Comment anticiper la future règlementation relative à la protection de données et en tirer un...

Click here to load reader

  • date post

    22-Jun-2015
  • Category

    Law

  • view

    93
  • download

    0

Embed Size (px)

description

Jean-François Henrotte et Maxime Fabry répondent, après une brève introduction, aux questions suivantes: La notification d'une brèche de sécurité est-elle négative pour l'entreprise ? Seules les grandes entreprises devront-elles faire face à de nouvelles obligations particulières ? Une société implantée dans plusieurs EM pourra-t-elle tirer avantage des futures règles ? Pourquoi anticiper ces futures règles ? Lexing - Belgique (http://lexing.philippelaw.eu) / Groupe Larcier (http://www.larciergroup.com) Liège - 28/02/14

Transcript of Comment anticiper la future règlementation relative à la protection de données et en tirer un...

  • 1. www.philippelaw.eu - http://ip-it.philippelaw.eu Comment anticiper la future rglementation relative la protection de donnes et en tirer un avantage concurrentiel? Jean-Franois @henrotte Maxime Fabry 28 fvrier 2014

2. www.philippelaw.eu - http://ip-it.philippelaw.eu Prambule Traitements de donnes caractre personnel ? 3. www.philippelaw.eu - http://ip-it.philippelaw.eu Prambule Vous avez dit rglement? Texte lgislatif trs consquent (plus de 90 articles) Nous sommes au stade du projet Procdure ordinaire : La commission parlementaire a effectu des amendements, le conseil na pas trouv de consensus Royaume-Uni, Danemark, Hongrie et Slovnie veulent une directive. Allemagne nen veut pas dans le secteur public.. On espre ladoption du Rglement au plus tard en 2015.. Applicable deux ans aprs son entre en vigueur. 4. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi? 5. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi? 02/23/2014 123RF Limited 2005-2014. 6. www.philippelaw.eu - http://ip-it.philippelaw.eu Monsieur DUPONT est le directeur excutif de la SA MAYO: Socit de droit belge spcialise dans la fabrication de bikinis, en trs petites quantits; Personnel: 20 personnes (employs et ouvriers); Rseau: 7.000 personnes (clientes, prospects, fournisseurs, partenaires ...) 7. www.philippelaw.eu - http://ip-it.philippelaw.eu 4 questions La notification dune brche de scurit est-elle ngative pour lentreprise ? Les grandes entreprises devront-elles faire face de nouvelles obligations particulires ? Une socit implante dans plusieurs EM pourrait-elle tirer avantage des futures rgles ? Pourquoi anticiper les futures rgles ? 8. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? La socit MAYO est victime dune attaque de pirates informatiques et souponne que des tiers aient mis la main sur des donnes prives de ses clients et prospects Avant elle: SNCB Europe (1.500.000 personnes en dcembre 2012), la Dfense (500 collaborateurs en janvier 2013), Jobat (15.000 personne en janvier 2013), Belgacom (septembre 2013), scandale PRISM.. 9. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? Quels sont ses droits? Infraction pnale: - Piratage (art 550bis Code pnal) Il suffit dun accs, dune prise de connaissance! Toutefois: difficult de traage. Rem: La socit aurait pu mettre des adresses piges pour assurer la traabilit 10. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? Quelles sont ses obligations? A. Pour les entreprises qui fournissent des services de communication lectroniques: - Loi du 13 juin 2005, art. 114/1 (Loi LCE) et Rglement 611/2013 du 24 juin 2013: - Notification lIBPT dans les 24 H du constat de la violation - Avertir le client sans retard injustifi si risque daffectation de ses donnes caractre personnel ou sa vie prive Rem: - Personnes concernes = PP et PM - Obligation limite un secteur particulier (dont MAYO ne relve pas) 11. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? B. Pour les autres entreprises (MAYO) : Actuellement: simple recommandation de CPVP en janvier 2013 sur les mesures de scurit entreprendre pour viter la violation des donnes Les violations des donnes devraient lui tre notifies dans les 48 heures et linformation au public devrait tre entreprise dans les 24 48 heures suivant cette notification 12. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? C. Le futur rglement: - La socit devra notifier la violation la CPVP sans retard injustifi (art. 31); - Suite cette notification, la socit doit communiquer la violation la personne concerne sans retard indu . - Lorsque la violation de donnes caractre personnel est susceptible de porter atteinte la protection des donnes caractre personnel, la vie prive, aux droits ou aux intrts lgitimes de la personne concerne (art. 32) 13. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? /! Le futur rglement protge les PP uniquement >< La LCE sapplique tout abonn (PM incluses) Si violations des donnes par une entreprise qui fournit des services de communications lectroniques accessibles au public: notification lIBPT Dans les autres cas: notification la CPVP 14. www.philippelaw.eu - http://ip-it.philippelaw.eu La notification dune brche de scurit est-elle ngative pour lentreprise? Intrt de se prparer adquatement la gestion des incidents: - Dlais trs courts (en heures)! Mieux vaut savoir que faire pour grer sereinement; - Preuve de rigueur et dune vritable politique vie prive vis--vis de la CPVP: - Preuve de bonne foi, volont dune relation de confiance avec le client, image positive. 15. www.philippelaw.eu - http://ip-it.philippelaw.eu 4 questions La notification dune brche de scurit est-elle positive pour lentreprise ? Les grandes entreprises devront-elles faire face de nouvelles obligations particulires ? Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? Pourquoi anticiper les futures rgles ? 16. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? La SA MAYO: Personnel: 20 personnes (employs et ouvriers) Rseau: 7.000 personnes (clientes, prospects, fournisseurs, partenaires ...), rien dexceptionnel > Une PME traitant les donnes de 7.020 personnes ? 17. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? Rglement: obligations particulires lorsque: traitement par une PM des donnes de plus de 5000 personnes sur une priode de 12 mois conscutifs (mme si dans proposition originale: 250 employs , on y est donc trs vite! ; 18. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? La socit MAYO devra notamment: - Dsigner un dlgu la protection des donnes(art. 35 du rglement); Actuellement, sauf lois et rglements particuliers, pas de dsignation dun dlgu la protection des donnes en Belgique 19. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? La socit MAYO devra galement: - Faire une analyse dimpact (art. 33, analyse sur la gestion de tout le cycle de vie des donnes) et examen de la conformit de la protection des donnes tous les 2 ans(art. 33bis) 20. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? Le dlgu la protection des donnes, un dlgu de plus? - doit tre associ toutes les questions relatives la protection des donnes caractre personnel; - Est associ la procdure danalyse dimpact - Lanalyse porte sur la gestion de la totalit du cycle de vie des donnes caractre personnel, de la collecte la suppression, en passant par le traitement : Vritable audit! - peut tre salari (4 ans) ou indpendant (2 ans) 21. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? La SA MAYO: Rseau: 4.000 personnes (clientes, prospects, fournisseurs, partenaires ...) > Traitement de donnes de 4.020 personnes ? 22. www.philippelaw.eu - http://ip-it.philippelaw.eu Les grandes entreprises devront-elles faire face des obligations particulires? Rglement: obligations particulires lorsque: - activit de base = traiter des donnes sensibles, des donnes de localisation ou des donnes relatives des employs, dans des fichiers informatiss de grande ampleur 23. www.philippelaw.eu - http://ip-it.philippelaw.eu 4 questions La notification dune brche de scurit est-elle positive pour lentreprise ? Les grandes entreprises devront-elles faire face de nouvelles obligations particulires ? Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? Pourquoi anticiper les futures rgles ? 24. www.philippelaw.eu - http://ip-it.philippelaw.eu Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? Forte de son succs, la socit MAYO dcide douvrir une filiale au Luxembourg, bien connu pour tre une des capitales de la mode et en tout cas, ses plages ensoleilles 25. www.philippelaw.eu - http://ip-it.philippelaw.eu A. Unification des rgles Dans le rgime actuel: 28 Etats qui on intgr la directive dans leur rgime interne Ncessit pour la socit MAYO de prendre en compte les rgles applicables dans chacun des Etats o elle traite des donnes Avec le Rglement: un seul corps de rgles pour lUE Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? 26. www.philippelaw.eu - http://ip-it.philippelaw.eu Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? B. Une autorit chef de file responsable de la protection des donnes art. 28 directive 95/46 : Prvoit juste une collaboration entre les autorits nationales - Actuellement la socit doit sadresser aux autorits comptentes des 2 pays pour faire les notification/demander les autorisations ncessaires art. 54 bis rglement: autorit chef de file = autorit de contrle de ltat membre ou se situe ltablissement principal (responsable pour tous les tats membre, systme de consensus avec les autres autorits nationales) - Si la socit MAYO conserve son tablissement principal en Belgique, elle pourra ne sadresser qu la CPVP 27. www.philippelaw.eu - http://ip-it.philippelaw.eu Le rglement europen apporte-t-il des avances positives pour les entreprises? Le futur rglement va faciliter le commerce dans plusieurs EM ! /! on y est vite, il suffit dun bureau ltranger, ce nest pas fait que pour des socits comme Facebook ! 28. www.philippelaw.eu - http://ip-it.philippelaw.eu 4 questions La notification dune brche de scurit est-elle positive pour lentreprise ? Les grandes entreprises devront-elles faire face de nouvelles obligations particulires ? Quels avantages pourra tirer des futures rgles une socit implante dans plusieurs EM ? Pourquoi anticiper les futures rgles ? 29. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi anticiper ses futures rgles? Application du rglement invitable: il sapplique aussi si responsable de traitement ou sous-traitant tablis hors de lUE lorsque les activits de traitement sont lies : loffre de bien ou services aux personnes concernes dans lUnion, sans quun paiement soit exig ; lobservation des personnes concernes (Art. 3). 30. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi anticiper les futures rgles? Rglement avec grosses sanctions la cl: (art. 79) Anticipant le rglement, la Commission vie prive a dj annonc son intention de mettre en place un service dinspection pour contrler activement les organisation et compagnies (se concentrant sur les hpitaux et les compagnies dassurances) Ncessit pour les marchs publics (art. 23, 1bis : la protection des donnes ds la conception est une condition pralable aux offres de marchs publics) 31. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi anticiper les futures rgles? 32. www.philippelaw.eu - http://ip-it.philippelaw.eu Pourquoi anticiper les futures rgles?