source: Newsletter PME – Projet BOOST
nr. 1 | mars 2020

FLASH NEWS

COVID-19 et traitement de données personnelles sur le lieu de travail
L’Autorité de protection des données (APD) a publié des réponses sous forme de FAQ aux questions récurrentes concernant les mesures préventives prises par des entreprises et des employeurs pour lutter contre le virus COVID-19, et les conditions dans lesquelles des données personnelles des travailleurs – en particulier des données de santé – peuvent être traitées dans ce contexte.

L’APD rappelle quelques principes généraux en matière de protection des données qui s’appliquent même dans le cadre de la prise de mesures sanitaires préventives, notamment la licéité du traitement (Article 6.1 du RGPD) et les principes de transparence (Article 5.1a) du RGPD), proportionnalité et minimisation (Article 5.1c) du RGPD).

De plus, le Comité européen pour la protection des données (CEPD) a publié une déclaration au niveau européen pour expliquer les règles concernant le traitement des données dans le cadre de la crise du COVID-19. Cette déclaration couvre, entre autres, l’utilisation des données de géolocalisation des individus par les autorités publiques, ainsi que l’utilisation de données relatives à la santé des employés par les employeurs.

Lire plus

ACTIONS PROJET BOOST

Avancement du projet BOOST
Le travail pour le projet BOOST a bel et bien commencé. Pour rappel, son objectif est d’accroitre la connaissance des micro, petites et moyennes entreprises (PME) belges du Règlement général sur la protection des données (RGPD) et de les soutenir dans l’implémentation de ce Règlement. Cette première newsletter et ces éditions ultérieures figurent parmi les différents types de supports qui seront développés pour les PME.

Les partenaires du projet se sont réunis pour la première fois le 17 janvier dernier afin de discuter des premières actions du projet. La VUB effectue actuellement un travail d’évaluation concernant les enjeux majeurs du RGPD auxquels les PME sont confrontées. À cette fin, plusieurs rencontres ont eu lieu avec les organisations sectorielles représentatives des PME.

Les partenaires du projet sont: l’Autorité de protection des données (APD), le département imec-SMIT de la Vrije Universiteit Brussel (VUB), le département CiTiP de la KU Leuven (KUL) et le département NADI-CRIDS de l’Université de Namur (UNamur).

Lire plus

NEWS AU NIVEAU NATIONAL

Plan stratégique de l’APD : une vision d’avenir

Depuis le 25 Mai 2018, date d’entrée en vigueur du RGPD, l’ancienne Commission de la protection de la vie privée (CPVP) est devenue l’Autorité de protection des données (APD). Avec ce changement s’amorce un nouveau chapitre de la protection de la vie privée des citoyens en Belgique.

En l’occurrence, l’APD a identifié dans son plan stratégique les PME comme l’un des secteurs prioritaires pour 2020-2025. Ainsi, les PME feront l’objet d’une attention particulière de la part de l’APD qui déploiera des efforts supplémentaires pour les guider, conseiller et sensibiliser au RGPD.

Pour mener à bien cette mission, l’APD s’efforce de trouver un équilibre entre, d’une part, bien informer sur les règles en vigueur, et d’autre part, faire appliquer ces règles.

Lire plus

Marketing direct et le RGPD
Le marketing direct est utilisé quotidiennement par de nombreux acteurs, y compris des PME, à l’attention de millions de personnes, et à l’aide de techniques de plus en plus sophistiquées. Le Centre de Connaissances de l’APD a donc publié une recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct pour clarifier les règles du jeu. Très complète, elle se rapporte à tous les points cruciaux du RGPD en lien avec le marketing direct, tels que le phénomène des « data brokers », le profilage et la base légale du traitement. Si vous êtes actif dans ce domaine, nous vous encourageons à consulter cette recommandation afin de connaitre votre rôle, ainsi que les responsabilités et obligations qui vous incombent en vertu du RGPD.

De plus, les clients que vous ciblez avec du marketing direct ont confiance en vous, ce qui s’avère être un avantage concurrentiel sur le marché. C’est pourquoi vous avez tout à gagner à ne pas perdre cette confiance avec des pratiques illégitimes quant à l’usage de leurs données.

La nouvelle recommandation a été présentée par l’APD à l’occasion de l’évènement du 6 février dernier, organisé par l’association Cap Numérique à une audience majoritairement composée de PME. À cette occasion l’APD a également rappelé quelles sont les obligations majeures liées au RGPD incombant aux PME, telles que le principe de licéité (Article 6 du RGPD), le consentement valable (Considérant 32 et article 7 du RGPD), la rédaction de la charte vie privée (Articles 12, 13 et 14 du RGPD) ou encore la tenue d’un registre des activités de traitement (Article 30 du RGPD).

Nous invitons les PME à consulter les slides de présentations qui sont disponibles sur le site de l’organisateur. En plus des conseils généraux, vous pouvez y trouver des conseils concernant les traitements de données personnelles à des fins de marketing (par exemple dans le cadre de newsletters et de tracking publicitaire), la conception de sites, ainsi que la relation entre le responsable du traitement et le sous-traitant.

Lire plus

Analyse d’Impact relative à la protection des données (AIPD)
L’analyse d’impact relative à la protection des données (AIPD, aussi appelée « DPIA » en anglais), dont il est question à l’Article 35 du RGPD, est une procédure destinée à évaluer si un traitement de données personnelles comporte des risques pour les droits et libertés de la personne dont les données sont traitées, et la manière dont ces risques peuvent être maîtrisés.

