Loi et règlements

Depuis l'introduction du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, il est conseillé de bien se familiariser avec les règles d'utilisation des données. Le traitement des données personnelles est autorisé, à condition que vous respectiez ces règles. Mais comment fonctionne le RGPD ? Que sont les données personnelles et qu'est-ce qu'un traitement exactement ?

Nous souhaitons vous informer de la situation actuelle. Nous ne sommes bien entendu pas juristes et sommes heureux de vous donner notre interprétation. La responsabilité de la manière correcte de traiter les données personnelles incombe naturellement à chaque organisation qui est finalement responsable du traitement. Gardez donc également un œil sur les développements dans le domaine de la protection de la vie privée. Curieux de savoir comment Ad Hoc Data gère la confidentialité ? Alors lisez notre déclaration de confidentialité.

Avez-vous des questions? Contactez-nous, nous serons heureux de réfléchir avec vous !

Zoekresultaten

Général

Le Règlement général sur la protection des données (RGPD), également connu sous le nom de Règlement général sur la protection des données, est une loi sur la confidentialité qui s'applique dans toute l'Union européenne. Grâce au RGPD, la protection des données personnelles est réglementée de la même manière dans tous les pays de l'UE et les mêmes règles s'appliquent dans chaque État membre. Le RGPD prévoit, entre autres, de : renforcer et étendre les droits à la vie privée des personnes concernées, augmentant ainsi les responsabilités des organisations.

Les données personnelles concernent toutes les informations concernant une personne physique identifiée ou identifiable. Cela signifie que les informations concernent directement quelqu'un ou peuvent être retracées jusqu'à cette personne. Exemples : détails d'adresse, numéros de téléphone directs, adresses e-mail personnelles, adresses IP, photos, etc. Cela inclut également les ‘données personnelles spéciales’ défini. Ces données personnelles, telles que les préférences politiques, la religion, la santé et la race, sont extrêmement bien protégées ; le traitement est interdit.

« Traitement » est un terme large et fait référence à toutes les actions qu'une organisation peut effectuer avec des données personnelles. Exemples : collecte, enregistrement, organisation, structuration, stockage, mise à jour ou modification, récupération, consultation, utilisation, transmission, diffusion, mise à disposition, regroupement, mise en relation, protection, suppression et destruction des données.

Vous êtes responsable du traitement lorsque vous déterminez la finalité et les moyens d'utilisation des données personnelles. Une organisation peut le faire seule ou éventuellement en collaboration avec un « processeur ». Qu'il s'agisse de clients, prospects, salariés ou candidats, vous allez bientôt traiter des données personnelles et vous êtes donc responsable du traitement.

Vous êtes responsable du traitement lorsque vous déterminez la finalité et les moyens d'utilisation des données personnelles. Une organisation peut le faire seule ou éventuellement en collaboration avec un « processeur ». Qu'il s'agisse de clients, prospects, salariés ou candidats, vous allez bientôt traiter des données personnelles et vous êtes donc responsable du traitement.

U bent een verwerker wanneer u de organisatie bent aan wie de verwerkingsverantwoordelijke de gegevensverwerking heeft uitbesteed. Denk hierbij aan bijvoorbeeld administratiekantoren, software leveranciers, callcenters, cloud leveranciers et cetera. De verwerkingsverantwoordelijke is verplicht om een verwerkingsovereenkomst af te sluiten met de verwerker(s).

L'Autorité de protection des données (APD) est l'organe administratif indépendant qui a été désigné par la loi en Belgique en tant que superviseur pour superviser le traitement des données personnelles dans le cadre de la réglementation sur la protection de la vie privée. Les tâches de la GBA sont : la supervision, le conseil, l'information, la fourniture d'informations et la responsabilité et les tâches internationales.

Le RGPD dispose de 6 bases pour le traitement des données personnelles :
  • consentement de la personne concernée pour le traitement des données ;
  • le traitement des données est nécessaire à l'exécution d'un accord ;
  • le traitement des données est nécessaire au respect d'une obligation légale ;
  • le traitement des données est nécessaire pour protéger des intérêts vitaux ;
  • le traitement des données est nécessaire à l'exécution d'une mission d'intérêt public ou à l'exercice de l'autorité publique ;
  • le traitement des données est nécessaire à la représentation d'intérêts légitimes.

De GDPR bepaalt de volgende rechten van betrokkenen:
  1. Information: le droit de savoir ce que vous faites des données personnelles des personnes concernées.
  2. Accès: dans lequel les données personnelles sont traitées.
  3. Correction: des données personnelles.
  4. Retrait: des données personnelles de notre base de données (aussi appelé : le droit d'oublier).
  5. Limitation: du traitement des données personnelles.
  6. Objection: contre le traitement des données personnelles.
  7. Transfert: le droit de transférer des données personnelles à une autre organisation.
  8. Pas de profilage: le droit de s'opposer au profilage. Le profilage est toute forme de traitement automatisé de données à caractère personnel dans le cadre duquel certains aspects de la personnalité d'une personne physique sont évalués sur la base de données à caractère personnel, notamment en vue d'analyser ou de prévoir les performances professionnelles, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le lieu ou les déplacements.

Le RGPD ne prévoit pas de période de conservation concrète pour les données personnelles. C'est donc vous qui décidez de la durée de conservation de vos données personnelles. Il est toutefois important que vous ne conserviez pas ces données plus longtemps que nécessaire aux fins pour lesquelles elles ont été recueillies et utilisées. Il est bon d'inscrire vos considérations dans le registre de traitement.

Des mesures

Comment mon organisation devient-elle conforme au RGPD ?
  • Créer une politique de confidentialité: où vous faites attention, par ex. minimisation des données, transparence, procédures de sauvegarde du trafic international de données.
  • Nomination d'un FG/DPO: la nomination/la nomination d'un responsable interne lorsque vous traitez des données personnelles spéciales à grande échelle ;
  • Compiler un registre de traitement: l'enregistrement de tous les traitements de données personnelles avec des informations sur le traitement effectué et comment, complétées par les périodes de conservation et la manière dont vous garantissez les droits des personnes concernées à cet égard ;
  • Politique de violation de données: déterminer les procédures pour les violations de données et maintenir un rapport de toutes les violations de données (présumées), y compris les mesures prises à cet égard;
  • DPIA (le cas échéant): mener une évaluation d'impact sur la protection des données pour les nouvelles activités de traitement présentant un risque accru pour la vie privée.
  • Conclure des accords de sous-traitant: avec tous les processeurs dans lesquels les responsabilités et les procédures ont été convenues des deux côtés ;
  • Confidentialité dès la conception par défaut: mettre en œuvre la protection des données via la conception et les paramètres par défaut des applications (web) ;
  • Mesures de sécurité techniques: entre autres pour créer des mots de passe, envoyer des fichiers en toute sécurité, site Web sécurisé (vous pouvez éventuellement faire effectuer un hack à titre de test);
  • Manuel interne: accroître la sensibilisation interne à la vie privée et mettre en œuvre une méthode de travail conforme au manuel.

Si une plainte est déposée au sujet de votre organisation, l'Autorité de protection des données enquêtera sur vous. Et si cette enquête détermine que vous n'êtes pas suffisamment respectueux de la vie privée, votre amende peut aller jusqu'à 4 % de votre chiffre d'affaires annuel mondial avec un maximum de 20 millions d'euros.

Un délégué à la protection des données (DPO) est la personne qui est responsable au sein d'une organisation de la conformité et de l'application du RGPD. Il s'agit souvent d'une personne externe, généralement avec une formation juridique.

La désignation d'un DPO est obligatoire pour certaines organisations, compte tenu des grandes quantités de données personnelles traitées ou lorsqu'il s'agit de données personnelles particulières. Ceci est également toujours obligatoire pour les gouvernements et les organisations publiques. Vous ne savez pas si vous êtes obligé de nommer un tel responsable, mais traitez-vous des données personnelles à une échelle raisonnable ? Ensuite, vous feriez mieux de choisir de jouer la sécurité et de nommer quelqu'un pour cela. Signalez toujours le DPO à l'Autorité de protection des données.

Lorsque des données personnelles tombent entre les mains de tiers qui ne devraient pas avoir accès à ces données, il y a violation de données. Il s'agit d'un incident au cours duquel des données personnelles sont perdues ou ont été ou peuvent avoir été transmises, vues ou modifiées sans autorisation à la suite d'un problème de sécurité. On peut penser à : des fuites de fichiers informatiques, un e-mail qui a été envoyé aux mauvaises adresses e-mail, un ordinateur portable volé ou une clé USB perdue, des cyberattaques, etc. dans la mesure où des données personnelles sont impliquées. Vous êtes tenu de signaler toutes les violations de données à la GBA et à votre DPO et, si nécessaire, vous devez également informer la personne concernée (obligation de signalement).

