Protection des Donnes Personnelles

Etablir une bonne gouvernance au sein de lentreprise

Enjeux et Avantages
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 1

Avantages dune bonne gouvernance en la matire

Its all about TRUST

La confiance de la part des clients, utilisateurs et tiers impliqus des fournisseurs et partenaires, des salaris et collaborateurs, du rgulateur et des pouvoirs publics, de lopinion publique. Elle se gagne pas pas, pniblement, se consolide et se mrite tous les jours, mais un seul jour suffit , une seule faille de scurit, une indlicatesse, un abus, pour la perdre: ex. Playstation Network, Google Wifi Accountability = organised compliance, transparency and fairness, lawfulness and security in data processing
Cette naturellement les acteurs de certains secteurs dactivit que le souci dune image de marque fonde sur la confiance a dabord conduit investir dans la protection des donnes: e-commercce, IT et services sur Internet, Sant, Finance
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 2

Identification des traitements de donnes personnelles effectus dans lentreprise

Faire linventaire des processus et des fichiers utiliss au sein de lentreprise et comprenant des donnes caractre personnel Identifier et dterminer prcisment les finalits des traitements (art. 4) Vrifier la lgitimit (identifier le critre lgal porte douverture ) (art. 5) La ncessit: les donnes collectes doivent tre indispensables pour les finalits dfinies ( Datensparsamkeit ) (article 4) Principe de proportionnalit (article 4):
o o o o catgories de donnes (ne doivent pas tre excessives), oprations de traitement, destinataires, dure de conservation

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 3

Les formalits de dclaration pralable des traitements

Formalits accomplir dpendent de la finalit et des catgories de donnes traites
cf. http://www.cnpd.public.lu/fr/declarer/index.html

Exemptions (article 13 3)
Traitements anodins les plus courants (p.ex. calcul des salaires, gestion des contacts)

Notification pralable (articles 12 et 13) Formulaire standard

Constitue la rgle pour les traitements non exempts Applicable mme aux donnes de sant (sauf donnes gntiques, ou utilisation secondaire) Surveillance de personnes tierces sans enregistrement Procdure simplifie pour traitements standardiss (p.ex. lections sociales) Dlibration de la CNPD dcrivant le traitement (conditions et restrictions) Formulaire spcifique : engagement formel de conformit N.B. Il existe une formalit similaire dautorisation simplifie: p.ex contrle daccs et des horaires de travail par badges)

Notification unique (article 12 1 lettre (b))

Autorisation pralable (article 14)

Traitements caractre plus intrusif (p.ex. surveillance, donnes gntiques, biomtrie, utilisation secondaire pour recherche scientifique) Demande sous forme de lettre libre (sauf pour la vidosurveillance formulaire spcifique)
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 4

La mise en pratique de principe de laccountability: (organiser sa responsabilit)

Article 4 de la loi nonce que le responsable doit sassurer que les donnes quil traite le sont loyalement et licitement et respectent notamment les:
a) principe de finalit; b) principe de proportionnalit et de ncessit c) principe dexactitude, mise jour; d) dure limit de conservation, sinon anonymisation

Mettre en place des structures et procdures efficaces pour assurer la conformit avec la protection des donnes et la prise en charge des problmes
Elaboration dune politique de protection des donnes crite (charte) et contraignante (p.ex. pour la cration de nouveaux fichiers) Mappage/supervision des procdures Mise en place dun systme de gestion des plaintes de personnes concernes

Guidance pour les collaborateurs

Diffusion de guides dutilisation / codes de bonnes pratiques Organisation de formations Transparences quant aux procdures internes / gestion des plaintes Publication de rapports annuels dincidents et amliorations
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 5

Identification des enjeux en fonction de lactivit de lentreprise

Vrifier les mesures de scurit requises en fonction du risque datteinte
la vie prive ( sensibilit des donnes), de ltat de lart et des cots lis leur mise en uvre (article 23)
Mesures au niveau technique et de lorganisation mise en place Gestion scrupuleuse et granulaire des droits accs aux systmes (restriction au minimum ncessaire selon les fonctions et comptences des employs)

Traitement des donnes (pour compte du responsable) par un sous-traitant

- Choix dun sous-traitant apportant des garanties suffisantes - Obligation de conclure un contrat avec le sous-traitant prcisant que
le sous traitant ne peut agir que sur la seule instruction du responsable du traitement les obligations relative la scurit des traitements incombent galement ce dernier

