Protection des données à caractère personnel

Les données à caractère personnel sont toutes les informations se rapportant à une personne physique (vivante) identifiée ou identifiable.

Ces données peuvent se rapporter à une personne physique de manière directe (par exemple le nom et prénom, une photo) ou indirecte ( ce sont des données qui peuvent être rattachées à une personne identifiée ou identifiable en les combinant avec d’autres données connues comme par exemple un numéro de téléphone, une plaque d’immatriculation ou un identifiant tel que le numéro de sécurité sociale, une adresse postale, la voix..).

Par traitement de données à caractère personnel, il faut comprendre toute opération ou tout ensemble d’opérations (comme l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction) appliquées à des données ou des ensembles de données à caractère personnel.

Au niveau de l’union européenne, le RGPD (Règlement Européen sur la Protection des Données à caractère personnel) est entré en vigueur le 25 mai 2018 et est directement applicable aux entreprises/organisations dont l’établissement est situé sur le territoire de l’Union, peu importe que les traitements de données à caractère personnel aient lieu ou non dans l’Union ainsi qu’aux entreprises/organisations se situant en dehors de l’UE mais qui offrent des biens ou services et/ou qui suivent le comportement de personnes physiques présentes sur le territoire de l’UE.

Les entreprises/organisations qui rentrent dans ce champ d’application doivent respecter tous les principes et obligations issus du RGPD (ainsi que le cas échéant les lois nationales ou européennes qui complètent le RGPD et s’appliquent en fonction du secteur d’activité, du type de données traitées ou de la finalité de certains traitements) pour tous les traitements de données à caractère personnel qui sont faits sous leur responsabilité.

(Par exemple chaque entreprise/organisation devra recenser tous les traitements de données à caractère personnel effectués dans le cadre de ses activités qu’il s’agisse de traitements internes concernant ses employés ou externes concernant des clients, devra évaluer les risques pour les personnes concernées et mettre en place des mesures de sécurité techniques et organisationnelles adéquates pour limiter ces risques, devra créer un registre des activités de traitement et établir les politiques et procédures externes et internes nécessaires pour répondre à ses obligations, devra conclure les contrats nécessaires avec ses sous-traitants, devra pouvoir encadrer et justifier les transferts de données en particulier en dehors de l’UE etc…

Le cas échéant l’entreprise/organisation devra également procéder à des analyses d’impact pour certains traitements à risque et nommer un DPO et/ou un représentant.)

En cas de violation du RGPD une entreprise/organisation s’expose potentiellement (selon la gravité et en plus de subir une atteinte à sa réputation/marque si la violation est rendue publique par la presse ou suite à une décision de l’Autorité ou judiciaire) à diverses sanctions et ou actions en justice comme par exemple (au niveau de l’UE) :

  • Des amendes administratives (pouvant atteindre les 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent) ainsi que d’autres sanctions (par exemple : une astreinte, le gel de certains traitements ou activités) pouvant être infligées par l’Autorité de protection des donnée nationale compétente ;
  • Si une violation crée un dommage matériel ou moral, la partie lésée peut également intenter des actions civiles devant les cours et tribunaux compétents afin de faire cesser une violation et/ou de réclamer des dommages et intérêts  ;
  • Les associations de protection des consommateurs ou des associations actives dans le domaine de la protection des droits et libertés des personnes concernées peuvent dans certains cas représenter une personne ou un groupe de personnes concernées et introduire des actions individuelles ou collectives ;
  • Des actions judiciaires peuvent aussi potentiellement être initiées par concurrents (entreprises) qui estimeraient que certaines violations  constitueraient aussi des pratiques commerciales déloyales ;
  • Dans certains cas spécifiques des violations concernant la protection des données à caractère personnel peuvent emporter des sanctions pénales (en présence de certaines circonstances aggravantes).

Il est donc nécessaire pour les entreprises/organisations soumises au RGPD (et le cas échéant tout autre lois concernant la protection des données à caractère personnel qui seraient aussi applicables : comme par exemple des règles nationales et européennes qui complètent le RGPD en fonction du secteur d’activité, du type de données traitées ou de la finalité du traitement ou des lois étrangères si l’entreprise/organisation traite aussi les données de personnes se situant en dehors de l’UE) de prendre à temps les mesures nécessaires afin de pouvoir identifier tous les traitements de données à caractère personnel qu’elles effectuent et pouvoir démontrer qu’elles respectent les obligations légales qui lui sont applicables.

Il est également conseillé qu’une entreprise/organisation mette en place un programme de protection des données à caractère personnel qui tient compte de ses spécificités (appétit pour le risque, secteur) et de sa mission, afin de pouvoir maintenir sa conformité (tenir compte par exemple des nouveaux traitements de données/nouveaux risques/nouvelles évolutions technologiques et pouvoir mesurer l’efficacité des mesures en place) sur le long terme.

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la mise en conformité générale de votre entreprise/organisation et/ou la création d’un programme de protection des données à caractère personnel.

