RGPD
L'entreprise et la protection des données à caractère personnel
Les données à caractère personnel sont devenues le nouvel or noir numérique.
Objets d’enjeux financiers considérables, ces données sont soumises à une législation contraignante afin d’en garantir la libre circulation au sein de l’Union Européenne, mais également en contrepartie en assurer une protection maximale en imposant des règles strictes aux entreprises traitant de telles données.
C’est ainsi que le 25 mai 2018 est entré en vigueur le désormais célèbre RGPD, ou Règlement Général sur la Protection des Données à caractère personnel.
Une donnée à caractère personnel est définie par le RGPD comme étant toute information se rapportant à une personne physique identifiée ou identifiable.
Le RGPD organise et renforce les obligations des acteurs impliqués dans le traitement (la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction) de ces données à caractère personnel.
Tenue d’un registre, obligation d’information des personnes concernées, privacy by design et by default, notification en cas de violation de données, obligation de respecter les droits des personnes concernées (accès, rectification, effacement, etc.) sont autant de pièces d’un puzzle complexe.
Fichiers clients ou fournisseurs, prospect, candidats à l’embauche, données du personnel… votre entreprise traite nécessairement des données à caractère personnel et se voit donc soumise aux obligations du RGPD.
Mais outre l’aspect contraignant de cette législation, le RGPD peut également représenter une plus value pour l’entreprise en lui permettant de renforcer le secret de ses données confidentielles, et ainsi leur faire bénéficier de la protection prévue par la loi sur le secret des affaires.
Conseil et accompagnement à la mise en conformité
reef legal s’occupe d’un large éventail de questions :
- accompagnement à la mise en conformité
- soutien dans la conception des nouveaux produits et services
- traitement des flux transfrontaliers des données
- atteintes à la sécurité des données
- demandes d’accès des personnes concernées, notamment les cas litigieux
- conseils sur les questions de confidentialité et de profilage qui se posent dans le cadre du marketing, y compris en ce qui concerne l’utilisation de cookies et d’autres technologies similaires.
Gestion des incidents et du contentieux
reef legal gère des incidents de violation de données en vous accompagnant dans votre obligation de notification.
reef legal a développé une expérience significative dans le contentieux de la protection des données personnelles, que ce soit devant l’autorité de contrôle, devant le juridictions civiles ou encore devant les juridictions pénales.
Audit de conformité au RGPD
reef legal procède à un audit de la conformité de votre entreprise au RGPD. Un rapport d’audit vous est communiqué reprenant l’analyse de la conformité de votre entreprise, ainsi qu’un plan d’action à mettre en place afin d’améliorer cette conformité.
Conseil et accompagnement à la mise en conformité au RGPD
Sur base du rapport d’audit précité, reef legal vous accompagne dans la mise en place de votre plan d’action de mise en conformité au RGPD.
Identification des traitements de données à caractère personnel, mise en place d’un registre des traitements, rédaction et implémentation de protocoles divers, établissement des contrats de sous-traitance de données à caractère personnel, etc.
Réponse aux requêtes d'accès des personnes concernées
Les personnes physiques dont votre entreprise traite les données à caractère personnel, appelées personnes concernées, disposent d’un certain nombre de droits, dont le droit d’accès.
Toute personne concernée a le droit d’obtenir du responsable du traitement, c’est-à-dire vous, la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que diverses informations précisées dans le RGPD.
Vous devez répondre à cette requête dans un délai de maximum un mois. Ce délai pouvant être étendu dans certaines circonstances.
Ne pas répondre à une telle requête, y répondre incomplètement, ou y répondre mal, vous expose à une sanction administrative ou judiciaire.
reef legal vous assiste dans le cadre d’une telle requête.
Violation de données
Le RGPD définit une violation de donnée comme étant une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Cette définition va bien plus loin que le simple piratage informatique.
Imaginons par exemple un hôpital victime d’une panne d’alimentation électrique. Du fait de cette panne, il est impossible d’accéder aux dossiers des patients. Les services de chirurgie décident dès lors de reporter les interventions chirurgicales du jour.
Le fait, pour cet hôpital, de ne pas pouvoir accéder aux données personnelles de ses patient à un moment où il supposer pouvoir y accéder constitue une violation de données à caractère personnel.
