Protection des données à caractère personnel

Le RGPD (Règlement Européen sur la Protection des Données à caractère personnel) impose aux entreprises/organisations qui se trouvent sur le territoire de l’UE ainsi qu’aux entreprises se situant en dehors de l’UE et qui offrent des biens ou services et/ou qui suivent le comportement de personnes physiques présentes sur le territoire de l’UE d’identifier et de justifier tous leurs traitements de données à caractère personnel (toute collecte, accès, transferts ou manipulation de données permettant d’identifier des personnes physiques directement ou indirectement que ce soit pour le compte de l’entreprise/organisation elle-même ou selon les instructions d’un tiers ) et de savoir démontrer que ces traitements respectent tous les principes et obligations du RGPD.   

En plus de l’application du RGPD, d’autres textes réglementaires relatifs à la protection des données à caractère personnel (européens ou nationaux en fonction par exemple des activités ou de la situation géographique de l’entreprise/organisation) ou dans des domaines complémentaires comme celui de la sécurité des systèmes d’information, la cybersécurité ou les règles encadrant les communications électroniques sont susceptibles d’être applicables et de créer des obligations supplémentaires.

Enfin, si une entreprise/organisation soumise au RGPD traite également des données à caractère personnel de personnes physiques situées en dehors de l’UE, il lui faudra aussi tenir compte lors de sa mise en conformité de l’application éventuelle de législations en vigueur dans les pays tiers concernés.

En cas de violation du RGPD et/ou des autres réglementations applicables en matière de protection des données à caractère personnel, une entreprise/organisation s’expose potentiellement (en plus de subir une atteinte à sa réputation/marque) à diverses sanctions et ou actions en justice ce qui comprends :

  • Des amendes administratives (pouvant atteindre les 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global de l’entreprise)  infligées par l’Autorité de protection des donnée nationale compétente ainsi que d’autres mesures (suite à une réclamation d’une personne concernée ou sur base d’un contrôle d’office) ;
  • Des actions civiles intentées par des personnes concernées devant les cours et tribunaux afin de faire cesser une violation et/ou de réclamer des dommages et intérêts pour un dommage subi ;
  • Des actions collectives intentées par des organisations sans but lucratif actives dans le domaines de la protection des données qui ont été mandatées par un groupe de personnes concernées ;
  • Des actions intentées par des concurrents (entreprises) qui estimeraient que certaines violations commise par une entreprise porteraient atteinte à leurs intérêts et constitueraient de ce fait des pratiques commerciales déloyales ;
  • (Selon une jurisprudence récentes de la CJUE) – Des actions en justice initiées par des associations de protection des consommateurs qui estimeraient qu’une violation en matière de protection des données à caractère personnel commise par une entreprise serait susceptible de porter atteinte aux intérêts des consommateurs ;
  • Dans certains cas les violations des réglementations concernant la protection des données à caractère personnel peuvent également emporter des sanctions pénales (en présence de certaines circonstances aggravantes qui se superposent à la violation).

Afin de pouvoir limiter ses risques et réagir adéquatement aux nouvelles situations concernant des données à caractère personnel qui surviendront inévitablement (par exemple l’utilisation de nouvelles technologies, la nécessité d’effectuer un transfert de données à caractère personnel vers un partenaire dans un pays hors de l’UE, la survenance d’une fuite de données etc..), il ne suffit pas pour une entreprise/organisation de penser en terme de “compliance ponctuelle” (mise en conformité à un moment donné qui repose principalement sur la rédaction des documents servant à démontrer le respect de la législation) mais plutôt en terme de “program managment”. 

Concrètement, la mise en place d’un programme de protection des données à caractère personnel commence d’abord en l’identification de ses objectifs généraux en termes de protection des données à caractère personnel (mission ou vision) en tenant compte de sa culture d’entreprise, de la nature de ses activités, de ses moyens et des risques identifiés.

Sur cette base, il sera possible pour l’entreprise/organisation de définir sa stratégie et de choisir un  cadre  (qui repose notamment sur  l’adoption et l’évaluation régulière des mesures et procédures internes, la mise en place et l’utilisation d’indicateurs de performance, la création de formations ciblées pour chaque département etc…).

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la rédaction de contrats, une assistance concernant la mise en conformité et/ou la création d’un programme de protection des données à caractère personnel de votre entreprise/organisation, la défense de vos droits dans le cadre d’un litige, d’une réclamation ou d’une investigation, des services de délégué à la protection des données.

(Prise de contact confidentielle pour un premier entretien via le formulaire de contact sur la page “à propose et contact”, par mail à info@md-lex.be ou par téléphone au + 32 (0)2 891 48 77 : ).

Plus précisément, dans ce domaine le cabinet MD-LEX propose les services suivants :

Mise en place d'un programme de protection des données à caractère personnel

Vous venez de lancer votre nouvelle activité et vous avez besoin d’aide pour définir votre programme de protection des données à caractère personnel.

Vous avez déjà accompli des actions dans le but de vous mettre en conformité mais vous souhaitez compléter ou mettre à jour votre programme.

Consultation juridique, contrats ou aide lors d'une analyse.

Vous souhaitez réaliser une consultation juridique en lien avec un projet ou une question spécifique.

Vous devez rédiger des contrats par exemple pour encadrer le traitement de données personnelles par un sous-traitant pour votre compte ou pour encadre un transfert.

Vous devez réaliser une analyse dans un cas précis.

Par exemple l’analyse d’un nouveau fournisseur ou processus ou  une AIPD (analyse de protection des données) obligatoire pour un nouveau traitement envisagé ou dans le cadre d’un transfert de données hors de l’UE.                   

 

Délégué à la protection des données en tant que service

Vous avez besoin de nommer un délégué à la protection des données qui soit disponible un certain nombre d’heure par mois  car vous ne pouvez pas vous permettre de nommer quelqu’un de votre équipe ou à temps plein.

Défense de vos droits

Vous estimez qu’un responsable du traitement ou un sous-traitant a violé vos droits ou porte atteinte à vos intérêts et vous voudriez savoir quelles sont vos options.

Vous devez en tant que responsable d’un traitement ou sous-traitant vous défendre contre une personne concernée qui estime que vous avez violé ses droits en vertu du RGPD.

Besoin d'un conseil ?

N'hésitez pas à prendre contact.

Vous obtiendrez une première réponse rapide et fiable.

La première prise de contact (téléphonique ou via vidéo-conférence, de maximum 30 minutes et ayant pour but d'identifier votre demande et vous faire une proposition) ne vous sera pas facturée.

Articles traitants de ces matières :

La difficile articulation entre la directive sur les prestations de services de paiement et le RGPD.

La difficile articulation entre la directive sur les prestations de services de paiement et le RGPD.

La directive DSP II (directive sur les services de paiement) qui encadre l'accès aux prestations de services de paiement à de nouveaux acteurs (autres que les banques appelés tiers fournisseurs ou Third Party Providers) ainsi que la fourniture de nouveaux types de...

lire plus
EN FR