source: Newsletter PME – Projet BOOST
\nnr. 1 | mars 2020<\/p>\n
FLASH NEWS<\/p>\n
COVID-19 et traitement de donn\u00e9es personnelles sur le lieu de travail
\nL’Autorit\u00e9 de protection des donn\u00e9es (APD) a publi\u00e9 des r\u00e9ponses sous forme de FAQ aux questions r\u00e9currentes concernant les mesures pr\u00e9ventives prises par des entreprises et des employeurs pour lutter contre le virus COVID-19, et les conditions dans lesquelles des donn\u00e9es personnelles des travailleurs – en particulier des donn\u00e9es de sant\u00e9 – peuvent \u00eatre trait\u00e9es dans ce contexte.<\/p>\n
L\u2019APD rappelle quelques principes g\u00e9n\u00e9raux en mati\u00e8re de protection des donn\u00e9es qui s\u2019appliquent m\u00eame dans le cadre de la prise de mesures sanitaires pr\u00e9ventives, notamment la lic\u00e9it\u00e9 du traitement (Article 6.1 du RGPD) et les principes de transparence (Article 5.1a) du RGPD), proportionnalit\u00e9 et minimisation (Article 5.1c) du RGPD).<\/p>\n
De plus, le Comit\u00e9 europ\u00e9en pour la protection des donn\u00e9es (CEPD) a publi\u00e9 une d\u00e9claration<\/a> au niveau europ\u00e9en pour expliquer les r\u00e8gles concernant le traitement des donn\u00e9es dans le cadre de la crise du COVID-19. Cette d\u00e9claration couvre, entre autres, l\u2019utilisation des donn\u00e9es de g\u00e9olocalisation des individus par les autorit\u00e9s publiques, ainsi que l\u2019utilisation de donn\u00e9es relatives \u00e0 la sant\u00e9 des employ\u00e9s par les employeurs.<\/p>\n Lire plus<\/a><\/p>\n ACTIONS PROJET BOOST<\/p>\n Avancement du projet BOOST Les partenaires du projet se sont r\u00e9unis pour la premi\u00e8re fois le 17 janvier dernier afin de discuter des premi\u00e8res actions du projet. La VUB effectue actuellement un travail d\u2019\u00e9valuation concernant les enjeux majeurs du RGPD auxquels les PME sont confront\u00e9es. \u00c0 cette fin, plusieurs rencontres ont eu lieu avec les organisations sectorielles repr\u00e9sentatives des PME.<\/p>\n Les partenaires du projet sont: l\u2019Autorit\u00e9 de protection des donn\u00e9es (APD), le d\u00e9partement imec-SMIT de la Vrije Universiteit Brussel (VUB), le d\u00e9partement CiTiP de la KU Leuven (KUL) et le d\u00e9partement NADI-CRIDS de l\u2019Universit\u00e9 de Namur (UNamur).<\/p>\n Lire plus<\/a><\/p>\n NEWS AU NIVEAU NATIONAL<\/p>\n Plan strat\u00e9gique de l\u2019APD : une vision d\u2019avenir<\/p>\n Depuis le 25 Mai 2018, date d\u2019entr\u00e9e en vigueur du RGPD, l\u2019ancienne Commission de la protection de la vie priv\u00e9e (CPVP) est devenue l\u2019Autorit\u00e9 de protection des donn\u00e9es (APD). Avec ce changement s\u2019amorce un nouveau chapitre de la protection de la vie priv\u00e9e des citoyens en Belgique.<\/p>\n En l\u2019occurrence, l\u2019APD a identifi\u00e9 dans son plan strat\u00e9gique les PME comme l’un des secteurs prioritaires pour 2020-2025. Ainsi, les PME feront l\u2019objet d\u2019une attention particuli\u00e8re de la part de l\u2019APD qui d\u00e9ploiera des efforts suppl\u00e9mentaires pour les guider, conseiller et sensibiliser au RGPD.<\/p>\n Pour mener \u00e0 bien cette mission, l\u2019APD s\u2019efforce de trouver un \u00e9quilibre entre, d\u2019une part, bien informer sur les r\u00e8gles en vigueur, et d\u2019autre part, faire appliquer ces r\u00e8gles.<\/p>\n Lire plus<\/a><\/p>\n Marketing direct et le RGPD De plus, les clients que vous ciblez avec du marketing direct ont confiance en vous, ce qui s\u2019av\u00e8re \u00eatre un avantage concurrentiel sur le march\u00e9. C\u2019est pourquoi vous avez tout \u00e0 gagner \u00e0 ne pas perdre cette confiance avec des pratiques ill\u00e9gitimes quant \u00e0 l\u2019usage de leurs donn\u00e9es.