuer les analyses d’impactdésigner un délégué à la protection des donnéessatisfaire aux exigences requises en cas de transfert de données vers des pays tiers coopérer avec les autorités de contrôle nationales


❝

51

5.

Quelles sont les évolutions relatives aux droits des personnes concernées ?



Ados pris en photo par NEWTIC pour un concours

puis les images sont utilisées dans une publicitésociale et virale


Consentement

Directive : explicite ou implicite

Règlement : expliciteacte positif, garantissant son caractère libre, spécifique, informé et univoque. sous une forme compréhensible et aisément accessible, en des termes clairs et simples. Distinguer question du consentement des autres questions.

Plus possible d’opter pour un consentement tacite ou passif ou au moyen de cases cochées par défaut.

Vérifier les polices vie privée actuelles !


Consentement des enfants

Spécificité pour les services de la société de l’informationEn particulier : à des fins de marketing

création de profils de personnalité ou d'utilisateur collecte de données lors de l'utilisation de services fournis directement à un enfant

En cas d’offre directe aux enfants (moins de 16 ans - législation d’un EM peut descendre jusqu’à 13 ans)le consentement n’est licite que si donné ou autorisé par une personne exerçant l’autorité parentale.

Obligation pour le responsable du traitement de le vérifier compte tenu des moyens technologiques dont il dispose.

+ en termes particulièrement clairs


« Droit à l’oubli » numérique

Droit exprès à l’effacement des données à caractère personnel, dans les meilleurs délais, quand :

données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées retrait du consentement sur lequel était fondé le traitement et pas d’autre fondement légalla personne s’oppose au traitement de ses données à des fins de prospection (y compris profilage) ;les données ont fait l’objet d’un traitement illicite ;Données collectées dans le cadre de l’offre directe de service de la société de l’information à un enfant de moins de 16 ans

Exceptions :nécessaire à l’exercice du droit à la liberté d’expression et d’information (vise traitement à des fins journalistiques) obligation légale ou une mission d’intérêt public du responsable du traitement (santé publique) nécessaire à des fins de recherche scientifique et historique ou statistiqueconstatation, exercice ou défense de droits en justice.

+ mesures raisonnables, y compris d’ordre technique, pour informer tiers auquel les données auraient été divulguées identifier et tenir à jour une liste de tous les tiers auxquels les données sont transférées


Obligation de transparence et d’information

Obligation de faciliter l’exercice des droits de la personne concernée

Obligation de répondre dans les meilleurs délais (au plus tard dans le mois) à toute demande d’information

Ne peut refuser la demande d’une personne, à moins que l’entreprise démontre ne pas être en mesure d’identifier la personne.


Portabilité des données

Recevoir ses propres donnéesdans un format structuré, couramment

utilisé et lisible par une machinepourra même obtenir, si techniquement

possible, que les données soient directement transmises à un autre opérateur(Lignes directrices WP 242 du G 29)


❝

58

6.

Que faire en cas de brèche de sécurité ?



NEWTIC est victime d’une attaque de pirates informatiques et soupçonne que des tiers aient mis la main sur des données privées de ses clients

Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012), la Défense (500 collaborateurs en janvier 2013), Jobat (15.000 personne en janvier 2013), Belgacom (septembre 2013), Ashley Madison………….


Obligations actuelles en cas de brèche de sécurité ?

A. Pour les entreprises qui fournissent des services de communication électroniques:

Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:

- Notification à l’IBPT dans les 24 H du constat de la violation- Avertir le client « sans retard injustifié » si risque d’affectation de

ses données à caractère personnel ou sa vie privéeRem: - Personnes concernées = PP et PM

B. Pour les autres entreprises :

Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de sécurité à entreprendre pour éviter la violation des données


Notification à l’autorité de contrôle Communication à la personne concernée

Quand ? Si risque élevéPAS SI le RT :

A pris mesures préalables de protection (technologiques et organisationnelles)

ex : chiffrement

A pris mesures après la brèche pour s’assurer que le risque ne peut plus se réaliser

Règlement : Quelles obligations en cas de brèche de sécurité ?


Notification uniquement à l’autorité de contrôle SI:Effort disproportionné de prévenir toutes les personnes concernéesCommunication publique ou mesure similaireAffecterait substantiellement l’intérêt public

Contenu de la notification:Nature de la brèche (catégories and nombre de traitements et personnes concernées)Données de contact du déléguéConséquences de la brècheMesures prises/envisagées




Délai pour la notification :À l’autorité de contrôle : dans les plus brefs délais (max. 72 h)À la personne concernée : dans les plus brefs délais

Par le sous-traitant à son client : dans les plus brefs délais


Intérêt de se préparer à la gestion des fuites de données

Délais très courts (en heures)! Mieux vaut savoir que faire

Preuve de rigueur et d’une véritable politique « vie privée » vis-à-vis de la CPVP

limitation des amendes Preuve de bonne foi, volonté d’une relation de

confiance avec le client, image positive


❝

65

7.

