Comment anticiper la future règlementation relative à la protection de données et en tirer un...

www.philippelaw.eu - http://ip-it.philippelaw.eu

Comment anticiper la future règlementation relative à la protection de données et en

tirer un avantage concurrentiel?

Jean-François @henrotteMaxime Fabry

28 février 2014


Préambule

Traitements de données à caractère personnel ?


Préambule

« Vous avez dit règlement? » Texte législatif très conséquent (plus de 90 articles)

Nous sommes au stade du projet« Procédure ordinaire »: La commission parlementaire a

effectué des amendements, le conseil n’a pas trouvé de consensus… Royaume-Uni, Danemark, Hongrie et Slovénie veulent

une directive. Allemagne n’en veut pas dans le secteur public..

On espère l’adoption du Règlement au plus tard en 2015..

Applicable deux ans après son entrée en vigueur.


Pourquoi?

€


Pourquoi?

© 02/23/2014 123RF Limited 2005-2014.


Monsieur DUPONT est le directeur exécutif de la SA MAYO:

– Société de droit belge spécialisée dans la fabrication de bikinis, en très petites quantités;

– Personnel: 20 personnes (employés et ouvriers);

– Réseau: 7.000 personnes (clientes, prospects, fournisseurs, partenaires ...)


4 questions

• La notification d’une brèche de sécurité est-elle négative pour l’entreprise ?

• Les grandes entreprises devront-elles faire face à de nouvelles obligations particulières ?

• Une société implantée dans plusieurs EM pourrait-elle tirer avantage des futures règles ?

• Pourquoi anticiper les futures règles ?


La notification d’une brèche de sécurité est-elle négative pour l’entreprise?

La société MAYO est victime d’une attaque de pirates informatiques et soupçonne que des tiers aient mis la main sur des données privées de ses clients et prospects

Avant elle: SNCB Europe (1.500.000 personnes en décembre 2012), la Défense (500 collaborateurs en janvier 2013), Jobat (15.000 personne en janvier 2013), Belgacom (septembre 2013), scandale PRISM..



Quels sont ses droits?

Infraction pénale: - Piratage (art 550bis Code pénal)

Il suffit d’un accès, d’une prise de connaissance!

Toutefois: difficulté de traçage.

Rem: La société aurait pu mettre des adresses « pièges » pour assurer la traçabilité



Quelles sont ses obligations?

A. Pour les entreprises qui fournissent des services de communication électroniques:

- Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Règlement 611/2013 du 24 juin 2013:

- Notification à l’IBPT dans les 24 H du constat de la violation- Avertir le client « sans retard injustifié » si risque d’affectation de

ses données à caractère personnel ou sa vie privée

Rem: - Personnes concernées = PP et PM- Obligation limitée à un secteur particulier (dont MAYO ne

relève pas)



B. Pour les autres entreprises (MAYO) :

Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de sécurité à entreprendre pour éviter la violation des données

−Les violations des données devraient lui être notifiées dans les 48 heures et l’information au public devrait être entreprise dans les 24 à 48 heures suivant cette notification



C. Le futur règlement:

- La société devra notifier la violation à la CPVP « sans retard injustifié » (art. 31);

- Suite à cette notification, la société doit communiquer la violation à la personne concernée « sans retard indu ».- « Lorsque la violation de données à caractère

personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée » (art. 32)



• /!\ Le futur règlement protège les PP uniquement >< La LCE s’applique à tout abonné (PM incluses)

• Si violations des données par une entreprise qui fournit des services de communications électroniques accessibles au public: notification à l’IBPT

Dans les autres cas: notification à la CPVP



Intérêt de se préparer adéquatement à la gestion des incidents:

Délais très courts (en heures)! Mieux vaut savoir que faire pour gérer sereinement;

- Preuve de rigueur et d’une véritable politique « vie privée » vis-à-vis de la CPVP:

- Preuve de bonne foi, volonté d’une relation de confiance avec le client, image positive.


4 questions

• La notification d’une brèche de sécurité est-elle positive pour l’entreprise ?


• Quels avantages pourra tirer des futures règles une société implantée dans plusieurs EM ?



