Protection des données à caractère personnel

Les données à caractère personnel sont toutes les informations se rapportant à une personne physique (vivante) identifiée ou identifiable.

Ces données peuvent se rapporter à une personne physique de manière directe (par exemple le nom et prénom, une photo) ou indirecte ( ce sont des données qui peuvent être rattachées à une personne identifiée ou identifiable en les combinant avec d’autres données connues comme par exemple un numéro de téléphone, une plaque d’immatriculation ou un identifiant tel que le numéro de sécurité sociale, une adresse postale, la voix..).

Par traitement de données à caractère personnel, il faut comprendre toute opération ou tout ensemble d’opérations (comme l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction) appliquées à des données ou des ensembles de données à caractère personnel.

Au niveau de l’union européenne, le RGPD (Règlement Européen sur la Protection des Données à caractère personnel) est entré en vigueur le 25 mai 2018 et est directement applicable aux entreprises/organisations dont l’établissement est situé sur le territoire de l’Union, peu importe que les traitements de données à caractère personnel aient lieu ou non dans l’Union ainsi qu’aux entreprises/organisations se situant en dehors de l’UE mais qui offrent des biens ou services et/ou qui suivent le comportement de personnes physiques présentes sur le territoire de l’UE.

Les entreprises/organisations qui rentrent dans ce champ d’application doivent respecter tous les principes et obligations issus du RGPD (ainsi que le cas échéant les lois nationales ou européennes qui complètent le RGPD et s’appliquent en fonction du secteur d’activité, du type de données traitées ou de la finalité de certains traitements) pour tous les traitements de données à caractère personnel qui sont faits sous leur responsabilité.

(Par exemple chaque entreprise/organisation devra recenser tous les traitements de données à caractère personnel effectués dans le cadre de ses activités qu’il s’agisse de traitements internes concernant ses employés ou externes concernant des clients, devra évaluer les risques pour les personnes concernées et mettre en place des mesures de sécurité techniques et organisationnelles adéquates pour limiter ces risques, devra créer un registre des activités de traitement et établir les politiques et procédures externes et internes nécessaires pour répondre à ses obligations, devra conclure les contrats nécessaires avec ses sous-traitants, devra pouvoir encadrer et justifier les transferts de données en particulier en dehors de l’UE etc… Le cas échéant l’entreprise/organisation devra également procéder à des analyses d’impact pour certains traitements à risque et nommer un DPO et/ou un représentant.)

En cas de violation du RGPD une entreprise/organisation s’expose potentiellement (selon la gravité et en plus de subir une atteinte à sa réputation/marque si la violation est rendue publique) à diverses sanctions et ou actions en justice comme par exemple (au niveau de l’UE) :

  • Des amendes administratives peuvent être infligées par l’autorité nationale compétente en matière de protection des données (en Belgique, l’Autorité de protection des données). Ces amendes peuvent atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. D’autres sanctions peuvent également être imposées, telles que des astreintes, la limitation ou l’interdiction temporaire ou définitive de certains traitements de données.
  • Lorsqu’une violation du droit à la protection des données cause un dommage matériel ou moral, la personne concernée peut intenter une action en justice devant les juridictions civiles compétentes, afin de faire cesser l’atteinte ou de réclamer une indemnisation pour le préjudice subi, sur base contractuelle ou extracontractuelle.
  • Des associations de consommateurs ou des organisations actives dans le domaine des droits fondamentaux peuvent, dans certains cas, introduire des actions collectives ou représenter des personnes concernées, conformément à la législation applicable.
  • Par ailleurs, des actions judiciaires peuvent également être introduites par des concurrents si ceux-ci estiment qu’un traitement illicite de données constitue une pratique commerciale déloyale ou contraire aux règles de la concurrence.
  • Enfin, dans certains cas spécifiques, des violations graves du droit applicable à la protection des données peuvent donner lieu à des sanctions pénales, notamment en cas de circonstances aggravantes prévues par la loi.

D’autre part, respecter le RGPD et les autres règles applicables en matière de protection des données à caractère personnel ne sert pas seulement à éviter des sanctions, c’est aussi un moyen de renforcer la confiance des clients, employés et partenaires et de protéger sa réputation (surtout dans certains secteurs d’activités ou les données traitées sont sensibles ou traitées à grande échelle).

Respecter ses obligations en matière de protection des données permet aussi de mieux structurer la gestion des informations, de renforcer la sécurité et la qualité des données, et d’identifier de nouvelles opportunités pour pouvoir les exploiter de manière efficace et conforme.

Il est donc nécessaire pour les entreprises/organisations soumises au RGPD (et le cas échéant tout autres lois concernant la protection des données à caractère personnel qui seraient aussi applicables en fonction du secteur d’activité, du type de données traitées, de la zone géographique etc..) de prendre à temps les mesures nécessaires afin de pouvoir identifier tous les traitements de données à caractère personnel qu’elles effectuent et démontrer qu’elles respectent les obligations légales qui lui sont applicables.

Il est également conseillé qu’une entreprise/organisation mette en place un programme de protection des données à caractère personnel qui tienne compte de ses spécificités (appétit pour le risque, secteur d’activité, mission, culture d’entreprise etc..) afin de pouvoir maintenir sa conformité sur le long terme (s’adapter aux nouveaux traitements de données, aux nouveaux risques et évolutions technologiques et pouvoir mesurer l’efficacité des mesures en place).

