Le nouveau règlement sur la vie privée GDPR Meet & Greet 12-10-2018 Benoît Caufriez Michaël zahlen

Publié en mai 2016 General Data Protection Regulation (GDPR) Règlement général sur la protection des données (RGPD) Nom complet : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE « Droit à la vie privée »  « traitement de données » En vigueur depuis le 25 mai 2018 Période de transition de deux ans Concerne toutes les entreprises (petites ou grandes)

Pourquoi le GDPR ?

Champ d’application Interfaces Relation entre employeur et travailleur entretiens, évaluations, certificats médicaux enregistrement du temps, caméras, suivi et traçabilité photos sur intranet, CV pour des clients dossier du personnel, données salariales e-mails et Internet... Historique du navigateur, profilage, cookies Marketing direct

Principes généraux Transparence Principe de finalité Les données doivent être obtenues à des fins expressément bien définies et justifiées Principe de proportionnalité Adéquate, pertinente et non excessive Exactitude Les données doivent être exactes et adaptées si nécessaire Enregistrement limité Enregistrement sécurisé et pas plus long que nécessaire Transparence Transparence Quelles données sont traitées Expliqué de façon facile, simple et clair (icônes) À quelles fins ? Délais d’enregistrement ? Référence au DPO (Nouveauté) Droit de consultation, à l’oubli, de rectification Catégories de destinataires (Nouveauté) Quel fondement juridique (Nouveauté) si autorisation : indiquer la possibilité de révocation si intérêt légitime : description Politiques

L’intéressé a le droit Accès Rectification Droit d’opposition Obtenir les données Améliorer les données Emettre une objection Transférer les données Supprimer des données Accès L’intéressé a le droit d’obtenir la confirmation du traitement (ou non) de données à caractère personnel le concernant et, si c’est le cas, le droit de pouvoir consulter ces données à caractère personnel et d’obtenir les informations suivantes, par exemple : les finalités du traitement les destinataires le délai d’enregistrement, ou si ce n’est pas possible, les critères déterminant ce délai Rectification Droit de rectifier des données incorrectes Droit d’opposition

Responsable du traitement et personne chargée du traitement : obligations Obligation de notification Les violations à risque doivent être notifiées à la Commission vie privée au plus tard 72 heures après avoir pris connaissance de celles-ci. Les violations à haut risque doivent également être notifiées à l’intéressé (sauf si des mesures techniques adéquates ont été prises immédiatement ou après coup, ou si cela demande des efforts disproportionnés) Obligation d’information Contrat Faire appel uniquement à des sous- traitants qui offrent des garanties suffisantes Registre de traitement

Autorité de contrôle Autorité de protection des données Pas seulement conseiller, mais aussi contrôler avertir, donner suite à la requête d’un intéressé limitation ou interdiction du traitement temporaire ou définitive Imposer la suppression de données Sanctions jusqu’à 20 000 000 EUR ou 4 % du chiffre d’affaires mondial total de l’exercice comptable précédent Indemnisation NOUVEAUTÉ : amendes de 250 EUR à 15 000 EUR

Outil GDPR pour les PME Audit GDPR Documents juridiques Donne des conseils sur les décisions à prendre (recommandations intelligentes) Génère un rapport GDPR (versions précédentes conservées) Gestion des personnes chargées du traitement Devoir de notification (lien et information) Notification en cas de modification de la règlementation Accès pour plusieurs utilisateurs ... Au moyen d’un questionnaire

www.gdprfolder.eu/fr-be/acerta

Des questions ?