Les grandes entreprises devront-elles faire face à des obligations particulières?

La SA MAYO:

– Personnel: 20 personnes (employés et ouvriers)

– Réseau: 7.000 personnes (clientes, prospects, fournisseurs, partenaires ...), rien d’exceptionnel

– > Une PME traitant les données de 7.020 personnes ?



Règlement: obligations particulières lorsque:

traitement par une PM des données de plus de 5000 personnes sur une période de 12 mois consécutifs (même si dans proposition originale: « 250 employés », on y est donc très vite! ;



La société MAYO devra notamment:

- Désigner un délégué à la protection des données(art. 35 du règlement);

Actuellement, sauf lois et règlements particuliers, pas de désignation d’un délégué à

la protection des données en Belgique



La société MAYO devra également:

- Faire une analyse d’impact (art. 33, analyse sur la gestion de tout le cycle de vie des données) et examen de la conformité de la protection des données tous les 2 ans(art. 33bis)



Le délégué à la protection des données, un délégué de plus?

doit être associé à toutes les questions relatives à la protection des données à caractère personnel;

Est associé à la procédure d’analyse d’impact

« L’analyse porte sur la gestion de la totalité du cycle de vie des données à caractère personnel, de la collecte à la suppression, en passant par le traitement »: Véritable audit!

- peut être salarié (4 ans) ou indépendant (2 ans)



La SA MAYO:

– Réseau: 4.000 personnes (clientes, prospects, fournisseurs, partenaires ...)

–> Traitement de données de 4.020 personnes ?



Règlement: obligations particulières lorsque:

- activité de base = traiter des données sensibles, des données de localisation ou des données relatives à des employés, … dans des fichiers informatisés de grande ampleur


4 questions






Quels avantages pourra tirer des futures règles une société implantée dans plusieurs EM ?

Forte de son succès, la société MAYO décide d’ouvrir une filiale au Luxembourg, bien connu pour être une des capitales de la mode et en tout cas, ses plages ensoleillées …


A. Unification des règles

• Dans le régime actuel: 28 Etats qui on intégré la directive dans leur régime interne– Nécessité pour la société MAYO de prendre en

compte les règles applicables dans chacun des Etats où elle traite des données

• Avec le Règlement: un seul corps de règles pour l’UE




B. Une autorité chef de file responsable de la protection des données

• art. 28 directive 95/46 : Prévoit juste une collaboration entre les autorités nationales

Actuellement la société doit s’adresser aux autorités compétentes des 2 pays pour faire les notification/demander les autorisations nécessaires

• art. 54 bis règlement: autorité chef de file = autorité de contrôle de l’état membre ou se situe l’établissement principal (responsable pour tous les états membre, système de consensus avec les autres autorités nationales)

Si la société MAYO conserve son établissement principal en Belgique, elle pourra ne s’adresser qu’à la CPVP


Le règlement européen apporte-t-il des avancées positives pour les entreprises?

Le futur règlement va faciliter le commerce dans plusieurs EM !

/!\ on y est vite, il suffit d’un bureau à l’étranger, ce n’est pas fait que pour

des sociétés comme Facebook !


4 questions






Pourquoi anticiper ses futures règles?

Application du règlement inévitable:

• il s’applique aussi si responsable de traitement ou sous-traitant établis hors de l’UE lorsque les activités de traitement sont liées :– à l’offre de bien ou services aux personnes

concernées dans l’Union, sans qu’un paiement soit exigé ;

– à l’observation des personnes concernées (Art. 3).


Pourquoi anticiper les futures règles?

• Règlement avec grosses sanctions à la clé: (art. 79)

• Anticipant le règlement, la Commission vie privée a déjà annoncé son intention de mettre en place un service d’inspection pour contrôler activement les organisation et compagnies (se concentrant sur les hôpitaux et les compagnies d’assurances)

• Nécessité pour les marchés publics (art. 23, §1bis : la protection des données dès la conception est une condition préalable aux offres de marchés publics)


Pourquoi anticiper les futures règles?

Comment anticiper la future règlementation relative à la protection de données et en tirer un...

Law

Transcript of Comment anticiper la future règlementation relative à la protection de données et en tirer un...