Règlement européen sur la protection des données personnelles - FAQ Questions fréquemment posées sur la législation européenne sur la protection des données personnelles Quelle est la différence entre le Règlement européen sur la protection des données personnelles, le Règlement général sur la protection des données (RGPD) et le General Data Protection Regulation (GDPR) ? Il n’y a aucune différence, ce sont trois dénominations différentes pour désigner la même législation européenne sur la protection des données personnelles. Dans cette foire aux questions, nous utiliserons la première dénomination. À partir de quand le Règlement européen sur la protection des données personnelles entre-t-il en vigueur ? Le Règlement européen sur la protection des données personnelles entre en vigueur à partir du 25 mai 2018. Votre organisation a donc encore un an pour bien se préparer. Jusqu’à cette date, en Belgique, c’est encore la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui est d’application. (Un an, cela semble beaucoup, mais vous devez vraiment mettre en place les premières mesures dès à présent). Dois-je dès à présent commencer les préparatifs nécessaires en vue de la mise en place du Règlement européen sur la protection des données personnelles ? Nous vous conseillons de ne pas perdre de temps. Le 25 mai 2018 arrivera vite. Au sein des grandes organisations, l’élaboration et la mise en œuvre des plans d’action demandent souvent un certain temps. Qu’est-ce qui va changer par rapport à la situation actuelle ? Une fois que le Règlement européen sur la protection des données personnelles sera d’application, les organisations qui traitent des données personnelles auront davantage d’obligations. Le Règlement met davantage l’accent sur la responsabilité des organisations s’agissant du respect de la loi et de la nécessité où elles se trouvent de pouvoir démontrer qu’elles s’en tiennent à la loi (accountability). Cette obligation de documentation suppose que votre organisation se trouve en mesure de démontrer qu’elle a pris les mesures organisationnelles et techniques adéquates pour satisfaire à la Législation européenne sur la protection des données personnelles. Quelles sont les principales modifications à compter du 25 mai 2018 ? À partir du 25 mai 2018, une fois que le Règlement européen sur la protection des données personnelles sera d’application, votre organisation connaîtra les changements suivants : Vous pouvez vous retrouver dans l’obligation d’effectuer une étude d’impact sur le respect de la vie privée (Privacy Impact Assessment ou PIA). Vous pouvez vous retrouver dans l’obligation de désigner un délégué à la protection des données (Data Protection Officer ou DPO). Comment puis-je commencer à répondre aux exigences de la Législation européenne sur la protection des données personnelles ? Pour vous aider dans vos choix et dans les démarches à accomplir, nous avons rédigé une brochure et un plan par étapes. Vous y trouverez tout ce qu’il faut savoir sur le Règlement européen sur la protection des données personnelles et nous y indiquons concrètement quelles actions vous devriez entreprendre. Vous trouverez ici ces deux documents. Quand est-on obligé d’effectuer une Privacy Impact Assessment (PIA) ? Aussitôt que le Règlement européen sur le respect des données personnelles est d’application, vous êtes tenu d’effectuer une Privacy Impact Assessment (PIA) si : vous évaluez systématiquement et de manière approfondie des aspects personnels, notamment par un profilage ; vous traitez à grande échelle des catégories particulières de données ; vous effectuez une surveillance systématique à grande échelle d'une zone accessible au public (par exemple avec des caméras de surveillance). L’évaluation vous permet de voir quels sont les risques et de pouvoir prendre les mesures appropriées pour les limiter. La PIA est également appelée Data Protection Impact Assessment (DPIA). Conseil : l’intérêt de procéder à une PIA ne se limite pas à respecter la réglementation. Exécuter ou faire exécuter correctement une PIA peut vous donner de nombreux aperçus sur les risques que vous courez et servir de base pour établir un plan d’action. En outre, vous pouvez démontrer à vos collaborateurs, à vos clients et à d’autres parties prenantes que vous êtes conscient des risques cybernétiques et que vous y faites face de manière appropriée. Quels sont les droits supplémentaires qu’ont obtenus les personnes dont vous traitez les données personnelles (data subjects) ? Le Règlement européen sur la