Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parChantal Côté Modifié depuis plus de 6 années
1
Règlement général sur la protection des données
2
1. contexte 1.1. cadre légal en Belgique
Loi belge Vie privée Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel Directive sur la protection des données à caractère personnel Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ! Règlement général sur la protection des données – application : 25 mai 2018 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
3
1.2. OBJECTIFS DE CETTE NOUVELLE RÉGLEMENTATION
Adaptation du cadre juridique à la révolution numérique Harmonisation des différences dans les législations nationales Formation d’une plus grande prise de conscience pour les entreprises / organisations pour la gestion des données ayant trait à la vie privée Davantage de droits individuels pour la personne concernée Davantage d’obligations pour les entreprises / organisations Davantage de sanctions et de contrôles Amendes administratives jusqu’à € ou 4% du chiffre d’affaires total Atteinte à la réputation
4
2. DÉFINITIONS Données à caractère personnel (art. 4)
Toute information se rapportant à une personne physique identifiée ou identifiable Directement ou indirectement Exemples: nom, photo, numéro de téléphone, adresse , plaque d’immatriculation, etc. Données à caractère personnel (art. 4) Données à caractère personnel indiquant l’origine raciale et ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, traitement des données génétiques, données biométriques en vue de l’identification unique d’une personne, données de santé ou données concernant la vie sexuelle Exemples: dossier médical, dossier juridique, préférence politique, appartenance syndicale, … Possibilité pour les États-membres de spécifier les règles Données sensibles (art. 9) Personnes décédées – RGPD pas d’application Données anonymes – RGPD pas d’application Cas particuliers
5
2.2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Un traitement est toute opération ou tout ensemble d'opérations appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données à caractère personnel. collecte partage enregistrement consultation organisation
6
2.3. SOUS-TRAITANT – RESPONSABLE DU TRAITEMENT
Personne concernée – personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées Responsable du traitement – détermine l’objectif et les moyens pour le traitement des données à caractère personnel, prend des mesures pour garantir et pouvoir démontrer que le traitement est effectué en accord avec le règlement. Les mesures sont évaluées et, si nécessaire, actualisées Sous-traitant – traite les données à caractère personnel pour le responsable du traitement Exemple: vous commandez un produit en ligne sur un webshop. Le webshop fait à son tour appel à une société de transport pour livrer le produit. En l’occurrence, vous êtes la personne concernée dont les données sont traitées, le webshop est le responsable du traitement et la société de transport intervient comme sous-traitant.
7
3. PRINCIPES GÉNÉRAUX DU RGPD
3.1. CARACTÉRISTIQUES Licéité, loyauté et transparence – les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée Limitation des finalités – les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées que d'une manière compatible avec ces finalités Minimisation des données – les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées Exactitude – les données à caractère personnel doivent être exactes et tenues à jour. Les données qui sont inexactes doivent être effacées ou rectifiées Limitation de la conservation – les données à caractère personnel ne peuvent pas être conservées plus longtemps que nécessaire. Il n’est pas non plus permis de conserver plus de données à caractère personnel que nécessaire Intégrité et confidentialité – les mesures (techniques et organisationnels) nécessaires sont prises pour garantir un traitement sécurisé des données à caractère personnel
8
3.2. DROITS DE LA PERSONNE CONCERNÉE
Fourniture d’informations – préalablement au traitement des données, la personne concernée doit être informée de façon transparente de toutes sortes d’informations reprises dans le règlement Accès – la personne concernée a le droit d’accès et de copie des données à caractère personnel traitées (notamment le dossier patient). Les règles de la Loi sur les droits du patient restent d’application Demande des données de connexion – la personne concernée a le droit d’être informée des personnes qui ont consulté le dossier (désignation nominative – communication de la fonction) Rectification – la personne concernée a le droit de faire corriger les informations erronées (p. ex. l’adresse du patient. Quid des données médicales?) Effacement (droit à l’oubli) – la personne concernée a le droit à l’oubli, il ne s’applique cependant pas intégralement pour les données médicales, le délai de conservation reste d’application. Limitation du traitement – la personne concernée a le droit d’obtenir une limitation du traitement dans des cas spécifiques