Garantir le respect des droits des personnes concernes (phase I)

Information de la personne concerne (articles 26 et 27)
Identit du responsable du traitement Finalit(s) dtermines du traitement Destinataire(s) au(x)quel(s) sont communiqus les donnes Autres informations contribuant la transparence vis--vis de la personne concerne
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 6

Politique dinformation des personnes concernes

Assurer une transparence loyale envers les personnes concernes

Fournir des informations aux personnes concernes par des moyens appropris
En facilitant laccs aux renseignements:
Notice dinformation dans un formulaire de collecte de donnes intranet (employs) internet (clients, fournisseurs,)

Prsentation des informations au moment propice par rapport la collecte de donnes Utilisation dun langage et une prsentation faciles comprendre Information de la personne en fonction de la sensibilit des donnes

Multiplier les niveaux et supports dinformation pour la personne concerne / format multistrates (concept de la multi-layered information )
Avis succinct ( short notice ) Avis condens ( condensed notice ) Information complte ( full notice ) p.ex. notice concernant la vie prive ( privacy notice ) dcrivant les conditions juridiques et modalits pratiques exactes lintention des personnes souhaitant sinformer plus exhaustivement
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 7

Une quipe ddie en matire de protection des donnes

Cration dune instance spciale privacy officer ou privacy team au sein de lentreprise: (p.ex le compliance officer, un juriste/informaticien spcialis
Consultation de cette personne/quipe lors de la mise en place dune nouvelle procdure ou de la cration dun nouveau fichier Lui demander le cas chant une valuation de limpact sur la vie prive droits des personnes concernes ( privacy impact assessment ) en fonction de la sensibilit , des donnes traites, de la divulgation quelle engendre potentiellement et de lampleur du cercle des personnes accdant aux donnes Lui confier un rle de contrle interne, dalerte et de conseil en la matire Dorganiser priodiquement un audit externe dbouchant sur un plan daction
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 8

Linstance : le charg de la protection des donnes (I)

Fonction facultative prvue larticle 40 de la loi
Rglement grand-ducal dexcution du 27 novembre 2004 Responsable du traitement exempt du devoir de notification Niveau de formation universitaire requis (droit, conomie, ou profession rglemente)

Procdure suivre
Demande dagrment pralable prsenter la CNPD Dcision dinscription sur la liste des chargs par la CNPD Dsignation du charg de la protection des donnes par lentreprise Vrification de son indpendance par la CNPD (viter conflits dintrts, p.ex. RSSI)

Statut du charg au sein de lentreprise

Correspondant de la CNPD en parallle sa fonction habituelle dans lentreprise Jouit dune certaine indpendance vis--vis du responsable du traitement qui le dsigne Doit disposer dun temps appropri pour sacquitter de ses missions Rvocabilit

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 9

Le charg de la protection des donnes (II)

Missions pouvoirs et obligations du charg de la protection des donnes dfinies larticle 40 de la loi et dans le RGD du 27 novembre 2004
Etablir et tenir jour un registre des traitements de donnes caractre personnel mis en uvre au sein de lentreprise / communication la CNPD tous les 4 mois Contrle de lapplication des dispositions lgales rglementaires applicables aux traitements oprs par lentreprise Pouvoir dinvestigation auprs le responsable du traitement / droit linformation Fonction de mdiateur: traitement des plaintes des personnes concernes Conseiller avec rle dalerte et de recommandation: Information du responsable du traitement sur les formalits accomplir afin de se conformer aux dispositions lgales en la matire Interface entre la CNPD et le responsable du traitement: consultation de la CNPD en cas de doute quant la conformit dun traitement avec la loi Suivre une formation continue rgulire (perfection et mise jour des connaissances)
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 10

Flux internationaux de donnes : Art. 18 et 19

Niveau de protection adquat Sphre de scurit : directive 95/46/CE du 24 octobre 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation de ces donnes transpose en droit national dans les 27 pays de lUnion europenne Pays de lEspace Economique Europen (EEE) : Islande, Liechtenstein, Norvge)

Pays (tiers) dont le niveau de protection adquat a t reconnu par la Commission europenne: Suisse, Argentine, Canada, les de la Manche, Etats-Unis dAmrique (socits safe harbor )
Autres pays:

