Respect de la vie privée et RGPD : quelles implications pour votre entreprise ?

Le 25 mai 2018, le Règlement général sur la protection des données (ci-après appelé le « RGPD »)   est entré en vigueur en remplacement de l’actuelle loi belge sur le respect de la vie privée (la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel).

Contrairement à cette dernière, qui est le fruit de la transposition d’une directive, le RGPD est directement applicable dans tous les États membres de l’Union européenne. Ce faisant, la Commission européenne entend favoriser la sécurité des données en fixant des règles en matière de protection des personnes physiques à l’égard du traitement de leurs données personnelles et en matière de libre circulation de données à caractère personnel. Le RGPD vise principalement à protéger les informations personnelles des personnes résidant en Europe, mais également à réglementer la transmission de données personnelles en dehors de l’Union européenne (les pays dits « tiers »). La nouvelle législation vient mettre un terme à la fragmentation actuelle des lois en matière de respect de la vie privée en Europe et répond au besoin de modernisation consécutif à des évolutions telles que le « cloud » et les médias sociaux (et les énormes quantités de données qu’ils charrient).

Depuis le 25 mai 2018, les entreprises qui traitent des données à caractère personnel[1] doivent satisfaire aux nouvelles dispositions prévues par le RGPD. Par données personnelles, il y a lieu d’entendre toutes les informations permettant d’identifier une personne (nom, adresse, numéro de téléphone, adresse électronique, photos, etc.).

Le RGPD repose sur les 4 piliers suivants :

  • Transparence : les entreprises doivent indiquer clairement, de manière univoque et dans un langage compréhensible aux personnes concernées comment elles collectent et traitent leurs données d’identification et à quelles fins et pendant combien de temps elles les conservent. Elles doivent en outre permettre à leurs clients ou utilisateurs d’avoir accès à leurs données personnelles et de pouvoir les modifier ou supprimer ;
  • Transfert de données : les entreprises doivent faire en sorte que leurs utilisateurs puissent facilement demander leurs données afin de changer de prestataire de services (dans le cadre d’un changement de fournisseur d’électricité ou d’opérateur de télécommunications, par exemple) ;
  • Droit à l’oubli : les entreprises ont l’obligation d’effacer les données de citoyens européens lorsque ceux-ci leur en font la demande. Cette disposition s’applique également lorsque les données personnelles ont entretemps été partagées avec des tiers (sauf quelques exceptions prévues dans le RGPD) ; et
  • Devoir de déclaration en cas de fuite de données : l’entreprise qui constate qu’une fuite de données s’est produite dispose d’un délai de 72 heures pour en informer l’autorité de tutelle et/ou l’instance ou la personne concernée. Il est important, par conséquent, que chaque entreprise réfléchisse et travaille à l’élaboration d’un plan au cas où une fuite de données se produirait, ainsi qu’à la mise en place de mesures de prévention (cryptage de données par le biais de techniques telles que l’anonymisation et la pseudonymisation, sauvegardes de données régulières, réalisation de tests de pénétration, etc.).

 

Afin de s’assurer qu’elles respectent bien ces 4 piliers du RGPD, il est important que les entreprises réalisent elles-mêmes un exercice dans le cadre duquel elles noteront quelles données personnelles elles collectent, où elles les collectent, comment elles les protègent et comment elles les traitent. Pour certaines entreprises, il serait intéressant de désigner à cet effet un « Data Protection Officer ».

Le RGPD a institué une nouvelle Autorité en matière de protection des données et attribué des compétences importantes afin de garantir le respect de ses dispositions. Cette nouvelle instance se compose de différents organes, dont un service d’inspection et une chambre des litiges. Cette autorité est compétente pour lancer une enquête (i) sur la base d’une simple plainte d’un particulier, (ii) à la demande d’une autorité de tutelle d’un autre État-membre ou (iii) à la demande des services judiciaires et administratifs.

Les entreprises qui ne respecteraient pas le RGPD s’exposent à de lourdes sanctions. Si une entreprise ne respecte pas les règles en matière de traitement de données personnelles, ne signale pas une fuite de données ou ne procède à aucun exercice d’évaluation des risques, elle peut écoper une amende pouvant aller jusqu’à 2% de son chiffre d’affaires annuel. Les amendes peuvent même atteindre 4% du chiffre d’affaires mondial, avec un plafond de 20 millions d’euros (qui peut être doublé en cas de concours de différentes infractions).

[1] toute opération ou tout ensemble d’opérations appliquées à des données personnelles ou des ensembles de données à caractère personnel, effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de données.