protection des données personnelles donne aux individus davantage de possibilités à se défendre dans le cadre du traitement de leurs données. Leurs droits (européens) en matière de respect des données personnelles sont renforcés et élargis. Cette Législation européenne sur la protection des données personnelles indique comment vous devez obtenir l’autorisation des personnes (les data subjects) pour pouvoir traiter leurs données personnelles. En outre, il doit être aussi facile pour les intéressés de retirer leur accord que de le donner. À côté du renforcement des droits existants, le Règlement européen sur la protection des données personnelles confère aux individus un certain nombre de droits supplémentaires. À côté du droit de demander à une organisation de supprimer leurs données personnelles, ils pourront bientôt exiger de cette organisation qu’elles transmettent cette suppression à toutes les autres tierces parties qui ont (indirectement) reçu les données en question. Les gens auront également bientôt (sous certaines conditions) le droit de recevoir de l’organisation leurs données personnelles sous un format standard. Ils pourront ainsi facilement transmettre leurs données à un autre fournisseur du même type de service. Il sera également possible de demander de transmettre directement ses données personnelles au nouveau prestataire de services. Ne pas prévoir de telles possibilités supplémentaires peut entraîner des actions en dommages et intérêts introduites contre l’organisation et débouchant sur des amendes imposées par les autorités chargées de faire respecter la législation sur le respect des données personnelles. Le Règlement européen sur la protection des données personnelles présente-t-il également des avantages pour mon organisation ? Même si nous ne devons pas sous-estimer les implications de la nouvelle réglementation et la charge administrative qui en découle, il y a également des avantages. Une fois que le Règlement européen sur la protection des données personnelles sera d’application, vous n’aurez plus à vous conformer qu’à une seule législation européenne si vous traitez des données personnelles. Si votre organisation est active dans plusieurs États membres de l’UE, la législation européenne sur la protection des données personnelles vous offre les avantages suivants : vous réduisez vos coûts administratifs et vous passez moins de temps à vous conformer à des législations différentes ; vous bénéficiez de davantage de sécurité juridique ; vous travaillez dans un contexte de concurrence égale (level playing field) car toutes les règles sont les mêmes pour toutes les entreprises de l’UE ; vous n’avez plus affaire qu’à une seule instance de contrôle (onestopshop). Que devient l’obligation de notifier les fuites de données ? Cette obligation de notification ne disparaît pas. Une fois que le Règlement européen sur la protection des données personnelles sera d’application, vous devrez donc toujours mentionner les fuites de données auprès de l’autorité de régulation (la commission de la protection de la vie privée). Quand devrais-je au plus tard désigner un délégué à la protection des données, ou data protection officer ? Aussitôt que le Règlement européen sur la protection des données personnelles sera d’application, vous serez obligés de désigner un délégué à la protection des données si votre organisation : est un organisme public (à l’exception des tribunaux dans l’exercice de leur fonction juridictionnelle) ; traite à grande échelle des catégories particulières de données personnelles et que ce traitement constitue une activité essentielle de l’organisation, comme chez les prestataires de soins ; assure un suivi des personnes à grande échelle (par exemple avec un profilage) et que cela constitue une activité essentielle de l’organisation, comme pour les banques et les compagnies d’assurances. Conseil : la Législation européenne sur la protection de la vie privée est nouvelle et certains points sont encore peu clairs. Évaluez par conséquent soigneusement les mesures à prendre et indiquez-les également sur papier. Que sont les délégués à la protection des données désignés conjointement et sur une base volontaire ? Quid si votre organisation n’appartient pas à l’une des catégories précitées (voir question précédente) ? Vous pouvez alors bien entendu désigner un délégué à la protection des données sur une base volontaire. Attention, ce délégué désigné sur une base volontaire est soumis aux mêmes règles que lorsque sa désignation est obligatoire. La