9
Opposition – la personne concernée a le droit de s’opposer au traitement des données à caractère personnel. Le législateur a directement visé les pratiques marketing Décision automatisée – la personne concernée a le droit d’opposition contre une décision qui résulte d’une décision automatisée Portabilité des données – il s’agit d’une forme améliorée d’accès donnant à la personne concernée le droit de recevoir les données à caractère personnel qui lui sont d’application dans une forme électronique, couramment utilisée et structurée
10
3.3. BASe – traitement des données à caractère personnel
Consentement de la personne concernée le consentement doit être donné sur une base volontaire, doit être informé, doit être spécifique et clair le responsable du traitement doit prouver le consentement la personne concernée a le droit de retirer son consentement à tout moment Nécessaire à l’exécution d’un contrat Nécessaire pour satisfaire une obligation légale Nécessaire pour protéger les intérêts vitaux de la personne concernée Nécessaire pour remplir une tâche d’intérêt général Nécessaire à la défense des intérêts légitimes du responsable du traitement
11
3.4. spécifique – traitement des données de santé
En principe Interdiction de traitement des données de santé Fondements juridiques pertinents qui justifient le traitement Il y a le consentement formel du patient. Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique si la personne concernée n’est physiquement ou juridiquement pas en mesure de donner son consentement Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail Le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique
12
4. RGPD – MISE EN CONFORMITÉ
PRISE DE CONSCIENCE Les personnages-clés de l’organisation doivent être informés de la nouvelle réglementation. Ils sont les mieux placés pour évaluer: quelles conséquences le RGPD aura pour l’organisation; où les points problématiques se situent éventuellement au sein de l’organisation Tous les membres du personnel, en particulier ceux qui traitent des données à caractère personnel, doivent être conscients de la façon dont ils doivent gérer les données à caractère personnel
13
4.2. DÉSIGNATION D’UN « PILOTE »
Délégué à la protection des données – DPO (data protection officer) Quand? Le traitement est effectué par une autorité publique ou un organisme public (Ordre des médecins!); Les traitements exigent du fait de leur nature, de leur portée et/ou de leurs finalités un suivi régulier et systématique à grande échelle des personnes concernées; Traitement à grande échelle de catégories particulières de données (p. ex. données de santé) Le médecin individuel n’y est pas soumis (instructions de la Commission vie privée) Les hôpitaux y sont par contre soumis Quid des pratiques de groupes? Tâches? Surveillance du respect du règlement; Information et recommandations du responsable du traitement et du sous-traitant sur leurs obligations; Etc. Caractéristiques? Objectif; Dans et en dehors de l’entité; Connaissances concernant la vie privée;
14
4.3. REGISTRE DES ACTIVITÉS DE TRAITEMENT – SÉCURITÉ
Réalisation d’un audit interne des traitements de données et élaboration d’un registre des activités de traitement: Identifier le responsable du traitement, et éventuellement le délégué à la protection des données; Finalités du traitement; Description des catégories de personnes concernées et des catégories de données à caractère personnel; Délais dans lesquels les données à caractère personnel doivent être supprimées; Mesures de sécurité prises; Etc. Sécurité du traitement Le sous-traitant et le responsable du traitement prennent des mesures afin de garantir un niveau de sécurité adapté au risque (p. ex. par la pseudonymisation et le chiffrement des données à caractère personnel, en veillant à ce que les systèmes de sécurité soient fiables, etc.)
15
Procédures internes prévues pour la gestion des données
Information, formation et sensibilisation des membres du personnel; Appréciations et actualisations régulières; Procédure pour l’élaboration d’un traitement légitime des données (documents stratégiques, élaboration d’un formulaire standard de consentement éclairé, etc.); Procédures de demandes d’informations et plaintes (p. ex. gestion des droits de la personne concernée); Procédures pour les fuites de données: Principes: mesures de protection suffisantes Signalement aux autorités de contrôle dans les 72 heures Communication immédiate aux personnes concernées en cas de risques élevés de violation de leurs droits et libertés En cas de données sensibles, le risque est plus élevé Etc.
16
Questions ?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.