MD-LEX vous conseille et défend dans le cadre d’une plainte ou un litige devant l’Autorité de Protection des données et propose des services de DPO externalisé (si vous devez nommer un DPO).

Pour un premier entretien vous pouvez prendre contact via le formulaire de contact, par mail à info@md-lex.be.

Plus précisément, dans ce domaine le cabinet MD-LEX propose les services suivants :

Audit et mise en conformité de votre entreprise.

  • Dans une première phase, MD-LEX vous aide à lancer un audit de votre entreprise/organisation pour : 1/ Cartographier tous les traitements de données à caractère personnel de votre entreprise/organisation ainsi que vos bases de données (si cela n’est pas déjà fait), 2/ Identifier les règles applicables et vos obligations en fonction des traitements que vous effectuez et de vos activités, 3/ Évaluer les mesures et processus déjà en place dans votre entreprise/organisation et 4/ Identifier les risques pour les personnes concernées et la réputation de votre entreprise/organisation et les lacunes en matière de conformité ;
  • Dans une seconde étape MD-LEX en concertation avec la direction de l’entreprise/organisation peut proposer des mesures pour : 1/ Vous conseiller pour limiter ou supprimer les risques identifiés et adresser les lacunes (sur le plan légal et organisationnel) afin de vous permettre d’atteindre un premier niveau de conformité acceptable. 2/ Vous aider a définir les contours de votre programme de protection des données à caractère personnel et l’implémenter.
  • Pour l’implémentation de mesures techniques nécessaires pour pouvoir garantir la confidentialité, l’intégrité et la disponibilité de vos données à caractère personnel ou pour pouvoir automatiser certains process (comme la suppression ou de données à caractère personnel ciblées à la fin de leur période de rétention ou pour pouvoir assurer le suivi et l’exécution de l’exercice des droits des personnes concernées),  MD-LEX peut vous mettre en contact avec des partenaires fiables actifs dans le secteur de la sécurité de l’information capables de mettre en place ces mesures pour vous.

Consultations juridiques, rédaction des contrats et politiques nécessaires et encadrement des transferts internationaux.

  • Consultations juridiques (avis et analyses concernant une question/problématique spécifique) ;
  • Mise à jour ou rédaction du registre des activités de traitement et des politiques externes et internes de votre entreprise/organisation (par exemple : la politique vie privée concernant les clients et celle pour les employés, la politique de rétention des données etc.)
  • Rédaction et négociation de contrats de sous-traitance de données à caractère personnel (ou de partage de données) avec vos sous-traitants ou partenaires;
  • Adaptation des SCC (clauses standards de la commission de l’UE) pour encadrer des transferts internationaux de données à caractère personnel ;
  • Aide pour la mise en place de BCR (règles d’entreprises contraignantes) et les faire valider par l’autorité compétente.

      

 

Mise en place des procédures internes et formation du personnel.

  • Mise en place d’une procédure interne pour répondre aux demandes de personnes concernées ;
  • Mise en place d’une procédure interne pour la gestion d’une violation de données à caractère personnel ;
  • Mise en place de procédures pour identifier quand une analyse d’impact de traitements à risque (DPIA) est nécessaire et lancer cette analyse ;
  • Mise en place d’une procédure pour mener une analyse nécessaire dans le cadre d’un transfert international de données à caractère personnel vers un pays hors de l’UE ne bénéficiant pas d’une décision d’adéquation (DTIA) ;
  • Mise en place de procédures pour pouvoir évaluer vos sous-traitants ou partenaires potentiels au niveau du respect de règles en matière de protection des données à caractère personnel ;
  • Mise en place de procédure pour intégrer la protection des données à caractère personnel dans un nouveau projet (Privacy by design & by default) ;
  • Formations du personnel/management (formations adaptées en tenant compte des activités de votre entreprise/organisation et du département concerné) ;

Défense de vos droits devant les autorités compétentes et services de DPO (délégué à la protection des données).

  • Assistance et représentation pour les personnes concernées (et/ou les entreprises/organisations qui les représentent) pour déposer une réclamation ou demander une médiation auprès de l’Autorité de protection des données ;
  • Assistance et représentation des entreprises/organisations faisant l’objet  d’une investigation du Service d’Inspection de l’Autorité de protection des données ;
  • Assistance et représentation pour des particuliers et des entreprises/organisations devant la Chambre Contentieuse de l’Autorité de protection des donnée ou lors d’un contentieux devant une autre  juridiction compétente (par exemple : actions en cessation devant le président du TPI, demande de dommages ou appel d’une décision de l’Autorité devant la Cour des marchés).
  • Si vous avez l’obligation de nommer un DPO (délégué à la protection des données), MD-LEX propose aussi des services de DPO externalisé (qui remplira les obligations décrites à l’article 39 du RGPD pour votre entreprise/organisation) sur base d’un forfait mensuel correspondant à une disponibilité convenue avec le client.

Besoin d'un conseil ?

N'hésitez pas à prendre contact.

 

Prendre contact

Articles traitants de ces matières :

Consulter tous les articles