commission de la protection de la vie privée, avec les autres instances européennes de contrôle de la protection de la vie privée, fournira des explications sur les conditions et les tâches du délégué à la protection des données. Vous pouvez aussi désigner au sein d’un groupe un délégué conjoint (par exemple via la fédération sectorielle). La condition à respecter est que ce délégué puisse facilement être contacté par tous les membres et/ou depuis tous les sites. Le Règlement européen sur le respect de la vie privée évoque une obligation relative à la privacy by design et à la privacy by default. Qu’est-ce que cela signifie ? L’obligation relative à la privacy by design (protection de la vie privée dès la conception) signifie que, dès la conception des produits et des services, vous devez veiller à la protection des données personnelles. L’obligation relative à la privacy by default (protection de la vie privée par défaut) signifie que vous devez prendre toutes les mesures techniques et organisationnelles pour veiller à faire respecter une norme suivant laquelle seules sont traitées les données personnelles qui sont nécessaires à l’objectif spécifique que vous voulez atteindre. Par exemple : en utilisant une app qui ne vous indique pas la localisation des utilisateurs enregistrés si cela n’est pas nécessaire ; en ne cochant pas au préalable sur votre site Internet la case ‘Oui, je souhaite recevoir des offres’ ; si quelqu’un souhaite s’abonner à votre lettre d’information, en ne lui demandant pas davantage de données que ce qui est nécessaire. Quand des amendes pourront-elles être imposées ? À compter du 25 mai 2018, les amendes pourront s’élever jusqu’à : 10 millions ou 2 % du chiffre d’affaires mondial pour des infractions spécifiques ; 20 millions ou 4 % du chiffre d’affaires mondial pour un ensemble plus important d’obligations. À côté de ces amendes, il y a également d’autres conséquences (financières) dont vous devez tenir compte, à savoir si : un client vous tient responsable du dommage subi ; l’instance de réglementation de la protection de la vie privée lance une enquête dans un autre pays. Une cyber-assurance peut-elle m’aider contre les conséquences d’une fuite de données ? Bien entendu, prévenir vaut toujours mieux que guérir. Mais si des problèmes surgissent malgré tout, une protection supplémentaire sous la forme d’une cyber-assurance peut être très utile. Elle offre en effet une couverture en matière de : responsabilité : indemnisation et assistance juridique en cas d’action de tiers suite à la perte de données personnelles et/ou d’informations de l’entreprise ; gestion de crise : coût d’une enquête/expertise, relations publiques, frais de notification à la clientèle, surveillance des crédits, services IT, services de réaction en cas de cyber-incident ; amendes : frais de l’enquête menée par une instance de contrôle, assistance juridique, amendes administratives ; médias numériques, indemnisation des frais de défense dans le cadre d’action de tiers à votre encontre qui découlent de vos activités multimédias - par exemple, diffamation ou plagiat ; extorsion cybernétique visant la vie privée, notamment ransomware ; piratage de central téléphonique, indemnisation des frais d’appel ; perte nette de bénéfices dans le cas d’une interruption du réseau. Au sein de mon organisation, qui doit être impliqué dans le dossier de la législation européenne sur la protection des données personnelles ? Nous constatons que dans de nombreuses entreprises, le suivi s’effectue au sein des départements ICT et/ou juridiques. Mais cette approche est trop limitée. Notre expérience nous apprend par exemple que les départements marketing et RH envisagent tout autrement les risques cybernétiques et les fuites possibles de données, et par conséquent adoptent également d’autres mesures pour limiter les risques, le tout souvent sans concertation avec le département juridique ou ICT. C’est ainsi qu’il peut arriver que le travail soit confié par exemple à un acteur en Inde, sans que d’autres services en soient informés, et que des données de citoyens belges se retrouvent en Inde. Notre meilleur conseil est de gérer cette réglementation et les risques afférents au niveau du conseil d’administration et de créer une prise de conscience dans l’ensemble de l’organisation. Même au niveau du développement des produits, en vertu du concept de privacy by design, il est nécessaire d’avoir des notions des obligations et des risques possibles.
