Foire aux questions

1. RGPD /GDPR

2. Données personnelles

3. Rôles

4. Risques

1. RGPD/GDPR

Qu’est-ce que le RGPD (GDPR) ?

Le Règlement général sur la protection des données (RGPD) est un règlement européen unifié en matière de respect de la vie privée. Il entrera en vigueur le 25 mai 2018 et est adapté à la société numérique moderne.

Pour les entreprises, ce règlement implique :

  • Transparence à l’égard des personnes concernées dont les données sont traitées.
  • Traitement, protection et suivi appropriés des flux de données.
  • Garanties contractuelles pour le traitement des données par des tiers et les transferts de données hors de l’UE.

Pour les personnes dont les données sont traitées, le règlement implique :

  • Transparence : qui fait quoi avec mes données ? Autorisation pour certains traitements.
  • Droits étendus : accès, rectification, suppression…

Quand le RGPD (GDPR) entrera-t-il en vigueur ?

Le Règlement général sur la protection des données entrera en vigueur dans l’Union européenne le 25 mai 2018. En tant qu’organisation, vous devrez alors être en mesure de démontrer quelles données personnelles vous collectez, comment vous utilisez ces données et comment vous les protégez.

À qui s’applique le RGPD (GDPR) ?

Le RGPD s’applique à toutes les entreprises qui, indépendamment de leur taille, répondent aux critères suivants :

  • être établie dans l’UE ;
  • être établie en dehors de l’UE, mais fournir des biens et/ou des services aux citoyens de l’UE ;
  • collecter des données à caractère personnel et/ou surveiller le comportement de citoyens de l’UE.

Qu’en est-il si mon entreprise ne se conforme pas à la nouvelle réglementation ?

Les entreprises qui ne sont pas en conformité avec les dispositions du RGPD risquent une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Pour en savoir plus, lisez l’article ‘Quels sont les risques en cas de non-conformité au RGPD ?’

Qui contrôle le respect du RGPD ?

Chaque pays a une autorité en la matière qui :

  • surveille la conformité aux lois sur la protection de la vie privée ;
  • conseille les autorités publiques, les entreprises, les personnes concernées ;
  • lance des avertissements et inflige des amendes ;
  • surveille la mise en œuvre des codes de conduite et des certifications ;
  • traite les plaintes des personnes concernées.

En Belgique, il s’agit de l’Autorité de protection des données.

L’établissement d’un registre des données est-il obligatoire ?

La dispense de registre de données ne sera possible que dans un nombre très limité de cas. Le RGPD semble ne pas concerner les PME (moins de 250 personnes occupées), mais indique qu’elles sont toutefois obligées d’établir un registre de données lorsqu’elles effectuent des traitements non occasionnels, lorsque le traitement comporte un risque pour les droits et libertés des personnes concernées ou lorsque des catégories particulières de données sont concernées.

Au sens de cette disposition, la plupart des PME effectuent des traitements qui ne sont pas occasionnels (par exemple, la tenue d’un registre des clients ou du personnel) et sont donc obligées de tenir un registre.

Créer un registre de données ? Commencez ici.

Le règlement détermine-t-il quels éléments doivent être inclus dans un registre de données ?

Le registre contient au moins les informations suivantes :

  • Nom et coordonnées du responsable du traitement (y compris, le cas échéant, celles du délégué à la protection des données).
  • Finalités du traitement.
  • Description des catégories de personnes concernées et des données à caractère personnel.
  • Catégories de destinataires des données personnelles.
  • Transfert des données personnelles vers un pays tiers ou une organisation internationale.
  • Délai présumé au terme duquel les données seront effacées.
  • Description des mesures techniques et organisationnelles de sécurité.

Qu’est-ce que le ‘privacy by design’ ?

L’idée sous-jacente à la protection de la vie privée dès la conception consiste à tenir compte de la vie privée dès la conception de nouveaux produits, services et processus, en réfléchissant aux mesures techniques et organisationnelles nécessaires et en les intégrant dans les processus et les systèmes.

Les deux objectifs de la protection de la vie privée dès la conception :

  • Garantir le traitement licite des données.
  • Préserver les droits des personnes concernées.

Pour en savoir plus, lisez l’article « Minimisation des données et privacy by design : qui dit moins dit mieux ».

2. Données personnelles

En quoi consistent les données personnelles ?

Les données personnelles sont toutes les informations par lesquelles une personne physique est identifiée ou peut être identifiée. Les caractéristiques générales qui ne peuvent pas être associées à une personne ne sont pas des données personnelles.

Caractéristiques générales qui ne sont pas des données personnelles :

  • adresse e-mail générale (info@, contact@) ;
  • nom de l’entreprise sans le nom de la personne ;
  • numéro de TVA de l’entreprise (≠ personne avec numéro de TVA !) ;
  • données personnelles anonymisées, de telle sorte que toute possibilité d’associer les données à une personne soit irrémédiablement impossible (ex. : « en 2017, 150 clients ont commandé le produit X ») ;
  • données des personnes décédées.

Attention : une combinaison de telles caractéristiques générales peut toutefois rendre une personne identifiable et est, dès lors, considérée comme une donnée personnelle.

Que sont les données personnelles sensibles ?

De par leur nature, certaines données sont sensibles et nécessitent une protection supplémentaire. Il s’agit notamment des données relatives :

  • à l’origine raciale ou ethnique ;
  • aux opinions politiques ;
  • aux convictions religieuses ou philosophiques ;
  • à l’appartenance syndicale ;
  • aux données génétiques (ADN…) ;
  • aux données biométriques (caractéristiques physiques, physiologiques et comportementales d’une personne, reconnaissance faciale, empreintes digitales, etc. ;
  • aux informations relatives à la santé d’une personne (physique et mentale) ;
  • au comportement sexuel ou à l’orientation sexuelle.

Quand puis-je traiter des données personnelles ?

Vous pouvez traiter des données personnelles lorsque :

  • Vous avez le consentement de la personne concernée.
  • Ou quand cela s’avère nécessaire :
    • pour l’exécution d’un contrat (par exemple, le traitement de l’adresse d’une personne qui a passé une commande en ligne et où cette commande doit être livrée) ;
    • pour se conformer à une obligation légale (les employeurs doivent, par exemple, transférer les données de leurs travailleurs à la sécurité sociale) ;
    • afin de protéger les intérêts vitaux de la personne concernée ;
    • pour l’exécution d’une mission d’intérêt public ;
    • pour défendre un intérêt légitime (une entreprise du secteur nucléaire a, par exemple, un intérêt légitime à traiter certaines données personnelles spécifiques sur son personnel afin d’en assurer la sécurité).

Quand parle-t-on de traitement des données personnelles ?

Un traitement des données personnelles peut être manuel ou automatique, sur papier ou sous une forme numérique.

  • Collecter                    
  • Utiliser
  • Enregistrer                
  • Envoyer
  • Organiser                  
  • Diffuser
  • Structurer                  
  • Mettre à disposition
  • Sauvegarder            
  • Aligner
  • Éditer                          
  • Combiner
  • Modifier                    
  • Protéger
  • Demander                
  • Supprimer
  • Consulter                  
  • Détruire

Combien de temps puis-je conserver les données personnelles ?

Le RGPD n’est pas tout à fait clair sur ce point et il vous incombe de procéder à une évaluation par traitement. Vous devrez, par exemple, tenir compte des obligations légales spécifiques et des délais d’archivage (la tenue des registres des ex-travailleurs, par exemple).

Que se passe-t-il si je transfère des données personnelles hors de l’EEE ?

EEE = Espace économique européen (UE + Norvège + Islande + Liechtenstein + Islande + Liechtenstein)

Au sein de l’EEE, les règles du RGPD s’appliquent et une protection suffisante est présumée en cas de transfert de données à caractère personnel.  

Les pays suivants hors de l’EEE présentent une protection adéquate en cas de transfert de données à caractère personnel : Andorre, Argentine, Canada, Îles Féroé, Guernesey, Jersey (RU), Suisse, Île de Man, Israël, Nouvelle-Zélande et Uruguay.

Pour le transfert de données à caractère personnel vers un pays hors de l’EEE qui n’offre pas une protection similaire, un modèle de contrat approuvé par l’UE peut être utilisé (les « clauses contractuelles types »). L’utilisation de ce modèle, sans modification, offre une protection suffisante pour permettre un transfert entre les parties signataires du contrat.

Les entreprises américaines peuvent prendre des mesures de protection adéquates dans le cadre du Privacy Shield, ce qui induit la protection suffisante des données transférées à partir de l’EEE. Une liste des entreprises américaines auxquelles les données peuvent être transférées en toute sécurité est disponible à l’adresse suivante : https://www.privacyshield.gov/list

Si aucune des situations précitées ne prévaut, un transfert de données à caractère personnel ne doit pas être autorisé, car les droits de la personne concernée ne sont pas suffisamment protégés.

3. Rôles

Qu’est-ce qu’une personne concernée ?

Une personne concernée est une personne physique à laquelle les données peuvent être associées et dont les données sont traitées. Le RGPD s’applique lorsque la personne concernée est située (≠ domicile, ≠ nationalité) dans l’Espace économique européen (= UE + Norvège + Islande + Liechtenstein), quelle que soit la durée du séjour OU lorsque le traitement a lieu dans le cadre des activités d’une entreprise dans l’UE.

Pour en savoir plus sur ce sujet, lisez l’article ‘Les acteurs du RGPD’

Quelles questions une personne concernée peut-elle poser ?

  • Le droit d’être informée sur la manière dont ses données personnelles sont traitées et sur les données à caractère personnel qui sont traitées.
  • Le droit à la suppression de ses données personnelles (droit à l’oubli).
  • Le droit au transfert des données vers un autre sous-traitant (portabilité des données)
  • Le droit de rectification si les données à caractère personnel ne sont pas correctes ou sont incomplètes.
  • Le droit d’accès : la personne concernée a le droit de demander une copie de ses données à caractère personnel qui font l’objet d’un traitement.
  • Le droit d’opposition : la personne concernée peut demander que ses données ne soient pas utilisées à des fins de marketing direct et que ses données ne soient pas traitées pour des raisons légitimes et/ou à des fins de recherche scientifique ou historique.

Dans quel délai doit-on répondre aux questions des personnes concernées ?

Vous devez répondre à la demande de la personne concernée dans un délai d’un mois. Cela ne signifie pas nécessairement que vous devez accéder à la demande formulée. En revanche, vous devez donner à la personne concernée une réponse sur ce qu’il est advenu de sa demande et, si elle a été rejetée, en donner les raisons.

Qu’est-ce qu’un sous-traitant ?

Le sous-traitant est la personne/entreprise qui effectue le traitement, généralement pour le compte du responsable du traitement. Le sous-traitant du traitement ne choisit pas quelles données sont traitées, ni pourquoi ni comment.

Quelles sont mes obligations, en qualité de sous-traitant ?

En tant que sous-traitant, je dois :

  • Assurer la sécurité et la confidentialité des données que je traite.
  • Traiter les données uniquement sur la base des instructions du responsable du traitement.
  • Disposer des processus et des lettres types appropriés pour réagir rapidement en cas de fuite de données (détection, identification et rapport au responsable du traitement des données).
  • Savoir que je ne peux moi-même désigner un sous-traitant qu’avec le consentement du responsable de traitement.

Qu’est-ce qu’un responsable du traitement (controller) ?

Un responsable du traitement des données est la personne qui décide quelles données sont traitées, pour quelle finalité et comment. Le responsable sera le seul point de contact de la personne concernée en ce qui concerne ses données et demandera, si nécessaire, le consentement de la personne concernée.

Par exemple : un avocat saisit les données personnelles de son client dans un logiciel bureautique. Dans ce cas, l’avocat est le responsable du traitement des données, le concepteur du logiciel est le sous-traitant et le client est la personne concernée.

