Protection des données à caractère personnel

Les données à caractère personnel sont toutes les données qui permettent d’identifier directement ou indirectement (en les combinant avec d’autres données ou informations) des personnes physiques vivantes.

Par traitement (définition valable pour les pays de l’UE), il faut comprendre tout accès, exploitation, manipulation ou conservation de données à caractère personnel qui sont destinées à figurer dans un fichier.

Au niveau de l’union européenne, le RGPD (Règlement Européen sur la Protection des Données à caractère personnel entré en vigueur le 25 mai 2018) impose aux entreprises/organisations qui se trouvent sur le territoire de l’UE mais également aux entreprises/organisations se situant en dehors de l’UE et qui offrent des biens ou services et/ou qui suivent le comportement de personnes physiques présentes sur le territoire de l’UE d’avoir identifié tous leurs traitements de données à caractère personnel  et de savoir démontrer que ces traitements respectent tous les principes et obligations du RGPD.

En plus du RGPD, les entreprises ou organisations qui y sont soumises doivent tenir compte de l’application potentielle d’autres textes réglementaires européens et nationaux concernant la protection des données à caractère personnel qui prévoient des obligations spécifiques en fonction notamment du secteur d’activité, des catégories de données à caractère personnel traitées et des traitements envisagés.

Enfin si une entreprise/organisation soumise au RGPD traite des données de personnes qui ne se situent pas sur le territoire de l’UE ou compte transférer des données vers un pays tiers il lui faudra également tenir compte des règles applicables dans les pays tiers concernés et vérifier (au niveau des transferts) si le pays bénéficie d’une décision d’adéquation de la Commission ou si il faut mettre en place d’autres mécanismes et analyses.

En cas de violation du RGPD et/ou des autres réglementations applicables en matière de protection des données à caractère personnel, une entreprise/organisation s’expose potentiellement (en plus de subir une atteinte à sa réputation/marque) à diverses sanctions et ou actions en justice (*les sanctions et procédures évoquées ci-dessous concernent les entreprises/organisations qui sont soumises au RGPD ainsi qu’aux lois belges):

  • Des amendes administratives (pouvant atteindre les 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global de l’entreprise) et d’autres sanctions infligées par l’Autorité de protection des donnée nationale compétente suite à une réclamation d’une personne concernée ou sur base d’une inspection d’office ;
  • Des actions judiciaires civiles intentées par des personnes concernées ou par une organisation sans but lucratif active dans le domaine de protection des données qui les représentent afin de faire cesser une violation et/ou de réclamer des dommages et intérêts  ;
  • Des actions judiciaires initiées par des associations de protection des consommateurs (par exemple Test Achat qui estimeraient qu’une violation en matière de protection des données à caractère personnel serait également susceptible de porter atteinte aux intérêts des consommateurs ;
  • Des actions judiciaires intentées par des concurrents (entreprises) qui estimeraient que certaines violations commise par une entreprise  constitueraient des pratiques commerciales déloyales ;
  • Dans certains cas les violations des réglementations concernant la protection des données à caractère personnel peuvent également emporter des sanctions pénales (en présence de certaines circonstances aggravantes qui se superposent à la violation).

Afin d’éviter des sanctions/procédures ainsi qu’une une atteinte à sa réputation, il est donc nécessaire pour une entreprise/organisation soumise au RGPD (ou tout autre cadre légal régissant la protection des données à caractère personnel) de prendre les mesures nécessaires pour pouvoir identifier tous les traitements de données à caractère personnel qu’elle effectue et pouvoir démontrer qu’elle respecte les obligations légales qui lui sont applicables.

Il est également conseillé qu’une entreprise/organisation mette en place un programme de protection des données à caractère personnel qui tient compte de ses spécificités et qui repose sur un cadre adéquat afin de pouvoir faire face aux nouvelles situations et assurer de manière pérenne le traitement conforme des données à caractère personnel dont elle a la charge.

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la rédaction de contrats ou une assistance concernant la mise en conformité et/ou la création d’un programme de protection des données à caractère personnel pour votre entreprise. MD-LEX vous conseille également concernant la défense de vos droits dans le cadre d’une plainte ou un litige devant l’Autorité de Protection des données.

(Pour un premier entretien vous pouvez prendre contact via le formulaire de contact, par mail à info@md-lex.be ou par téléphone au + 32 (0)2 891 48 77).

Plus précisément, dans ce domaine le cabinet MD-LEX propose les services suivants :

Mise en conformité, formations, assistance pour mener des analyses d'impact, pour implémenter les principes data privacy by design & by default et pour analyser les risques liés aux transferts internationaux.

  • Compliance assessment (Audit de votre entreprise/organisation pour évaluer le niveau de conformité déjà atteint) et assistance pour la mise en conformité (politiques internes et externe, registre, conseils..) ;
  • Formations du personnel/management (en tenant compte des activités de votre entreprise/organisation) ;
  • Développement de votre programme de protection des données à caractère personnel ;
  • Assistance pour réaliser une/des analyse(s) d’impact ;
  • Assistance pour mener une analyse nécessaire dans le cadre d’un transfert international de données à caractère personnel vers un pays hors de l’UE ne bénéficiant pas d’une décision d’adéquation ;
  • Assistance pour intégrer la protection des données à caractère personnel dans un nouveau projet (Privacy by design & by default).

Consultations juridiques, rédaction de contrats.

  • Consultations juridiques (avis et analyses concernant une question/problématique spécifique) ;
  • Rédaction et négociation de contrats :
  • rédaction de contrats de sous-traitance de données à caractère personnel;
  • adaptation des SCC (clauses standards de la commission de l’UE) pour encadrer des transferts internationaux de données à caractère personnel ;
  • rédaction de contrats pour le partage de données, dans le cas de contrôleurs conjoints ou indépendants, etc…

      

 

Assistance concernant les demandes de personnes concernées et assistance dans le cadre de violations/fuites de données.

  • Assistance pour répondre aux demandes de personnes concernées  ;
  • Assistance pour la gestion d’une violation de données à caractère personnel.

Réclamations et défense de vos droits.

  • Assistance aux personnes concernées (et aux organisations qui les représentent) pour déposer une réclamation, demander une médiation auprès de l’Autorité de protection des données ;
  • Assistance aux entreprises/organisations pour faire face à une investigation de l’Autorité de protection des données et/ou se défendre dans le cadre devant la Chambre Contentieuse de l’Autorité de protection des données ; (En cas de litige devant les cours et tribunaux MD-LEX vous met en contact avec un avocat).

Besoin d'un conseil ?

N'hésitez pas à prendre contact.

Vous obtiendrez une première réponse rapide et fiable.

La première prise de contact (téléphonique ou via vidéo-conférence, de maximum 30 minutes et ayant pour but  de mieux identifier votre demande pour vous donner une estimation) ne vous sera pas facturée.

Articles traitants de ces matières :

Jamais deux sans trois : la Commission prend une décision d’adéquation pour valider le “cadre de protection des données UE-Etats-Unis”.

Jamais deux sans trois : la Commission prend une décision d’adéquation pour valider le “cadre de protection des données UE-Etats-Unis”.

Le 10 juillet 2023, la Commission européenne a adopté sa décision d'adéquation concernant "le cadre de protection des données UE - États-Unis". Elle conclut que les États-Unis garantissent un niveau de protection adéquat - par rapport à celui de l'UE - pour les...

lire plus