Règlement européen sur la protection des données personnelles - FAQ Questions fréquemment posées sur la législation européenne sur la protection des données personnelles
Quelle est la différence entre le Règlement européen sur la protection des données personnelles, le Règlement général sur la protection des données (RGPD) et le General Data Protection Regulation (GDPR) ? Il n’y a aucune différence, ce sont trois dénominations différentes pour désigner la même législation européenne sur la protection des données personnelles. Dans cette foire aux questions, nous utiliserons la première dénomination. À partir de quand le Règlement européen sur la protection des données personnelles entre-t-il en vigueur ? Le Règlement européen sur la protection des données personnelles entre en vigueur à partir du 25 mai 2018. Votre organisation a donc encore un an pour bien se préparer. Jusqu’à cette date, en Belgique, c’est encore la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui est d’application. (Un an, cela semble beaucoup, mais vous devez vraiment mettre en place les premières mesures dès à présent). Dois-je dès à présent commencer les préparatifs nécessaires en vue de la mise en place du Règlement européen sur la protection des données personnelles ? Nous vous conseillons de ne pas perdre de temps. Le 25 mai 2018 arrivera vite. Au sein des grandes organisations, l’élaboration et la mise en œuvre des plans d’action demandent souvent un certain temps. Qu’est-ce qui va changer par rapport à la situation actuelle ? Une fois que le Règlement européen sur la protection des données personnelles sera d’application, les organisations qui traitent des données personnelles auront davantage d’obligations. Le Règlement met davantage l’accent sur la responsabilité des organisations s’agissant du respect de la loi et de la nécessité où elles se trouvent de pouvoir démontrer qu’elles s’en tiennent à la loi (accountability). Cette obligation de documentation suppose que votre organisation se trouve en mesure de démontrer qu’elle a pris les mesures organisationnelles et techniques adéquates pour satisfaire à la Législation européenne sur la protection des données personnelles. Quelles sont les principales modifications à compter du 25 mai 2018 ? À partir du 25 mai 2018, une fois que le Règlement européen sur la protection des données personnelles sera d’application, votre organisation connaîtra les changements suivants : Vous pouvez vous retrouver dans l’obligation d’effectuer une étude d’impact sur le respect de la vie privée (Privacy Impact Assessment ou PIA). Vous pouvez vous retrouver dans l’obligation de désigner un délégué à la protection des données (Data Protection Officer ou DPO). Comment puis-je commencer à répondre aux exigences de la Législation européenne sur la protection des données personnelles ? Pour vous aider dans vos choix et dans les démarches à accomplir, nous avons rédigé une brochure et un plan par étapes. Vous y trouverez tout ce qu’il faut savoir sur le Règlement européen sur la protection des données personnelles et nous y indiquons concrètement quelles actions vous devriez entreprendre. Vous trouverez ici ces deux documents. Quand est-on obligé d’effectuer une Privacy Impact Assessment (PIA) ? Aussitôt que le Règlement européen sur le respect des données personnelles est d’application, vous êtes tenu d’effectuer une Privacy Impact Assessment (PIA) si : vous évaluez systématiquement et de manière approfondie des aspects personnels, notamment par un profilage ; vous traitez à grande échelle des catégories particulières de données ; vous effectuez une surveillance systématique à grande échelle d'une zone accessible au public (par exemple avec des caméras de surveillance). L’évaluation vous permet de voir quels sont les risques et de pouvoir prendre les mesures appropriées pour les limiter. La PIA est également appelée Data Protection Impact Assessment (DPIA). Conseil : l’intérêt de procéder à une PIA ne se limite pas à respecter la réglementation. Exécuter ou faire exécuter correctement une PIA peut vous donner de nombreux aperçus sur les risques que vous courez et servir de base pour établir un plan d’action. En outre, vous pouvez démontrer à vos collaborateurs, à vos clients et à d’autres parties prenantes que vous êtes conscient des risques cybernétiques et que vous y faites face de manière appropriée. Quels sont les droits supplémentaires qu’ont obtenus les personnes dont vous traitez les données personnelles (data subjects) ? Le Règlement européen sur la protection des données personnelles donne aux individus