<\/p>\n La nouvelle recommandation a \u00e9t\u00e9 pr\u00e9sent\u00e9e par l\u2019APD \u00e0 l\u2019occasion de l\u2019\u00e9v\u00e8nement du 6 f\u00e9vrier<\/a> dernier, organis\u00e9 par l\u2019association Cap Num\u00e9rique \u00e0 une audience majoritairement compos\u00e9e de PME. \u00c0 cette occasion l\u2019APD a \u00e9galement rappel\u00e9 quelles sont les obligations majeures li\u00e9es au RGPD incombant aux PME, telles que le principe de lic\u00e9it\u00e9 (Article 6 du RGPD), le consentement valable (Consid\u00e9rant 32 et article 7 du RGPD), la r\u00e9daction de la charte vie priv\u00e9e (Articles 12, 13 et 14 du RGPD) ou encore la tenue d\u2019un registre des activit\u00e9s de traitement (Article 30 du RGPD).<\/p>\n Nous invitons les PME \u00e0 consulter les slides de pr\u00e9sentations qui sont disponibles sur le site de l\u2019organisateur. En plus des conseils g\u00e9n\u00e9raux, vous pouvez y trouver des conseils concernant les traitements de donn\u00e9es personnelles \u00e0 des fins de marketing (par exemple dans le cadre de newsletters et de tracking publicitaire), la conception de sites, ainsi que la relation entre le responsable du traitement et le sous-traitant.<\/p>\n Lire plus<\/a><\/p>\n Analyse d\u2019Impact relative \u00e0 la protection des donn\u00e9es (AIPD) Vous vous demandez surement : quand l\u2019AIPD est-elle obligatoire ? Pour r\u00e9pondre \u00e0 cette question, l\u2019APD a publi\u00e9 une liste de cat\u00e9gories de traitements de donn\u00e9es personnelles n\u00e9cessitant la r\u00e9alisation d\u2019une AIPD<\/a>. Int\u00e9ressons-nous \u00e0 certains types de traitements dans cette liste qui pourraient \u00eatre effectu\u00e9s par une PME :<\/p>\n \u2022 traitements \u00e0 grande \u00e9chelle de donn\u00e9es personnelles g\u00e9n\u00e9r\u00e9es au moyen d’appareils dot\u00e9s de capteurs qui envoient des donn\u00e9es via Internet ou via un autre moyen (applications de \u00ab\u00a0l’Internet des objets\u00a0\u00bb, comme les t\u00e9l\u00e9visions intelligentes, les appareils m\u00e9nagers intelligents, les jouets connect\u00e9s, les \u00ab smart cities \u00bb, les compteurs d’\u00e9nergie intelligents, etc.), et que ce traitement sert \u00e0 analyser ou pr\u00e9dire la situation \u00e9conomique, la sant\u00e9, les pr\u00e9f\u00e9rences ou centres d’int\u00e9r\u00eat personnels, la fiabilit\u00e9 ou le comportement, la localisation ou les d\u00e9placements de personnes physiques ; Lire plus<\/a><\/p>\n NEWS AU NIVEAU EUROP\u00c9EN<\/p>\n Les projets SMOOTH et STAR II<\/p>\n Tout comme le projet BOOST, deux autres projets financ\u00e9s par des fonds europ\u00e9ens ont vu le jour, SMOOTH et STAR II, qui eux aussi ont pour objectif de sensibiliser les PME au RGPD et leur apporter des outils pour faciliter la mise en conformit\u00e9.<\/p>\n Le projet SMOOTH vise pr\u00e9cis\u00e9ment les micro entreprises et tente de faciliter leur conformit\u00e9 avec le RGPD en proposant des outils simples et pratiques tel qu\u2019un manuel interactif en ligne pour mieux comprendre le RGPD.<\/p>\n Lire plus<\/a><\/p>\n Tandis que le projet STAR II<\/a> vise le PME \u00e0 l\u2019\u00e9chelle europ\u00e9enne dans le but de les sensibiliser au RGPD. \u00c0 cette fin, plusieurs initiatives ont \u00e9t\u00e9 lanc\u00e9es (hors Belgique) telles que des campagnes de sensibilisation et une \u00ab hot line \u00bb pour PME.