General Data Protection Regulation
Il existe déjà depuis 1995 une directive vie privée qui a été transposée en droit national par tous les États membres. Cette directive définit selon quelles modalités et dans quels cas les entreprises sont autorisées à collecter, traiter et communiquer à des tiers des données à caractère personnel. Ces règles sont en décalage avec notre réalité économique et technologique (lisez : révolution numérique, internet, informatique en nuage…).
Le Règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) apporte une réponse à notre réalité quotidienne dominée par l’internet. Le règlement est déjà entré en vigueur 24 mai 2016, mais les entreprises ont encore jusqu’au 25 mai 2018 pour se conformer aux nouvelles règles. Les règles sont d’application sur tout le territoire de l’Union européenne sans que des lois de transposition en droit national ne soient requises (sauf pour quelques dispositions).
Les traitements de données concernant des personnes morales ne sont pas visés par le règlement. La protection offerte par ce règlement concerne uniquement les personnes physiques – sans considération de leur nationalité ou lieu de résidence – et le traitement des données à caractère personnel les concernant.
Droits des citoyens
La protection des personnes (physiques) à l’égard des traitements des données à caractère personnel les concernant est un droit fondamental. Il ressort d’une étude de la Commission européenne que les internautes s’interrogent sur la manière dont les données à caractère personnel les concernant sont utilisées en ligne. Le nouveau règlement offre davantage de possibilités de contrôle aux citoyens à travers :
un accès plus aisé à leurs propres données à caractère personnel;
un droit à la portabilité des données (data portability). Il s’agit d’une forme améliorée d’accès où la personne concernée a le droit de recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine;
une confirmation du droit à l’effacement des données ou droit à l’oubli (right to be forgotten);
le droit d’être averti lorsqu’une base de données contenant des données les concernant est piratée ( » fuites de données « , voy. infra).
Obligations des entreprises
À partir du 25 mai 2018, certains responsables du traitement et/ou sous-traitants (p. ex. banques et assureurs) seront obligés de désigner un délégué à la protection des données, également appelé Data Protection Officer (DPO). Mais même ceux qui ne sont pas soumis à cette obligation ont intérêt à désigner un tel délégué, car il peut jouer un rôle important dans la politique de protection des données d’une organisation.
Le RGPD oblige également les organisations à tenir une documentation interne des activités de traitement (analyse de risques). La Commission vie privée met d’ores et déjà un modèle de registre à disposition. Afin de tenir compte de la situation spécifique des PME et micro-entreprises, une dérogation est prévue en faveur des organisations qui emploient moins de 250 travailleurs en ce qui concerne la tenue de ce registre.
Pour permettre aux entreprises de se préparer aux nouvelles règles, la Commission vie privée propose un plan en 13 étapes (www.privacycommission.be). Les 13 étapes de ce plan sont :
1. Sensibilisation : informez les collaborateurs quant aux changements à venir.
2. Registre de données : faites l’inventaire des données à caractère personnel que vous conservez, notez quelle est leur origine et identifiez les personnes avec lesquelles vous les avez partagées.
3. Communication : traitez-vous déjà des données à caractère personnel ? Dans ce cas, vous devez communiquer certaines informations à la personne concernée, comme l’identité du sous-traitant et l’utilisation qu’il fera de ces données. Ces informations sont généralement communiquées par le biais d’une déclaration de confidentialité. Cette déclaration de confidentialité doit être complétée par de nouveaux types d’informations.
4. Droits de la personne concernée :… sont les mêmes que sous l’actuelle législation belge sur la protection de la vie privée, avec quelques améliorations. Le RGPD prévoit e.a. les droits suivants : information et accès aux données à caractère personnel ; rectification et effacement des données ; opposition aux pratiques de marketing direct ; opposition à la prise de décision automatisée et au profilage ; et portabilité des données. Le droit à la portabilité des données est nouveau.
5. Demande d’accès : dans la plupart des cas, il faudra donner suite gratuitement et dans les 30 jours (en lieu et place de l’actuel délai de 45 ans) à la demande d’accès.
6. Fondement légal pour le traitement de données à caractère personnel :il est dans le RGPD quasi identique à celui de l’actuelle législation relative à la protection de la vie privée. Vérifiez quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches à la lumière de l’exigence de responsabilité.
7. Consentement : le RGPD mentionne les termes » consentement » et » consentement explicite « . La distinction n’est pas très claire. Le consentement ne saurait toutefois être inféré d’un silence, d’une case cochée par défaut ou d’une inactivité.
8. Enfants : si votre entreprise collecte des données concernant des enfants de moins de 16 ans, un parent ou un tuteur doit donner son consentement pour que le traitement de données soit licite.
9. Fuites de données : les fuites de données suite auxquelles il est probable que la personne concernée subira une forme quelconque de dommage, p. ex. suite à un vol d’identité ou à la violation d’une obligation de confidentialité, doivent être signalées à la Commission vie privée, en principe dans les 72 heures. La personne concernée doit elle aussi en être informée.
10. Protection des données dès la conception et analyse d’impact relative à la protection des données (privacy by design et privacy impact assessment) : le RGPD en fait une condition légale claire. Une analyse d’impact n’est requise que dans les situations à haut risque, p. ex. lorsqu’une nouvelle technologie est mise en oeuvre.
11. Délégué à la protection des données (Data Protection Officer) : cf. supra.
12. Au niveau international : toute organisation active au niveau international doit déterminer de quelle autorité de contrôle elle relève.
13. Contrats existants : évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les changements nécessaires en temps utile.
Renforcement des contrôles
Le non-respect de l’actuelle législation sur la protection de la vie privée n’est pour ainsi dire pas sanctionné, parce que la Commission vie privée ne peut pas infliger d’amendes. Les organisations qui ne se conforment pas au RGPD, peuvent toutefois s’attendre à des contrôles stricts. En effet, la Commission vie privée disposera désormais de pouvoirs d’investigation et de poursuite. Les infractions sont passibles d’amendes administratives jusqu’à 20.000.000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, si ce montant est plus élevé !