Les organisations sont tenues de démontrer par des documents qu'elles ont pris des mesures organisationnelles et techniques appropriées et efficaces pour se conformer aux principes et obligations du RGPD. Entre autres, vous devez enregistrer comment vous effectuez quelles opérations de traitement, sur quelle base et pendant combien de temps vous conservez les données personnelles. Il s'agit d'un document crucial et s'appelle un registre de traitement.

Le RGPD indique que vous devez informer correctement les personnes concernées sur les données personnelles traitées, à quelles fins et sur la base de quels motifs. Vous pouvez le faire, par exemple, dans une déclaration de confidentialité. Mais vous pouvez également informer les personnes concernées à d'autres moments, par exemple dans un module de commande en ligne.

Une DPIA, Data Protection Impact Assessment, est une enquête sur les risques d'un traitement avant qu'il n'ait lieu. Cette enquête peut être un outil obligatoire dans certains cas, par exemple lorsque des données personnelles sont traitées systématiquement et à grande échelle.

Marché B2B

Sur le marché des entreprises, il y a principalement des données d'entreprise. Ceux-ci ne relèvent pas du champ d'application du RGPD, dans la mesure où ils ne peuvent pas être attribués à une personne. Bien entendu, il peut y avoir un traitement possible des données personnelles. Pensez aux données personnelles des clients, clients potentiels et anciens. Cela concerne, entre autres, les données que vous stockez dans votre système CRM : adresses e-mail personnelles, numéros de téléphone directs, coordonnées bancaires, etc. Veuillez noter que vous n'incluez que les données nécessaires à l'exécution du contrat, ou que vous demandez autrement l'autorisation ou avez un intérêt légitime dans le traitement. Par exemple, il n'est (très probablement) pas nécessaire d'inclure les loisirs, les préférences ou la date de naissance de votre entreprise cliente. Dans ce cas, vous devez donc omettre cette information.

Si vous utilisez le marketing par e-mail, vous devrez dans un premier temps faire face à la législation relative à l'opt-in (à l'avenir dans la loi e-Privacy) en ce qui concerne l'utilisation de ce canal. Celui-ci stipule, entre autres, que vous devez demander l'autorisation préalable du destinataire pour être autorisé à envoyer des e-mails dans la mesure où il n'y a pas de relation client avec le destinataire et qu'il ne s'est pas désabonné. Sauf si vous utilisez une adresse e-mail générale, par exemple : [email protected],, [email protected] et cetera. En outre, vous utilisez généralement des données personnelles, telles que des adresses e-mail personnelles, des numéros de téléphone directs et d'autres données pouvant être liées à des personnes. Pour cela, vous devez faire face au RGPD.

Vous devrez peut-être faire face au RGPD dans les campagnes marketing sur les réseaux sociaux, dans la mesure où vous souhaitez faire correspondre des listes d'adresses e-mail avec votre campagne sur les réseaux sociaux, par exemple. Le remarketing (l'affichage ciblé de publicités auprès de personnes ayant déjà visité votre site Web) en fait également partie.

Si vous souhaitez contacter des personnes physiques par téléphone, vous devez tenir compte de la liste Do Not Call Me, également appelée Do Not Call Me (DNCM). La liste Ne m'appelez pas concerne à la fois les prospects et les clients existants. En outre, vous devez également traiter ici du RGPD, dans la mesure où vous utilisez des numéros de téléphone directs, des personnes de contact et d'autres informations pouvant être considérées comme des données personnelles dans votre liste d'appels.

Lorsqu'il y a un transfert de données à caractère personnel d'un contrôleur à un autre, cela est appelé « responsabilité en chaîne ». Ainsi, l'étendue de votre responsabilité va au-delà de vos propres activités. Après tout, vous devez également faire un effort pour garantir la protection des données lorsqu'il y a un transfert de données au sein de la chaîne.

Le RGPD s'applique à tous les pays de l'UE. Si vos produits ou services sont achetés en dehors de l'UE, il est possible que les règles de confidentialité y soient moins strictes. Ces pays dits « tiers » sont tous des pays extérieurs à l'UE, à l'exception des pays de l'Espace économique européen (EEE : Norvège, Liechtenstein et Islande). Vous ne pouvez vendre que dans des pays disposant d'un niveau de protection approprié.
Loading...