<\/p>\n Lors de la 13\u00e8me \u00e9dition de la conf\u00e9rence \u00ab Computers, Privacy and Data Protection (CPDP2020) \u00bb en date du 22 janvier dernier, ces deux projets ont \u00e9t\u00e9 pr\u00e9sent\u00e9s, ainsi que des observations sur les difficult\u00e9s rencontr\u00e9es par les PME dans la mise en \u0153uvre du RGPD.<\/p>\n Revoir la pr\u00e9sentation<\/a><\/p>\n Arr\u00eat \u00ab\u00a0Fashion ID\u00a0\u00bb de la CJUE Il suit d\u00e8s lors que toute PME qui ins\u00e8re sur son site ce genre de \u00ab plugiciel \u00bb se voit dans l\u2019obligation de : Lire plus<\/a><\/p>\n Arr\u00eat \u00ab\u00a0Planet 49\u00a0\u00bb de la CJUE Par cons\u00e9quent, les PME actives dans le monde digital devront revoir leur politique de cookies afin de se conformer aux exigences strictes li\u00e9es \u00e0 l\u2019octroi du consentement. Ce dernier est indispensable pour tous les cookies (sauf les cookies fonctionnels) et doit \u00eatre le r\u00e9sultat d\u2019un acte explicite (un comportement actif et non pas passif) de la part des utilisateurs, sans quoi, leur consentement ne pourra \u00eatre consid\u00e9r\u00e9 comme valable.<\/p>\n Ce point est abord\u00e9 plus en d\u00e9tail dans la recommandation relative aux traitements de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins de marketing direct.<\/a><\/p>\n Lire plus<\/a><\/p>\n Strat\u00e9gies pour l\u2019avenir num\u00e9rique
\nLe travail pour le projet BOOST a bel et bien commenc\u00e9. Pour rappel, son objectif est d\u2019accroitre la connaissance des micro, petites et moyennes entreprises (PME) belges du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) et de les soutenir dans l\u2019impl\u00e9mentation de ce R\u00e8glement. Cette premi\u00e8re newsletter et ces \u00e9ditions ult\u00e9rieures figurent parmi les diff\u00e9rents types de supports qui seront d\u00e9velopp\u00e9s pour les PME.<\/p>\n
\nLe marketing direct est utilis\u00e9 quotidiennement par de nombreux acteurs, y compris des PME, \u00e0 l’attention de millions de personnes, et \u00e0 l’aide de techniques de plus en plus sophistiqu\u00e9es. Le Centre de Connaissances de l\u2019APD a donc publi\u00e9 une recommandation relative aux traitements de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins de marketing direct<\/a> pour clarifier les r\u00e8gles du jeu. Tr\u00e8s compl\u00e8te, elle se rapporte \u00e0 tous les points cruciaux du RGPD en lien avec le marketing direct, tels que le ph\u00e9nom\u00e8ne des \u00ab data brokers \u00bb, le profilage et la base l\u00e9gale du traitement. Si vous \u00eates actif dans ce domaine, nous vous encourageons \u00e0 consulter cette recommandation afin de connaitre votre r\u00f4le, ainsi que les responsabilit\u00e9s et obligations qui vous incombent en vertu du RGPD.<\/p>\n
\nL\u2019analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es (AIPD, aussi appel\u00e9e \u00ab DPIA \u00bb en anglais), dont il est question \u00e0 l’Article 35 du RGPD, est une proc\u00e9dure destin\u00e9e \u00e0 \u00e9valuer si un traitement de donn\u00e9es personnelles comporte des risques pour les droits et libert\u00e9s de la personne dont les donn\u00e9es sont trait\u00e9es, et la mani\u00e8re dont ces risques peuvent \u00eatre ma\u00eetris\u00e9s.<\/p>\n
\n\u2022 traitements de donn\u00e9es personnelles \u00e0 grande \u00e9chelle o\u00f9 le comportement de personnes physiques est observ\u00e9, collect\u00e9, \u00e9tabli ou influenc\u00e9, y compris \u00e0 des fins publicitaires, et ce de mani\u00e8re syst\u00e9matique via un traitement automatis\u00e9.