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la mise en conformité générale de votre entreprise/organisation et/ou la création d’un programme de protection des données à caractère personnel.

MD-LEX vous conseille et défend dans le cadre d’une plainte ou un litige devant l’Autorité de Protection des données et propose également des services de DPO externalisé (si vous devez nommer un DPO).

Pour un premier entretien vous pouvez prendre contact via le formulaire de contact, par mail à info@md-lex.be.

Plus précisément, dans ce domaine le cabinet MD-LEX propose les services suivants :

Audit et mise en conformité de votre entreprise.

  • Dans une première phase, MD-LEX vous aide à lancer un audit de votre entreprise/organisation pour : 1/ Cartographier tous les traitements de données à caractère personnel de votre entreprise/organisation ainsi que vos bases de données (si cela n’est pas déjà fait), 2/ Identifier les règles applicables et vos obligations en fonction des traitements que vous effectuez et de vos activités, 3/ Évaluer les mesures et processus déjà en place dans votre entreprise/organisation et 4/ Identifier les risques pour les personnes concernées et la réputation de votre entreprise/organisation et les lacunes en matière de conformité ;
  • Dans une seconde étape MD-LEX en concertation avec la direction de l’entreprise/organisation peut proposer des mesures pour : 1/ Vous conseiller pour limiter ou supprimer les risques identifiés et adresser les lacunes (sur le plan légal et organisationnel) afin de vous permettre d’atteindre un premier niveau de conformité acceptable. 2/ Vous aider a définir les contours de votre programme de protection des données à caractère personnel et l’implémenter.
  • Pour l’implémentation de mesures techniques nécessaires pour pouvoir garantir la confidentialité, l’intégrité et la disponibilité de vos données à caractère personnel ou pour pouvoir automatiser certains process (comme la suppression ou de données à caractère personnel ciblées à la fin de leur période de rétention ou pour pouvoir assurer le suivi et l’exécution de l’exercice des droits des personnes concernées),  MD-LEX peut vous mettre en contact avec des partenaires fiables actifs dans le secteur de la sécurité de l’information capables de mettre en place ces mesures pour vous.

Consultations juridiques, rédaction des contrats et politiques nécessaires et encadrement des transferts internationaux.

  • Consultations juridiques (avis et analyses concernant une question/problématique spécifique) ;
  • Mise à jour ou rédaction du registre des activités de traitement et des politiques externes et internes de votre entreprise/organisation (par exemple : la politique vie privée concernant les clients et celle pour les employés, la politique de rétention des données etc.)
  • Rédaction et négociation de contrats de sous-traitance de données à caractère personnel (ou de partage de données) avec vos sous-traitants ou partenaires;
  • Adaptation des SCC (clauses standards de la commission de l’UE) pour encadrer des transferts internationaux de données à caractère personnel ;
  • Aide pour la mise en place de BCR (règles d’entreprises contraignantes) et les faire valider par l’autorité compétente.

      

 

Mise en place des procédures internes et formation du personnel.

  • Mise en place d’une procédure interne pour répondre aux demandes de personnes concernées ;
  • Mise en place d’une procédure interne pour la gestion d’une violation de données à caractère personnel ;
  • Mise en place de procédures pour identifier quand une analyse d’impact de traitements à risque (DPIA) est nécessaire et lancer cette analyse ;
  • Mise en place d’une procédure pour mener une analyse nécessaire dans le cadre d’un transfert international de données à caractère personnel vers un pays hors de l’UE ne bénéficiant pas d’une décision d’adéquation (DTIA) ;
  • Mise en place de procédures pour pouvoir évaluer vos sous-traitants ou partenaires potentiels au niveau du respect de règles en matière de protection des données à caractère personnel ;
  • Mise en place de procédure pour intégrer la protection des données à caractère personnel dans un nouveau projet (Privacy by design & by default) ;
  • Formations du personnel/management (formations adaptées en tenant compte des activités de votre entreprise/organisation et du département concerné) ;

Défense de vos droits devant les autorités compétentes et services de DPO (délégué à la protection des données).

  • Assistance et représentation pour les personnes concernées (et/ou les entreprises/organisations qui les représentent) pour déposer une réclamation ou demander une médiation auprès de l’Autorité de protection des données ;
  • Assistance et représentation des entreprises/organisations faisant l’objet  d’une investigation du Service d’Inspection de l’Autorité de protection des données ;
  • Assistance et représentation pour des particuliers et des entreprises/organisations devant la Chambre Contentieuse de l’Autorité de protection des donnée ou lors d’un contentieux devant une autre  juridiction compétente (par exemple : actions en cessation devant le président du TPI, demande de dommages ou appel d’une décision de l’Autorité devant la Cour des marchés).
  • Si vous avez l’obligation de nommer un DPO (délégué à la protection des données), MD-LEX propose aussi des services de DPO externalisé (qui remplira les obligations décrites à l’article 39 du RGPD pour votre entreprise/organisation) sur base d’un forfait mensuel correspondant à une disponibilité convenue avec le client.

Besoin d'un conseil ?

N'hésitez pas à prendre contact.

 

Articles traitants de ces matières :