PRIVACY

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité : créer un équilibre entre intérêts du responsable du traitement et ceux de la personne concernée . Pas d’interdiction de traiter des données personnelles mais selon quelles modalités peuvent elles être traitées

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Traitement à caractère personnel Traitement automatisé ? ( 3 conditions) Plusieurs opérations effectuées sur les données ( enregistrement, conservation, …) Des procédés automatisés sont utilisés ( « machine intelligente » qui effectue les opérations sur les données) Ces opérations forment un ensemble ( vs opération particulière – controversé) Banque de données rédactionnelle ?

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Traitement à caractère personnel Données à caractère personnel Toute information concernant une personne physique identifiée ou indentifiable = possibilité d’identifier la personne concernée par les données nom, prénom, âge , profession, date de naissance n° de téléphone, adresse e-mail , plaque immatriculation .. données inscrites dans une image ou une bande son

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Le responsable du traitement Personne sur laquelle pèse les obligations légales mettant en œuvre la protection des personnes physiques concernées par les données Plusieurs responsables (deux opérateurs telcos) Sous-traitant ( prestataire informatique)

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Champ d’application territorial Lieu de l’établissement fixe du responsable du traitement établi sur le territoire belge

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Conditions imposées au traitement de données à caractère personnel licéité , loyauté et légitimité des traitements licéité respecte les prescrits légaux loyauté ? transparence des actions ( obligation d’informer la personne concernée)

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Conditions imposées au traitement de données à caractère personnel (suite) légitimité ? ssi consentement de la personne traitement nécessaire à l’exécution d’un contrat traitement nécessaire à l’accomplissement d’une obligation légale / mission d’intérêt public traitement nécessaire à la réalisation d’un intérêt légitime du responsable

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Principe de conformité et de qualité des données Conformité des données données adéquates , pertinentes et non excessives liaison nécessaire et suffisante de l’information par rapport au but poursuivi par le traitement proportionnalité pas de traitement ultérieur incompatible avec les finalités annoncées

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Qualité des données ? données exactes / mises à jour

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Interdiction de traitement des données sensibles données qui révèlent l’origine raciale ou éthique, opinions politiques, convictions religieuses ou philosophiques, vie sexuelle Exceptions consentement traitement nécessaire à de sfins médicales

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Données relatives à la santé Données sensibles Exceptions consentement écrit traitement nécessaire issu de l’application de la sécurité sociale … Dans la mesure où les données sont effectuées sous la responsabilité d’un professionnel de la santé

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Droits des personnes concernées par les données Droit à l’information nom/adresse responsable du traitement finalités du traitement finalité de direct marketing ou non

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Droits d’accès, de rectification et d’opposition Droit d’accès aux informations: réponse endéans les 45 jours Droit de rectification : endéans le mois Droit d’opposition ( sauf exécution contrat/ respect obligation légale)

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Principales obligations du responsable de traitement Déclaration préalable des traitements automatisés auprès de la CPVP et tenue du registre des traitements automatisés Obligation de sécurité

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Exceptions en faveur des traitements a finalité journalistique ou de critique artistique

Les obligations de la loi «vie privée» actuelle Les données à caractère personnel doivent être :  1.Traitées loyalement et licitement; 2.Dans un but déterminé, explicite, légitime (et traitement ultérieur compatible); 3.Adéquates, pertinentes et non excessives au regard de ces finalités; 4.Exactes et mises à jour; 5.Conservées pour une durée non excessive par rapport au but défini; + consentement/nécessaire à l’exécution d’un contrat/obligation légale/etc.  Les obligations du responsable du traitement :  1.Déclaration à la Commission vie privée; 2.Information; 3.Sécurité. Droits de la personne concernée: accès, rectification, opposition

Règlementation RGPD Règlement européen = texte de loi directement applicable par les Etats membres. Pas de loi étatique sauf si l’Etat veut ajouter des exigences supplémentaires CADRE HARMONISE Applicable à partir du 25 mai 2018 Application à toutes les entreprises qui traitent des données de citoyens européens (dans ou à l’extérieur de l’Europe) Sanctions importantes en cas de non-respect

Objectif du RGPD (1) La loi du 8 décembre 1992 (et bientôt le RGPD) vise à protéger les «traitements» de «données à caractère personnel». «Données à caractère personnel» (DACP): toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (Art. 4, §1er RGPD)

Objectif du RGPD (2) La loi du 8 décembre 1992 (et bientôt le RGPD) vise à protéger les «traitements» de «données à caractère personnel» : Des clients Du personnel Ceci comprend notamment la collecte, l’enregistrement, le stockage, la mise à jour, la modification, la consultation, l’utilisation, la transmission, la distribution, la suppression, etc.

A quelles entreprises s’applique le RGPD? La loi du 8 décembre 1992 (et bientôt le GDPR) s’applique à toute entreprise qui effectue des «traitements» de «données à caractère personnel» en tant que: «responsable du traitement» : la personne physique ou morale qui seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. «sous-traitant» : la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Le GDPR s’appliquera à toute entreprise ayant son établissement sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union + Art. 3, §2 GDPR (application «extra-territoriale»)

Les obligations prévues par le RGPD Les données à caractère personnel doivent être :  1.Traitées loyalement, licitement et de manière transparente 2.Dans un but déterminé, explicite, légitime (et traitement ultérieur compatible); 3.Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités 4.Exactes et mises à jour; 5.Conservées pour une durée non excessive par rapport au but défini; + consentement/nécessaire à l’exécution d’un contrat/obligation légale/etc… Les obligations du responsable du traitement :  1.Registre des activités de traitement (qui remplace la déclaration à la CPVP pour les entreprises > 250 trav.); 2.Information 3.Obligation de sécurité renforcée 4.Obligation d’analyse d’impact 5.Désigner un délégué à la protection des données 6.Accountability 7.Privacy by design/ by default Droits de la personne concernée: accès, rectification, opposition  + droit à l’oubli, droit à la limitation, droit à la portabilité

Sanctions Responsabilité civile: Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (art.82§1 du GRPD) Responsabilité pénale: augmentation du montant des amendes «administratives»: 10,000,000 EUR ou 2% du chiffre d'affaires annuel global réalisé par l'entreprise (le + élevé est retenu)