Vous vous demandez surement : quand l’AIPD est-elle obligatoire ? Pour répondre à cette question, l’APD a publié une liste de catégories de traitements de données personnelles nécessitant la réalisation d’une AIPD. Intéressons-nous à certains types de traitements dans cette liste qui pourraient être effectués par une PME :

• traitements à grande échelle de données personnelles générées au moyen d’appareils dotés de capteurs qui envoient des données via Internet ou via un autre moyen (applications de « l’Internet des objets », comme les télévisions intelligentes, les appareils ménagers intelligents, les jouets connectés, les « smart cities », les compteurs d’énergie intelligents, etc.), et que ce traitement sert à analyser ou prédire la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements de personnes physiques ;
• traitements de données personnelles à grande échelle où le comportement de personnes physiques est observé, collecté, établi ou influencé, y compris à des fins publicitaires, et ce de manière systématique via un traitement automatisé.
Si vous envisagez un des types de traitements identifiés dans cette liste, il vous faudra impérativement réaliser une AIPD avant de procéder au traitement.

Lire plus

NEWS AU NIVEAU EUROPÉEN

Les projets SMOOTH et STAR II

Tout comme le projet BOOST, deux autres projets financés par des fonds européens ont vu le jour, SMOOTH et STAR II, qui eux aussi ont pour objectif de sensibiliser les PME au RGPD et leur apporter des outils pour faciliter la mise en conformité.

Le projet SMOOTH vise précisément les micro entreprises et tente de faciliter leur conformité avec le RGPD en proposant des outils simples et pratiques tel qu’un manuel interactif en ligne pour mieux comprendre le RGPD.

Lire plus

Tandis que le projet STAR II vise le PME à l’échelle européenne dans le but de les sensibiliser au RGPD. À cette fin, plusieurs initiatives ont été lancées (hors Belgique) telles que des campagnes de sensibilisation et une « hot line » pour PME.

Lors de la 13ème édition de la conférence « Computers, Privacy and Data Protection (CPDP2020) » en date du 22 janvier dernier, ces deux projets ont été présentés, ainsi que des observations sur les difficultés rencontrées par les PME dans la mise en œuvre du RGPD.

Revoir la présentation

Arrêt « Fashion ID » de la CJUE
Dans son arrêt « Fashion ID » la Cour de justice de l’Union Européenne (CJUE) a clarifié la notion de responsables conjoints du traitement (Article 26 du RGPD). Concrètement, la CJUE a déterminé qu’une société de vente en ligne qui a intégré sur son site Internet le bouton « j’aime » de Facebook (aussi appelé « plugiciel » ou « third party plugin») est responsable conjointement avec Facebook pour les données personnelles des utilisateurs du site. Toutefois, cette responsabilité conjointe est limitée aux seules opérations liées à la collecte des données via le site et leur transmission vers Facebook.

Il suit dès lors que toute PME qui insère sur son site ce genre de « plugiciel » se voit dans l’obligation de :
• fournir aux utilisateurs de son site les informations requises sur les opérations de traitement de leurs données, et
• lorsque c’est exigé, de recevoir leur consentement avant la collecte et la transmission des données.
Soyez donc très prudent si vous envisagez d’utiliser ce genre de « plugiciel » !

Lire plus

Arrêt « Planet 49 » de la CJUE
Cette fois-ci, la CJUE considère dans son arrêt « Planet 49 » que le placement des cookies requiert le consentement actif des utilisateurs d’un site Internet. Le consentement n’est pas valable s’il est obtenu au moyen d’une case cochée par défaut que les utilisateurs doivent décocher pour refuser de donner leur consentement (aussi appelé « opt-out »).

Par conséquent, les PME actives dans le monde digital devront revoir leur politique de cookies afin de se conformer aux exigences strictes liées à l’octroi du consentement. Ce dernier est indispensable pour tous les cookies (sauf les cookies fonctionnels) et doit être le résultat d’un acte explicite (un comportement actif et non pas passif) de la part des utilisateurs, sans quoi, leur consentement ne pourra être considéré comme valable.

Ce point est abordé plus en détail dans la recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct.

Lire plus

Stratégies pour l’avenir numérique
Dans un contexte mondial de course au développement des technologies toujours plus poussées, la Commission Européenne (CE) a dévoilé ses stratégies en matière de données et d’intelligence artificielle (IA) afin de façonner l’avenir numérique de l’Europe. Cela comprend une stratégie européenne pour les données (COM(2020) 66 final) et un livre blanc sur l’Intelligence Artificielle (COM(2020) 65 final). Leur objectif ? Ils proposent des actions pour mettre en place un futur cadre règlementaire relatif à l’économie des données et au développement d’une IA éthique et digne de confiance, tout en mitigeant les risques portés par la collecte des données personnelles.
La stratégie européenne pour les données entend établir un marché unique des données pour mobiliser les données inutilisées, en autorisant leur libre circulation dans l’Union et entre les secteurs, au bénéfice, entre autres, des entreprises. Le livre blanc sur l’IA tente de créer des catalyseurs pour permettre l’adoption et le déploiement de l’IA.
De plus, les moyens d’action proposés dans ces deux initiatives prennent en considération les besoins des PME et visent à soutenir leur participation dans l’avenir numérique.

Lire plus

Si vous désirez recevoir ces newsletters, veuillez-vous inscrire via la page d’accueil du site Internet de L’APD (tout en bas de la page): https://www.autoriteprotectiondonnees.be/

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire