Le RGPD : un travail de titan sur le plan juridique

gdpr

Le règlement général sur la protection des données (RGPD) est déjà entré en vigueur. Les personnes qui, en Europe, traitent, enregistrent, collectent ou utilisent de quelque manière que ce soit des données à caractère personnel ont jusqu’au 25 mai 2018 pour se conformer aux dispositions de cette réglementation à la fois stricte et étendue. 

par Kluwer Learning Team

Anouk Focquet, Senior Associate chez Contrast Law est spécialisée dans la protection des données et de la vie privée. Elle partage son expertise.

« Ce règlement vient littéralement secouer les entreprises. Car jusqu’à présent, aucune d’elle ne s’inquiétait vraiment de la loi sur la protection de la vie privée. La Commission n’avait pas le pouvoir d’imposer des amendes, ce qui fait que les règles étaient à peine appliquées dans notre pays. » Le nouveau règlement étend les droits des personnes concernées et prévoit de lourdes sanctions pour les entreprises qui ne respecteraient pas leurs obligations.

 

Motifs

Il était grand temps que ce règlement entre en vigueur :

  • L’objectif du RGPD est avant tout de mieux protéger la vie privée des consommateurs, des travailleurs, etc. à l’ère de l’économie des données.
  • La loi actuelle n’avait plus subi de modification notable depuis 1995. Or, la technologie s’est énormément modernisée depuis et les entreprises et organisations traitent de plus en plus de données à des fins diverses.
  • À l’heure actuelle, les 28 pays de l’Union européenne disposent chacun de leur propre législation, qui est une transposition de la directive européenne 95/46/CE. L’effet direct du RGPD permettra aux multinationales de l’appliquer plus facilement.

 

Données à caractère personnel

Toutes les entreprises traitent aujourd’hui des données à caractère personnel appartenant à leurs clients, leurs prospects, leurs fournisseurs, leurs collaborateurs, etc. Désormais, ce traitement n’est plus autorisé que si la personne concernée a marqué son accord explicite ou qu’il est nécessaire pour des raisons légitimes. Le concept de « données à caractère personnel » doit en outre être interprété de façon très large. « Il s’agit de toutes les informations au sujet d’une personne physique, comme un nom, un numéro d’identification, une adresse (IP), un abonnement ou tout autre élément spécifique propre à son identité physique, psychique, génétique, économique ou sociale. Les entreprises ne sont en principe pas autorisées à traiter des données à caractère personnel concernant la race, la santé, les convictions politiques, syndicales ou philosophiques et l’orientation sexuelle des personnes concernées ni des données génétiques ou biométriques, sauf autorisation expresse de la part des intéressés. »

 

Droits

Les entreprises devront s’organiser afin de pouvoir informer les personnes concernées de leurs droits et des données à caractère personnel qui les concernent et qui ont été traitées. Le RGPD reprend les droits individuels de la directive : le droit à l’information et à l’accès aux données, le droit à leur rectification ou leur effacement et le droit de s’opposer à la prise de décision automatisée et à leur utilisation à des fins de marketing direct. Compte tenu des contrôles renforcés qui seront exercés, il est naïf de supposer que ces dispositions pourraient à nouveau rester en grande partie lettre morte. Le règlement introduit par ailleurs deux nouveaux droits : le droit de limitation du traitement et le droit à la portabilité des données.

 

Responsabilité

Le RGPD impose aux entreprises de nouvelles obligations. Ce nouveau système se caractérise d’ailleurs par son concept de « responsabilité » ou devoir de documentation. Celle-ci vient remplacer l’actuelle obligation de notification :
« Les entreprises devront elles-mêmes vérifier et pouvoir démontrer qu’elles connaissent et respectent les règles et qu’elles traitent correctement les données à caractère personnel. À cette fin, les responsables du traitement doivent tenir à jour un registre reprenant toutes les activités de traitement effectuées. Seules les PME sont exemptées de cette obligation. » En outre, il existe désormais une obligation de notification en cas de fuite ou de violation de données à caractère personnel : « En cas de perte ou de vol de données à caractère personnel, vous devez, dans certaines circonstances, avertir dans les 72 heures l’autorité responsable de la protection de la vie privée ainsi que les clients concernés. »
Dans certaines situations à haut risque, une analyse d’impact relative à la protection des données devra être préalablement effectuée. Cette analyse est par exemple obligatoire si une nouvelle technologie est utilisée, ou dans le cas d’une opération de profilage ayant de lourdes conséquences pour les personnes concernées.
Dans un nombre de cas limité, certaines entreprises doivent également désigner un délégué à la protection des données – interne ou externe. C’est par exemple le cas des banques et des assureurs. Ce professionnel devra s’assurer du respect du RGPD si l’entreprise effectue, dans le cadre de ses activités de base, un suivi régulier et systématique de grands groupes de personnes ou traite à grande échelle des données à caractère personnel particulières. « Chaque organisation a intérêt à engager un juriste interne qui veillera et contribuera au respect de la législation. Il est le mieux placé pour interpréter, intégrer et expliquer la loi ».