Il en va de même pour par exemple la suppression accidentelle d’une base de données clients, ou encore de l’envoi à un mauvais destinataire d’un email contenant des données à caractère personnel.
A moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, cette violation doit faire l’objet d’une notification à l’autorité de contrôle compétente (CNPD pour le Luxembourg, APD pour la Belgique ou CNIL pour la France) dans un délai de 72 heures après avoir pris connaissance de la violation de données.
En cas d’incident dont vous soupçonnez qu’il s’agit d’une violations de données à caractère personnel, contactez immédiatement reef legal au +352 28 38 45 03.
Analyse d'impact
Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
reef legal vous assiste et vous conseille dans la réalisation d’une telle analyse d’impact.
Contentieux et litige
Le contentieux de la protection des données à caractère personnel peut se présenter sous des formes diverses, souvent cumulables.
Dans chaque Etat de l’Union Européenne, une autorité de contrôle a été créée, chargée de vérifier le respect du RGPD par les entreprises relevant de leur juridiction : la CNPD au Luxembourg, l’APD en Belgique et la CNIL en France.
Ces autorités de contrôle ont le pouvoir d’infliger des amendes pouvant aller jusqu’à 20.000.000 d’euros, ou 4% du chiffre d’affaires de l’entreprise.
Une entreprise responsable de traitement, ou sous-traitant de données à caractère personnel, est également susceptible de se voir réclamer des dommages et intérêts devant les juridictions judiciaires civiles.
Enfin, selon les cas, des poursuites pénales peuvent également être engagées contre un responsable de traitement ou un sous-traitant de données à caractère personnel.
reef legal vous conseille, vous assiste et défend vos intérêts dans tous types de contentieux et de litiges.
N’attendez-pas, prenez contact dès les prémices d’un tel contentieux.
DPO as a Service
Le rôle de Délégué à la Protection des Données (ou « DPO ») est une fonction officielle au sein de l’entreprise organisé par le RGPD.
Obligation pour une autorité publique.
Toute autorité publique a l’obligation de désigner un délégué à la protection des données. Une telle désignation, hors certains cas, n’est pas systématiquement obligatoire dans les entreprises privées.
Pas (toujours) obligatoire pour les entreprises et associations, mais fortement recommandé dans beaucoup de cas.
Plus votre entreprise traite des données personnelles, plus le cœur de son activité est centré sur ce type de données, et plus il vous sera utile et recommandable d’en désigner un.
Les missions du délégué à la protection des données.
Les missions du délégué à la protection des données sont, au moins, les suivantes :
- informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du RGPD et des législations nationales applicables ;
- contrôler le respect du RGPD et toutes autres législations en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
- dispenser des conseils, sur demande ;
- coopérer avec l’autorité de contrôle ;
- faire office de point de contact pour l’autorité de contrôle.
Des compétences spécifiques imposées par le RGPD.
Un tel rôle nécessite une connaissance approfondie de la législation en vigueur, mais également de la jurisprudence des autorités de protection, ainsi que des lignes directrices publiées par celles-ci.
Attention aux conflits d’intérêts lorsque le DPO est un membre du personnel.
Si le délégué à la protection des données peut être un membre du personnel, l’obligation faite par le Règlement de ne pas rencontrer de conflit d’intérêt dans son chef, ainsi que sa nécessaire indépendance vis-à-vis du responsable du traitement (ou du sous-traitant) fait qu’il est dans la majorité des cas plus simple et plus transparent de désigner un prestataire externe en vue d’exercer le rôle de délégué à la protection des données pour l’entreprise.
Désignez un délégué à la protection des données externe !
reef legal vous propose de remplir le rôle de délégué à la protection des données.
Après un premier audit, nous définissons ensemble la fréquence et le périmètre de notre intervention.
Nous pouvons également agir en qualité de délégué à la protection des données au sein de votre entreprise le temps de procéder à la formation d’un délégué désigné en interne que nous pouvons par la suite coacher en lui faisant bénéficier de notre expertise et de notre expérience.
Les services de DPO as a Service sont disponibles à partir de 500 EUR hors taxes par mois. Contactez reef legal pour en savoir plus en écrivant à contact@reeflegal.lu ou en téléphonant au +352 28 38 45 01.