\nSi vous envisagez un des types de traitements identifi\u00e9s dans cette liste, il vous faudra imp\u00e9rativement r\u00e9aliser une AIPD avant de proc\u00e9der au traitement.<\/p>\n
\nDans son arr\u00eat \u00ab Fashion ID<\/a> \u00bb la Cour de justice de l\u2019Union Europ\u00e9enne (CJUE) a clarifi\u00e9 la notion de responsables conjoints du traitement (Article 26 du RGPD). Concr\u00e8tement, la CJUE a d\u00e9termin\u00e9 qu\u2019une soci\u00e9t\u00e9 de vente en ligne qui a int\u00e9gr\u00e9 sur son site Internet le bouton \u00ab j\u2019aime \u00bb de Facebook (aussi appel\u00e9 \u00ab plugiciel \u00bb ou \u00ab third party plugin\u00bb) est responsable conjointement avec Facebook pour les donn\u00e9es personnelles des utilisateurs du site. Toutefois, cette responsabilit\u00e9 conjointe est limit\u00e9e aux seules op\u00e9rations li\u00e9es \u00e0 la collecte des donn\u00e9es via le site et leur transmission vers Facebook.<\/p>\n
\n\u2022 fournir aux utilisateurs de son site les informations requises sur les op\u00e9rations de traitement de leurs donn\u00e9es, et
\n\u2022 lorsque c’est exig\u00e9, de recevoir leur consentement avant la collecte et la transmission des donn\u00e9es.
\nSoyez donc tr\u00e8s prudent si vous envisagez d\u2019utiliser ce genre de \u00ab plugiciel \u00bb !<\/p>\n
\nCette fois-ci, la CJUE consid\u00e8re dans son arr\u00eat \u00ab Planet 49 \u00bb<\/a> que le placement des cookies requiert le consentement actif des utilisateurs d\u2019un site Internet. Le consentement n\u2019est pas valable s’il est obtenu au moyen d\u2019une case coch\u00e9e par d\u00e9faut que les utilisateurs doivent d\u00e9cocher pour refuser de donner leur consentement (aussi appel\u00e9 \u00ab opt-out \u00bb).<\/p>\n
\nDans un contexte mondial de course au d\u00e9veloppement des technologies toujours plus pouss\u00e9es, la Commission Europ\u00e9enne (CE) a d\u00e9voil\u00e9 ses strat\u00e9gies en mati\u00e8re de donn\u00e9es et d’intelligence artificielle (IA) afin de fa\u00e7onner l\u2019avenir num\u00e9rique de l\u2019Europe. Cela comprend une strat\u00e9gie europ\u00e9enne pour les donn\u00e9es<\/a> (COM(2020) 66 final) et un livre blanc sur l\u2019Intelligence Artificielle<\/a> (COM(2020) 65 final). Leur objectif ? Ils proposent des actions pour mettre en place un futur cadre r\u00e8glementaire relatif \u00e0 l’\u00e9conomie des donn\u00e9es et au d\u00e9veloppement d\u2019une IA \u00e9thique et digne de confiance, tout en mitigeant les risques port\u00e9s par la collecte des donn\u00e9es personnelles.
\nLa strat\u00e9gie europ\u00e9enne pour les donn\u00e9es entend \u00e9tablir un march\u00e9 unique des donn\u00e9es pour mobiliser les donn\u00e9es inutilis\u00e9es, en autorisant leur libre circulation dans l’Union et entre les secteurs, au b\u00e9n\u00e9fice, entre autres, des entreprises. Le livre blanc sur l\u2019IA tente de cr\u00e9er des catalyseurs pour permettre l\u2019adoption et le d\u00e9ploiement de l\u2019IA.
\nDe plus, les moyens d\u2019action propos\u00e9s dans ces deux initiatives prennent en consid\u00e9ration les besoins des PME et visent \u00e0 soutenir leur participation dans l\u2019avenir num\u00e9rique.<\/p>\n