Droit & Réglementation

Depuis l'introduction du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, il serait prudent de vous familiariser avec les règles lors de l'utilisation des données. Le traitement des données personnelles est autorisé, tant que vous respectez ces règles. Mais que sont les données personnelles et qu'est-ce exactement que le traitement ? Et comment fonctionne la loi RGPD ?

Nous souhaitons vous informer sur l'état actuel des choses. Bien sûr, nous ne sommes pas des experts juridiques et sommes heureux de vous donner notre interprétation. La responsabilité de la manipulation correcte des données personnelles incombe bien sûr à chaque organisation qui est ultimement responsable du traitement. Donc, gardez un œil sur les développements dans le domaine de la vie privée. Curieux de savoir comment Ad Hoc Data gère la vie privée ? Alors lisez notre déclaration de confidentialité.

Des questions ? N'hésitez pas à nous contacter, nous sommes heureux de réfléchir avec vous !

Général

Le Règlement Général sur la Protection des Données (RGPD) ou Algemene Verordering Persoonsgegevens (AVG) est une loi sur la confidentialité qui s'applique dans toute l'Union Européenne et remplace la loi néerlandaise sur la protection des données personnelles (Wbp). Grâce au RGPD, la protection des données personnelles est réglementée de la même manière dans tous les pays de l'UE et les mêmes règles s'appliquent dans chaque État membre. Le RGPD assure entre autres : le renforcement et l'expansion des droits à la vie privée des personnes concernées tout en augmentant les responsabilités pour les organisations.

Les données personnelles désignent toute information concernant une personne physique identifiée ou identifiable. Cela signifie que l'information est soit directement sur quelqu'un, soit peut être retracée à cette personne. Les exemples incluent : NAW (nom, adresse, lieu), numéros de téléphone directs, adresses e-mail personnelles, adresses IP, photos, etc. Ici, il y a aussi des 'données personnelles spéciales' définies. Ces données personnelles, telles que l'affiliation politique, la religion, la santé et la race sont particulièrement bien protégées ; leur traitement est interdit.

'Traitement' est un terme large et couvre toutes les actions qu'une organisation peut effectuer avec des données personnelles. Les exemples incluent : la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la mise à jour ou la modification, la récupération, la consultation, l'utilisation, la transmission, la distribution, la mise à disposition, le rassemblement, la liaison, le blocage, l'effacement et la destruction des données.

Si vous traitez des données personnelles, vous devez vous conformer au RGPD. En fait, c'est le cas pour presque toutes les organisations, qu'il s'agisse de données de clients, de prospects, d'employ és ou de candidats, bientôt il est question de stocker et de traiter des données personnelles.

Vous êtes un responsable du traitement lorsque vous déterminez le but et les moyens d'utilisation des données personnelles. Une organisation peut le faire seule ou éventuellement en coopération avec un 'sous-traitant'. Que ce soit pour les clients, les prospects, les employés ou les candidats, bientôt vous traitez des données personnelles et vous êtes donc un responsable du traitement.

Vous êtes un sous-traitant lorsque vous êtes l'organisation à qui le responsable du traitement a externalisé le traitement des données. Pensez par exemple aux bureaux d'administration, aux fournisseurs de logiciels, aux centres d'appels, aux fournisseurs de cloud, etc. Le responsable est tenu de conclure un contrat de traitement avec le(s) sous-traitant(s).

L'Autorité de protection des données (APD) est l'autorité belge de protection des données et l'organe administratif indépendant désigné par la loi en Belgique comme superviseur pour surveiller le traitement des données personnelles dans le cadre des réglementations sur la vie privée. Les fonctions de l'APD sont : la supervision, le conseil, l'éducation, la fourniture d'informations, la reddition de comptes et les tâches internationales.

Le RGPD dispose de 6 bases pour le traitement des données personnelles :
  • le consentement de la personne concernée pour le traitement des données ;
  • le traitement des données est nécessaire à l'exécution d'un contrat ;
  • le traitement des données est nécessaire pour se conformer à une obligation légale ;
  • le traitement des données est nécessaire pour protéger les intérêts vitaux ;
  • le traitement des données est nécessaire pour l'exécution d'une mission d'intérêt général ou l'exercice de l'autorité publique ;
  • le traitement des données est nécessaire pour la représentation d'intérêts légitimes.