Quelles sont mes obligations, en tant que responsable du traitement ?

En tant que responsable du traitement, je dois le faire :

  • Examiner et tenir à jour une documentation vérifiable de toutes mes activités de traitement des données à caractère personnel.
  • Prendre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel.
  • Documenter toutes les mesures prises et les soumettre, le cas échéant, à l’Autorité de protection des données.
  • Disposer des processus et des lettres types adéquates pour réagir rapidement en cas de fuite de données (observer, identifier et signaler aux autorités compétentes).

Qu’est-ce qu’un délégué à la protection des données (Data Protection Officer/DPO) et que fait-il ?

DPD signifie « délégué à la protection des données », soit une personne responsable de la protection des données.

Les fonctions d’un délégué à la protection des données sont les suivantes :

  • Informer et conseiller l’entreprise et ses travailleurs sur leurs obligations afin de se conformer à la législation sur la protection de la vie privée.
  • Vérifier si les règles du RGPD ont été respectées ou non.
  • Intervenir en qualité de personne de contact pour toutes les questions relatives à la protection des données.

La tâche du DPD peut être confiée à un collaborateur existant pour autant que ses tâches professionnelles soient compatibles avec celles du DPD et n’entraînent pas de conflits d’intérêts.

Un DPD externe peut également être désigné pour assumer ces tâches.

Pour en savoir plus sur ce sujet, lisez l’article « Le RGPD impose une tâche difficile au délégué aux Data Protection Officers »

Quand la nomination d’un DPD (DPO) est-elle obligatoire ?

Vous êtes tenu de désigner un délégué à la protection des données si les activités principales de votre entreprise consistent à surveiller systématiquement des personnes à grande échelle ou à traiter des catégories particulières de données.

4. Risques

Qu’est-ce qu’une analyse d’impact (DPIA) ?

DPIA signifie « Data Protection Impact Assessment ». Il s’agit d’un processus visant à évaluer les risques liés aux droits et libertés des personnes physiques, qui découlent ou sont susceptibles de découler du traitement des données à caractère personnel, ainsi que les possibilités de gestion de ces risques. En d’autres termes, une analyse des risques.

Quand dois-je effectuer une DPIA et quand ne dois-je pas le faire ?

Vous devez exécuter une DPIA lorsqu’il existe des risques élevés pour les droits et libertés des personnes concernées.

Certaines catégories de traitements comportent toujours un risque accru et rendent donc la DPIA obligatoire :

  • en cas d’évaluation systématique, complète et automatisée des caractéristiques personnelles des personnes concernées, notamment le profilage, pouvant conduire à des décisions importantes les concernant ;
  • en cas de traitement à grande échelle de données spéciales ou pénales ;
  • en cas de surveillance systématique et à grande échelle d’espaces accessibles au public.

Quand parle-t-on de fuite de données ?

Une fuite de données est une infraction à la sécurité qui conduit à la destruction accidentelle ou illégitime, à la perte, à l’altération, à la divulgation non autorisée ou à l’accès non autorisé aux données personnelles.

Par exemple :

  • Un virus efface toutes les données des clients dans une base de données.
  • Un travailleur envoie accidentellement ses données de connexion à un outil de marketing direct à des collègues d’un autre service.
  • Des pirates informatiques accèdent aux informations salariales des collaborateurs et les mettent en ligne publiquement.

Une fuite de données doit-elle toujours être signalée à l’Autorité de surveillance ?

Vous devez en informer l’Autorité de protection des données, sauf si la fuite de données n’est pas susceptible de constituer un risque pour les droits et libertés des personnes physiques concernées. La notification doit être faite dans les 72 heures qui suivent le moment où vous avez pris connaissance de l’infraction.

Pour en savoir plus à ce sujet, lisez l’article ‘Quels réflexes avoir en cas de fuite de données ?’

Une fuite de données doit-elle toujours être signalée aux personnes concernées ?

Si l’infraction peut comporter un risque élevé pour les droits et libertés des personnes concernées, vous devez également informer vous-même ces personnes de la fuite de données.