Dernière ligne droite pour se mettre en conformité avant l'application du RGPD

Le responsable de traitement doit pouvoir fournir la preuve de la matérialisation du consentement de la personne, ce qui nécessite l’implication de tous les services de l’entreprise concernée (pas seulement du Data Protection Officer). ©Antonin Weber / Hanslucas

Le Règlement Général sur la Protection des Données ("RGPD") sera applicable dans tous les États membres de l’Union européenne à partir du 25 mai 2018. Beaucoup de sociétés belges (comme européennes) ont pris du retard dans la mise en conformité de leurs bases de données "clients/prospects" ou "salariés".

Thibault Verbiest
Avocat associé chez DS Avocats

Qui est concerné?

Dès qu’une entreprise ou une administration est basée ou mène des activités localisées sur le territoire de l’UE, dès qu’un prestataire propose des biens ou services à des personnes se trouvant sur le territoire de l’UE ou qu’il se contente "d’observer" le comportement de ces personnes, il est soumis au RGPD et ce, quand bien même il n’est pas lui-même établi sur le territoire de l’UE (il doit y designer un représentant).

Toutes les entreprises, tous secteurs confondus, sont concernées, dès lors qu’elles manipulent des données personnelles. Exemples: l’entreprise qui déploie un système de gestion de paie, le groupe qui échange des données clients ou salariés avec ses filiales, le prestataire qui développe un outil CRM, l’assurance qui délocalise la gestion de ses services IT, etc.

Désormais, les entreprises doivent être en mesure de justifier en permanence la protection des données personnelles en leur sein.
Thibault Verbiest

Qu’est ce qui change?

Sauf exception, il ne sera plus nécessaire d’effectuer des déclarations ou demandes d’autorisation préalables à la mise en place de traitements de données personnelles. Désormais, les entreprises doivent être en mesure de justifier en permanence la protection des données personnelles en leur sein (principe d’accountability).

Les sociétés seront en contact uniquement avec l’autorité de protection des données de leur "établissement principal", désigné comme autorité "chef de file" et n’auront ainsi qu’un seul interlocuteur pour l’Union européenne.

Le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées et notamment:

  • la mise en place et la tenue à jour d’un registre des activités de traitement;
  • la notification des failles de sécurité;
  • la protection des données dès la conception des services et architectures de données (privacy by design) et par défaut (principe de "minimisation" des données);
  • l’analyse d’impact préalable à la mise en œuvre des traitements à risque ("Privacy Impact Assessment" ou "PIA");
  • la désignation d’un délégué à la protection des donnés.

Le sous-traitant a des obligations spécifiques:

  • conseil auprès du responsable de traitement (PIA, failles, sécurité, destruction des données, contribution aux audits);
  • garantie de la sécurité et de la confidentialité des données; la mise en place et la tenue à jour d’un registre des activités de traitement.
Le consentement des personnes physiques doit résulter d’actes positifs, univoques et aisément révocables. Le responsable de traitement doit pouvoir fournir la preuve de la matérialisation du consentement de la personne.
Thibault Verbiest

Renforcement du droit des personnes

En complément des droits classiques déjà reconnus aux personnes par la loi belge actuelle, les personnes physiques sont titulaires de nouveaux droits: droit à l’oubli et à l’effacement, droit à la portabilité des données, droit à la limitation des traitements, droit à la réparation des dommages matériel ou moral, introduction d’actions collectives, etc.

Le consentement des personnes physiques doit résulter d’actes positifs, univoques et aisément révocables. Le responsable de traitement doit pouvoir fournir la preuve de la matérialisation du consentement de la personne, ce qui nécessite l’implication de tous les services de l’entreprise concernée (pas seulement du DPO).

Data Protection Officer

Ou le Délégué à la Protection des Données (DPO), est le chef d’orchestre de la conformité. Revêtu de l’autorité nécessaire et tenu au secret professionnel, il sera l’interface entre l’entreprise et l’autorité de contrôle. Sa désignation est obligatoire si:

  • le traitement est effectué par une autorité publique ou un organisme public;
  • les activités de base du responsable ou sous-traitant: exigent un suivi régulier et systématique à grande échelle des personnes concernées; consistent en un traitement à grande échelle de données dites "sensibles".
Les sanctions peuvent désormais s’élever à 10 ou 20 millions d’euros ou de 2 à 4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Thibault Verbiest

Sécurité des données et notification des violations

La protection des données personnelles adresse aussi la sécurité informatique. Le responsable de traitement et tout sous-traitant doivent garantir une sécurité et une confidentialité appropriées (pseudonymisation, chiffrement, capacité de restauration rapide des données, etc.). Les outils de l’entreprise et ceux qu’elle acquiert auprès de tiers doivent répondre aux nouvelles exigences.

Des sanctions graduées et renforcées

Les sanctions peuvent désormais s’élever à 10 ou 20 millions d’euros ou de 2 à 4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Publicité
Publicité
Publicité
Publicité

Contenu sponsorisé

Partner content