Le RGPD détermine les droits suivants des personnes concernées :
  1. Information : le droit de savoir ce que vous faites avec les données personnelles des personnes concernées.
  2. Accès : aux données personnelles traitées.
  3. Rectification : des données personnelles.
  4. Suppression : des données personnelles de notre base de données (aka : le droit à l'oubli).
  5. Limitation : du traitement des données personnelles.
  6. Opposition : au traitement des données personnelles.
  7. Portabilité : le droit de transférer des données personnelles à une autre organisation.
  8. Non profilage : le droit de s'opposer au 'profilage'. Le profilage est toute forme de traitement automatisé des données personnelles qui utilise des données personnelles pour évaluer certains aspects personnels d'une personne physique, notamment dans le but d'analyser ou de prédire sa performance professionnelle, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, son lieu ou ses déplacements.

Le RGPD ne fixe pas de période de conservation concrète pour les données personnelles. Ainsi, vous décidez combien de temps vous souhaitez conserver les données personnelles. Toutefois, il est important que vous ne conserviez pas les données plus longtemps que nécessaire aux fins pour lesquelles les données ont été collectées et utilisées. Il est bon d'enregistrer vos considérations dans le registre de traitement.
Marché B2B

Dans le monde des affaires, toutes les données sont principalement des données commerciales. Ces données commerciales échappent au RGPD dans la mesure où les données ne peuvent pas être reliées à une personne. Gardez à l'esprit qu'il y a toujours un risque de traitement de données personnelles. Cela inclut les données personnelles de clients, de clients potentiels et d'anciens clients. Cela inclut les données que vous stockez dans votre système CRM : adresses e-mail personnelles, numéros de téléphone directs, coordonnées bancaires, etc. Assurez-vous d'inclure uniquement les données nécessaires à l'exécution du contrat, ou sinon demandez la permission ou ayez un intérêt légitime pour le traitement. Par exemple, il n'est (probablement) pas nécessaire d'inclure les hobbies, préférences ou date de naissance de votre client professionnel. Dans ce cas, vous devriez omettre ces données.

Si vous utilisez le marketing par e-mail aux Pays-Bas, vous devez d'abord vous conformer à la Loi sur les télécommunications (à l'avenir la Loi e-Privacy) concernant l'utilisation de ce canal. Cette loi stipule, entre autres, que vous devez demander la permission du destinataire à l'avance pour pouvoir envoyer des e-mails s'il n'y a pas de relation client avec le destinataire et si le destinataire n'a pas choisi de ne pas recevoir de courriels. De plus, vous utilisez généralement des données personnelles, telles que des adresses e-mail personnelles, des numéros de téléphone directs et d'autres données qui peuvent être personnellement liées. Pour cela, vous devez également vous conformer au RGPD.

Les campagnes de marketing sur les médias sociaux peuvent être affectées par le RGPD, dans la mesure où vous souhaitez associer des listes d'adresses e-mail à votre campagne de médias sociaux, par exemple. Le remarketing (affichage de publicités ciblées aux personnes qui ont déjà visité votre site Web) est également couvert.

Comme pour le marketing par e-mail, dans le cas du télémarketing, vous devez en première instance vous conformer à la Loi sur les télécommunications (à l'avenir la Loi e-Privacy) concernant l'utilisation de ce canal. Dans le cas du télémarketing B2B, cela ne concerne que les organisations ayant les formes juridiques : entreprises individuelles, sociétés en nom collectif, partenariats. Mais en outre, vous devez également vous occuper du RGPD, dans la mesure où vous utilisez des numéros de téléphone directs, des contacts et d'autres informations dans votre liste d'appels qui peuvent être considérées comme des données personnelles.

Lorsqu'il y a un transfert de données personnelles d'un responsable du traitement à un autre, il y a une 'responsabilité en chaîne'. Ainsi, la portée de votre responsabilité dépasse vos propres activités. En fait, vous devez également faire des efforts pour assurer la protection des données lorsqu'il y a transfert de données dans la chaîne.

Le RGPD s'applique à tous les pays de l'UE. Si vos produits ou services sont achetés en dehors de l'UE, il y a des chances que les règles de confidentialité là-bas ne soient pas aussi strictement réglementées. Ces soi-disant 'pays tiers' sont tous les pays en dehors de l'UE, à l'exception des pays de l'Espace Économique Européen (EEE : Norvège, Liechtenstein et Islande). Vous ne pouvez vendre qu'à des pays ayant un niveau de protection adéquat.
Mesures à prendre

Il y a des mesures techniques et organisationnelles que vous pouvez prendre pour vous conformer à la réglementation sur la vie privée :
  • Établir des politiques de confidentialité : où vous prêtez attention à, par exemple, la minimisation des données, la transparence, les procédures de protection dans le trafic international de données.
  • Nommer un DPD/FD : désigner/nommer un responsable interne lorsque vous traitez des données personnelles à grande échelle ou des données personnelles particulières ;
  • Compiler un registre de traitement des données : enregistrement de tous les traitements de données personnelles, y compris des informations sur les traitements effectués et comment, complété par les périodes de conservation et comment vous garantissez les droits des personnes concernées ;
  • Politique de violation de données : déterminer les procédures pour les violations de données et maintenir un rapport de toutes les violations (suspectées) de données, y compris les actions prises à cet égard ;
  • Évaluation d'impact sur la protection des données (le cas échéant) : Réaliser une évaluation d'impact sur la protection des données pour les nouvelles activités de traitement présentant un risque accru pour la vie privée.
  • Établir des accords de traitement des données : avec tous les processeurs en accordant les responsabilités et les procédures de chaque côté ;
  • Protection des données dès la conception et par défaut : Implémenter la protection des données par la conception et les paramètres par défaut des applications (Web) ;
  • Mesures de sécurité techniques : entre autres, pour la création de mots de passe, l'envoi de fichiers en toute sécurité, site web sécurisé (vous pouvez éventuellement faire effectuer un piratage comme test) ;
  • Manuel interne : sensibiliser en interne sur la confidentialité et mettre en œuvre une pratique selon le manuel.

Si une plainte est déposée contre votre organisation, l'Autorité de Protection des Données personnelles vous enquêtera. Et si cette enquête détermine que vous ne respectez pas suffisamment la confidentialité, votre amende pourrait aller jusqu'à 4 % de votre chiffre d'affaires mondial annuel avec un maximum de 20 millions d'euros.

Un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) est la personne au sein d'une organisation responsable de la conformité et de l'application du RGPD. Souvent, il s'agit d'une personne externe, généralement avec un fond juridique.

Pour certaines organisations, la nomination d'un DPD est obligatoire, étant donné les grandes quantités de données personnelles traitées ou lorsque ces données sont des données personnelles spéciales. C'est aussi toujours obligatoire pour les gouvernements et les organisations publiques. Vous n'êtes pas sûr si vous êtes obligé de nommer un tel agent, mais traitez-vous des données personnelles à une échelle raisonnable ? Alors il est préférable de jouer la sécurité et de nommer quelqu'un à cet effet. Toujours signaler votre DPO à l'Autorité de protection des données

Quand des données personnelles tombent entre les mains de tiers qui ne devraient pas y avoir accès, il s'agit d'une violation de données. C'est un incident où des données personnelles sont perdues ou remises, vues ou modifiées de manière non autorisée à la suite d'un problème de sécurité. Les exemples incluent : des fichiers informatiques divulgués, un e-mail envoyé aux mauvaises adresses e-mail, un ordinateur portable volé ou une clé USB perdue, des cyberattaques, etc. dans la mesure où des données personnelles sont impliquées. Vous êtes obligé de signaler toutes les fuites de données à l'AP et à votre DPD, et si nécessaire vous devez informer la personne concernée (notification obligatoire).

Les organisations sont tenues de démontrer par la documentation qu'elles ont pris des mesures organisationnelles et techniques appropriées et efficaces pour se conformer aux principes et obligations du RGPD. Cela nécessite, entre autres, que vous documentiez comment vous effectuez quelles opérations de traitement, sur quelle base et pendant combien de temps vous stockez des données personnelles. Ce document crucial s'appelle un registre de traitement.

Le RGPD stipule que vous devez correctement informer les personnes concernées sur quelles données personnelles sont traitées, à quelles fins et sur quelles bases . Vous pouvez le faire, par exemple, dans une déclaration de confidentialité. Mais vous pouvez également informer les personnes concernées à d'autres moments, par exemple dans un module de commande en ligne.

Une AIPD, Évaluation d'Impact sur la Protection des Données, est un examen des risques d'une opération de traitement avant qu'elle ne se produise. Cet examen peut être un outil obligatoire dans certains cas, tels que lorsque des données personnelles sont traitées de manière systématique et à grande échelle.
Loading...