Quelles relations avec la Commission Vie privée ?Avant / Pendant le traitement


Avant le traitement :

Nouvelles obligations pour le RT:

• Privacy by design• Analyse d’impact• Consultation préalable de la CPVP• Tenue d’un registre des traitements (interne)


Consultation préalable de la CPVP

Quand ? Si l’analyse d’impact > traitement est susceptible de créer un “risqué élevé”

(même si le RT prévoit des mesures pour limiter le risque)

Quoi ? AVIS rendu dans 8 semaines (14 semaines si complexe)

PLUS d’autorisationPLUS de déclaration

CPVP pourra utiliser ses moyens d’investigationet émettre des avertissements


Directive :

L’art. 4 peut rendre applicable plusieurs droits et donc plusieurs autorités nationales de contrôle

Multiples démarchesMultiples législationsDifférentes appréciations et délais de traitement

Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ?


Quelle autorité nationale consulter en cas d’activités dans plusieurs États membres ?

Règlement : (Lignes directrices WP 244 du G 29) autorité de contrôle de l’établissement principal = autorité de contrôle chef de file grande avancée pour les entreprises :

1 législation (règlement) 1 autorité de contrôle chef de file


Autorité chef de file

autorité de contrôle de l’établissement principal = autorité de contrôle chef de file (“One-Stop-Shop”)

Avancée pour les entreprises,Mais désavantage pour les personnes concernées(plainte à l’étranger ?)

Compromis: coopération des 2 aut. nat. parvenir à un consensus

positif pour les entreprises


Pendant le traitement :

ContrôlesSanctions

Pendant le traitement :


À tout moment !PlaintesEn cas de fuite de donnéesCertains secteurs dans le viseur

Contrôles


Contrôles

Demande de renseignementsAccès aux locaux

Accès à la documentationPouvoir prouver la compliance

Nécessité de se préparer !!


Sanctions

Amendes administratives infligées par l’autorité de contrôle nationale

Maximum 20.000.000 EUR ou 4% du CA annuel mondial du groupe de l’exercice précédent

Justifie des investissements importants


❝

75

8.

Quelle est la marche à suivre pour mettre votre entreprise en conformité avec le

règlement ?


Ressources nécessaires ?Prêt pour privacy by design?Prêt pour démontrer la compliance?Plan d’action en cas de brèche de sécurité ?


État des lieux

Identification :

des traitements actuellement réalisés,de la durée de conservation des données,de la façon dont la documentation est conservée,des preuves de consentement obtenues,des mesures de sécurités actuellement en vigueur,des tiers à qui les données ont été transmises

Analyse des incidents qui ont déjà eu lieu et de la façon dont ils ont été gérés.


Identification des enjeux par le service juridique

Obligation/opportunité de désigner un Data Protection Officer + procédure de recrutementActivités dans différents EM, rattacher certaines activités à un pays ?Qualifier l’entreprise de sous-traitant d’une autre société du groupe, afin de limiter ses obligationsDétermination de l’ampleur du travail à réaliser (nombre d’heures)Détermination des risques chiffrés (amendes/réputation) Détermination des priorités et des traitements stratégiques

(données de tiers/des employés ; anciens/nouveaux produits)Détermination du pourcentage de risque acceptable pour votre entreprise.


Stratégie

Mise au point de la stratégieau sein du service juridique

Puis défense devant le comité de direction


Préparation du cadre

Mise en place de procédures types :

Nouveaux traitements: Analyse d’impact sur la vie privée Demande d’avis préalable à la Commission Vie PrivéeArchivage de la documentation (principe d’accountability)

Gestion des « incidents » : En cas de retrait de consentement (en interne et transmission de la requête aux tiers auxquels les données ont été transmises).« portabilité » des données (transmission des données, éventuellement à un autre opérateur, dans un format structuré communément utilisé), en cas de brèche de sécurité (avec conservation des traces documentaires).


Préparation du cadre

Adaptation :

des polices vie privées existantes (renforcement du consentement/meilleure lisibilité)

des contrats existants.

Limitation des risques dus aux brèches de sécurité :

anonymisation/chiffrement des données si possible, éviter de devoir notifier une fuite de données éviter la publicité que cela entraîne

rapidité de réaction, grâce à une procédure


Mise en œuvre progressive

Formation du personnel : à la nouvelle mentalité privacy by design/privacy by default au délai de 8 semaines nécessaire pour avis préalable aux procédures mises en place.

Application de la procédure d’analyse d’impact aux traitements existants.

Amélioration de la tenue du registre des activités de traitement et des automatismes à adopter.

Effacement des données dont la conservation ne peut plus être justifiée et mise en œuvre d’un processus automatisé d’effacement des données pour l’avenir.


Perfectionnement

Simulation d’une brèche de sécurité

Simulation d’une « descente » de la Commission Vie Privée.

Communication publique quant aux efforts mis en place par l’entreprise.


La notification d’une brèche de sécurité est-elle négative pour l’entreprise ?

COMPLIANCE = BENEFICES d’un point de vue :

gestion des risques réputation économique


Pourquoi anticiper les futures règles?

Law

earlegal #3 - Vers un nouveau règlement sur la protection des données