Interdiction de transfert vers des pays tiers noffrant pas un niveau de protection adquat

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 12

Transferts de donnes caractre personnel vers des pays tiers noffrant pas un niveau de protection adquat
Drogations prvues larticle 19 1 de la loi du 2 aot 2002 consentement de la personne concerne contrat conclu avec ou dans lintrt de la personne concerne intrt public important

Autorisation par la CNPD sur base de larticle 19 3 de la loi demande dment motive garanties suffisantes au regard de la protection de la vie prive, des liberts et droits fondamentaux des personnes concernes ainsi qu lexercice des droits correspondants (information, accs, rectification, opposition)

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 13

Garanties appropries
Clauses contractuelles appropries, telles que les clauses contractuelles types labores par la Commission europenne (tlchargeables partir du site Internet http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm) Identifier le rle du destinataire (importateur) des donnes selon les finalits du transfert
Responsable du traitement ralisant ses propres finalits Sous-traitant nagissant que sur instruction du responsable du traitement

Modle de contrat conclure entre lexportateur et limportateur des donnes:

dcision 2001/497/CE du 15 juin 2001 (vers un responsable du traitement) ou dcision 2004/915/CE du 27 dcembre 2004 (vers responsable,set alternatif) ou Dcision 2010/87/EU du 5 fvrier 2010 (vers un sous-traitant) sous-traitance en cascade dsormais possible, ce qui ntait pas le cas pour les clauses du 27 dcembre 2001 (dcision 2002/16/CE abroge) (N.B.: ne pas confondre avec le contrat de sous-traitance prvu larticle 22 de la loi !)

Autres mode dtablissement de garanties appropries

rgles contraignantes dentreprises / binding corporate rules (BCRs)
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 14

Garanties appropries (II): Binding corporate rules

Caractristiques et avantages Charte reprenant les principes de la protection des donnes contraignante et applicable toutes les filiales dun groupe international dentreprises Solution intressante des groupes dentreprises disposant de filiales dans le monde entier et confronts des flux de donnes rguliers Systme plus flexible et plus adapt la culture dentreprise que les clauses contractuelles types Evite de devoir recourir dinnombrables contrats passer pour chaque type de flux de donnes Procdure dapprobation dfinie: coopration des autorits nationales de la protection des donnes europennes concernes Site internet du Groupe Article 29 ddi aux rgles contraignantes dentreprises http://ec.europa.eu/justice/policies/privacy/binding_rules/index_en.htm Documents de travail ( working papers ) labors par le Groupe Article 29 (WP 74, WP107, WP108, WP153, WP154, WP155) disponibles sous http://ec.europa.eu/justice/policies/privacy/binding_rules/tools_en.htm
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 15

Structure des rgles contraignantes dentreprise WP154)

Champ dapplication; --Dfinitions Limitation des finalits Qualit des donnes et proportionnalit Condition(s) de lgitimit Traitements de donnes sensibles Transparence et droit linformation Droits daccs, de rectification, deffacement et de verrouillage des donnes Dcisions individuelles automatises Scurit et confidentialit Relations avec les sous-traitants Restrictions relatives aux transferts ultrieurs ( onward transfers) Programme de formation Programme daudit Respect des rgles et contrle de leur application Relation entre les diffrentes lgislations et les BCRs Systme interne de la gestion des plaintes ( complaint handling process ) Droits de tiers bnficiaires ( third party beneficiary rights ) Responsabilit ( liability ) Entraide et coopration avec les autorits de protection des donnes Mise jour des BCRs
Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 16

Questions & rponses

Vos questions ?

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 17

Commission Nationale pour la Protection des Donnes

MM. Grard LOMMEL (prsident) Thierry LALLEMANG & Pierre WEIMERSKIRCH (membres effectifs) Mme Josiane Pauly et MM. Marc Hemmerling et Tom Wirion (membres supplants)

Adresse postale: L-4100 Esch-sur-Alzette Bureaux : 41, avenue de la Gare L-1611 Luxembourg Tl.: 26 10 60 - 1 Fax.: 26 10 60 - 29 E-Mail: info@cnpd.lu www.cnpd.lu

Protection des donnes: tablir une bonne gouvernance au sein de lentreprise 18