davantage de possibilités à se défendre dans le cadre du traitement de leurs données. Leurs droits (européens) en matière de respect des données personnelles sont renforcés et élargis. Cette Législation européenne sur la protection des données personnelles indique comment vous devez obtenir l’autorisation des personnes (les data subjects) pour pouvoir traiter leurs données personnelles. En outre, il doit être aussi facile pour les intéressés de retirer leur accord que de le donner. À côté du renforcement des droits existants, le Règlement européen sur la protection des données personnelles confère aux individus un certain nombre de droits supplémentaires. À côté du droit de demander à une organisation de supprimer leurs données personnelles, ils pourront bientôt exiger de cette organisation qu’elles transmettent cette suppression à toutes les autres tierces parties qui ont (indirectement) reçu les données en question. Les gens auront également bientôt (sous certaines conditions) le droit de recevoir de l’organisation leurs données personnelles sous un format standard. Ils pourront ainsi facilement transmettre leurs données à un autre fournisseur du même type de service. Il sera également possible de demander de transmettre directement ses données personnelles au nouveau prestataire de services. Ne pas prévoir de telles possibilités supplémentaires peut entraîner des actions en dommages et intérêts introduites contre l’organisation et débouchant sur des amendes imposées par les autorités chargées de faire respecter la législation sur le respect des données personnelles. Le Règlement européen sur la protection des données personnelles présente-t-il également des avantages pour mon organisation ? Même si nous ne devons pas sous-estimer les implications de la nouvelle réglementation et la charge administrative qui en découle, il y a également des avantages. Une fois que le Règlement européen sur la protection des données personnelles sera d’application, vous n’aurez plus à vous conformer qu’à une seule législation européenne si vous traitez des données personnelles. Si votre organisation est active dans plusieurs États membres de l’UE, la législation européenne sur la protection des données personnelles vous offre les avantages suivants : vous réduisez vos coûts administratifs et vous passez moins de temps à vous conformer à des législations différentes ; vous bénéficiez de davantage de sécurité juridique ; vous travaillez dans un contexte de concurrence égale (level playing field) car toutes les règles sont les mêmes pour toutes les entreprises de l’UE ; vous n’avez plus affaire qu’à une seule instance de contrôle (onestopshop). Que devient l’obligation de notifier les fuites de données ? Cette obligation de notification ne disparaît pas. Une fois que le Règlement européen sur la protection des données personnelles sera d’application, vous devrez donc toujours mentionner les fuites de données auprès de l’autorité de régulation (la commission de la protection de la vie privée). Quand devrais-je au plus tard désigner un délégué à la protection des données, ou data protection officer ? Aussitôt que le Règlement européen sur la protection des données personnelles sera d’application, vous serez obligés de désigner un délégué à la protection des données si votre organisation : est un organisme public (à l’exception des tribunaux dans l’exercice de leur fonction juridictionnelle) ; traite à grande échelle des catégories particulières de données personnelles et que ce traitement constitue une activité essentielle de l’organisation, comme chez les prestataires de soins ; assure un suivi des personnes à grande échelle (par exemple avec un profilage) et que cela constitue une activité essentielle de l’organisation, comme pour les banques et les compagnies d’assurances. Conseil : la Législation européenne sur la protection de la vie privée est nouvelle et certains points sont encore peu clairs. Évaluez par conséquent soigneusement les mesures à prendre et indiquez-les également sur papier. Que sont les délégués à la protection des données désignés conjointement et sur une base volontaire ? Quid si votre organisation n’appartient pas à l’une des catégories précitées (voir question précédente) ? Vous pouvez alors bien entendu désigner un délégué à la protection des données sur une base volontaire. Attention, ce délégué désigné sur une base volontaire est soumis aux mêmes règles que lorsque sa désignation est obligatoire. La commission de la protection de la vie privée, avec les autres instances européennes de contrôle de la protection de la vie privée, fournira des explications sur les conditions et les tâches du délégué à la protection des données. Vous pouvez aussi désigner au sein d’un groupe un délégué conjoint (par exemple via la fédération sectorielle). La condition à respecter est que ce délégué puisse facilement être contacté par tous les membres et/ou depuis tous les sites. Le Règlement européen sur le respect de la vie privée évoque une obligation relative à la privacy by design et à la privacy by default. Qu’est-ce que cela signifie ? L’obligation relative à la privacy by design (protection de la vie privée dès la conception) signifie que, dès la conception des produits et des services, vous devez veiller à la protection des données personnelles. L’obligation relative à la privacy by default (protection de la vie privée par défaut) signifie que vous devez prendre toutes les mesures techniques et organisationnelles pour veiller à faire respecter une norme suivant laquelle seules sont traitées les données personnelles qui sont nécessaires à l’objectif spécifique que vous voulez atteindre. Par exemple : en utilisant une app qui ne vous indique pas la localisation des utilisateurs enregistrés si cela n’est pas nécessaire ; en ne cochant pas au préalable sur votre site Internet la case ‘Oui, je souhaite recevoir des offres’ ; si quelqu’un souhaite s’abonner à votre lettre d’information, en ne lui demandant pas davantage de données que ce qui est nécessaire. Quand des amendes pourront-elles être imposées ? À compter du 25 mai 2018, les amendes pourront s’élever jusqu’à : 10 millions ou 2 % du chiffre d’affaires mondial pour des infractions spécifiques ; 20 millions ou 4 % du chiffre d’affaires mondial pour un ensemble plus important d’obligations. À côté de ces amendes, il y a également d’autres conséquences (financières) dont vous devez tenir compte, à savoir si : un client vous tient responsable du dommage subi ; l’instance de réglementation de la protection de la vie privée lance une enquête dans un autre pays. Une cyber-assurance peut-elle m’aider contre les conséquences d’une fuite de données ? Bien entendu, prévenir vaut toujours mieux que guérir. Mais si des problèmes surgissent malgré tout, une protection supplémentaire sous la forme d’une cyber-assurance peut être très utile. Elle offre en effet une couverture en matière de : responsabilité : indemnisation et assistance juridique en cas d’action de tiers suite à la perte de données personnelles et/ou d’informations de l’entreprise ; gestion de crise : coût d’une enquête/expertise, relations publiques, frais de notification à la clientèle, surveillance des crédits, services IT, services de réaction en cas de cyber-incident ; amendes : frais de l’enquête menée par une instance de contrôle, assistance juridique, amendes administratives ; médias numériques, indemnisation des frais de défense dans le cadre d’action de tiers à votre encontre qui découlent de vos activités multimédias - par exemple, diffamation ou plagiat ; extorsion cybernétique visant la vie privée, notamment ransomware ; piratage de central téléphonique, indemnisation des frais d’appel ; perte nette de bénéfices dans le cas d’une interruption du réseau. Au sein de mon organisation, qui doit être impliqué dans le dossier de la législation européenne sur la protection des données personnelles ? Nous constatons que dans de nombreuses entreprises, le suivi s’effectue au sein des départements ICT et/ou juridiques. Mais cette approche est trop limitée. Notre expérience nous apprend par exemple que les départements marketing et RH envisagent tout autrement les risques cybernétiques et les fuites possibles de données, et par conséquent adoptent également d’autres mesures pour limiter les risques, le tout souvent sans concertation avec le département juridique ou ICT. C’est ainsi qu’il peut arriver que le travail soit confié par exemple à un acteur en Inde, sans que d’autres services en soient informés, et que des données de citoyens belges se retrouvent en Inde. Notre meilleur conseil est de gérer cette réglementation et les risques afférents au niveau du conseil d’administration et de créer une prise de conscience dans l’ensemble de l’organisation. Même au niveau du développement des produits, en vertu du concept de privacy by design, il est nécessaire d’avoir des notions des obligations et des risques possibles.
Le règlement européen sur la protection des données personnelles Aperçu RGPD Foire aux questions RGPD (GDPR)