comment se préparer à l'entrée en vigueur du gdpr?

Comment se préparer à l’entrée en vigueur du GDPR ?

Bénédicte Losdyck

Avocate – Crosslaw

Chercheuse au CRIDS – Université de Namur

[email protected]

Situation actuelle au sein de votre entreprise

En conformité avec la directive 95/46/CE sur la protection des données? Oui De nouvelles obligations sont imposées par le Règlement

Non Il est temps de se mettre en règle avant l’entrée en vigueur duRèglement en 2018

Le Règlement : Précise les obligations qui existaient sous l’empire de la directive

Et en ajoute de nouvelles

Brussels - Kortrijk | www.crosslaw.be 2

Simplifications apportées par le Règlement

Règles identiques pour toute l’Union européenne (UE)

Champ d’application Etablissement dans l’UE

Etablissement en dehors de l’UE

Plus d’obligation de déclaration préalable à l’autorité de contrôle

Mécanisme « One Stop Shop » ou « guichet unique » Supervision d’une seule autorité même si établissements dans plusieurs Etats

membres

Possibilité d’avoir un seul DPO pour l’ensemble du groupe


Quel est le processus à suivre pour être prêt ?

Mettre en place une équipe et lui allouer un budget Déterminer si les traitements de données sont documentés

Oui Vérifier si documentation conforme à la directive Non Faire un audit des traitements de données à caractère personnel existants

Sur cette base, établir une documentation décrivant les traitements réalisés Obligation pour le responsable et le sous-traitant de tenir un registre interne incluant:

• Noms et données de contact• Finalité du traitement• Catégories de personnes concernées et données traitées• Destinataires• Transferts vers les pays tiers• Délai de conservation• Mesures techniques & organisationnelles

Dispense prévue pour les PME (<250 employés) sous réserve d’exceptions



Vérifier que vos traitements reposent sur un fondement adéquat

Traitement opéré sur base du consentement ? Si oui, attention car cette notion est définie plus strictement par le Règlement

Le silence ne suffit plus• Nécessité d’une action positive (déclaration ou acte positif univoque)

Prendre en considération le droit de rétractation Distinguer le fondement du traitement en fonction des finalités

• Nécessaire à l’exécution du contrat/réalisation de l’intérêt légitime du responsable

• Marketing, profiling,…

Solution? Dashboard



Prendre en considération le Privacy by design et by default

Faire une analyse d’impact pour les traitements à hauts risques Evaluation a priori

Avis du DPO requis si existant

Besoin d’un Data Protection Officer? Oui, si autorités ou organismes publics

Oui, si activité principale consiste en du profiling à grande échelle

Oui, si activité principale consiste en du traitement de données spécifiques ou relatives à des condamnations pénales à grande échelle

D’autres possibilités peuvent être prévues au niveau national



Se préparer à une éventuelle fuite de données Préparer sa réaction a priori

Mettre en place des procédures de notification Notification à l’autorité de supervision

Sans retard et au plus tard endéans les 72h Si impossible : justifier

Exception si pas de risque pour les droits et libertés des personnes concernées

Notification à la personne concernée En cas de risque pour ses droits et libertés

Crypter peut permettre d’être exempté

Sous-traitant doit notifier au responsable du traitement sans délai


Comment limiter les risques ?

Documenter vos traitements de données à caractère personnel

Evaluer l’ensemble des contrats existants dans lesquels votre entreprise est responsable du traitement des données ou sous-traitant Amendement/renforcement de certaines obligations contractuelles requis?

Modifier les contrats types en prévoyant Les droits et obligations du responsable du traitement

Les obligations du sous-traitant

Réviser vos politiques en matière de vie privée

Former vos équipes


Merci pour votre attention. Questions?


comment se préparer à l'entrée en vigueur du gdpr?

Law