 

Audit d’entreprise

À la lumière de ces nouvelles obligations, les entreprises seront inévitablement amenées à devoir effectuer un audit en matière de vie privée afin d’identifier avec précision quelles données elles utilisent, d’où elles proviennent, qui y a accès, quels sous-traitants disposent de droits d’utilisation, etc. « Ce n’est qu’ainsi que vous pourrez évaluer tous les risques en matière de sécurité, ce qui est essentiel pour vous faire une idée correcte des nouvelles obligations qui vous incombent. » Avec ce délégué à la protection des données et cette analyse d’impact, entre autres, le règlement introduit d’ailleurs une approche basée sur le risque :  plus celui-ci est élevé, plus les obligations augmentent. Après cet audit vient un plan d’action impliquant une série de modifications liées à des mesures de protection techniques, aux processus d’entreprise, aux contrats et aux règlements.

 

Délai de mise en conformité

Les entreprises qui ne respecteront pas encore les dispositions du RGPD en mai 2018 s’exposeront à des contrôles plus rigoureux et à des amendes administratives plus élevées. « La Commission vie privée a d’ailleurs à présent le pouvoir d’effectuer des enquêtes et d’engager des poursuites – des compétences comparables à celles des autorités de la concurrence. Elle pourra aussi bien demander des documents qu’effectuer des inspections sur place. Le secrétaire d’État De Backer a déjà stipulé que la mise en conformité par rapport au RGPD ne serait pas une mince affaire, mais qu’il n’y aurait ni report ni sursis. »

 

Travail d’équipe

Notre Commission est en train d’établir, en grande partie en collaboration avec le Groupe de travail Article 29, des directives pratiques pour ce nouveau règlement. Mais l’État a lui aussi du pain sur la planche. Il doit en effet encore créer une autorité dotée de compétences spécifiques et de suffisamment de moyens propres. « Même s’il est fort probable que la Commission actuelle soit réformée et assume ce rôle, il reste un certain travail législatif à accomplir. Le secrétaire d’État De Backer espère que cette loi sera prête d’ici la fin de l’année, de manière à ce que notre autorité ait encore six mois pour se préparer aux nouveautés organisationnelles. »

 

Conseils à suivre

Pour conclure, voici les conseils pratiques les plus importants : « En matière de droit à la vie privée comme dans n’importe quel autre domaine, mieux vaut prévenir que guérir. Les quatre mesures vous aideront à vous assurer que vous traiterez correctement les données à caractère personnel à partir du 25 mai 2018. »

 

  1. Dressez la liste complète de vos activités de traitement de données actuelles, aussi bien pour vos travailleurs que vos fournisseurs et clients.
  2. Vérifiez, pour chaque activité de traitement, quels sont les dispositions ou les principes que prévoit à ce niveau le RGPD. Exemples : le traitement est-il licite ? Les personnes concernées ont-elles été correctement informées au préalable ou leur a-t-on demandé leur autorisation expresse ? Les données sont-elles conservées correctement ? Défendez-vous un intérêt légitime ?
  3. Établissez d’ores et déjà une politique de conformité interne dans laquelle sont définies les procédures à suivre pour le démarrage d’activités de traitement, la mise à jour du registre, le suivi des demandes des personnes concernées, la notification des fuites de données, etc.
  4. Formez toutes les personnes concernées pour qu’elles puissent appliquer cette politique de conformité de manière effective et en toute connaissance de cause.
  1323