L'État n'est pas prêt pour la nouvelle loi de protection de la vie privée

Dans moins d’un mois, le 25 mai, le Règlement général sur la protection des données (RGPD) entrera en vigueur. Mais les services publics eux-mêmes ne respecteront pas toutes les nouvelles dispositions de cette loi. "La plupart des services publics disposent déjà d’un ‘data protection officer’, ou quasiment", confie Willem Debeuckelaere, président de la Commission de la protection de la vie privée. "Mais pour ce qui est des autres mesures, comme la mise sur pied d’un registre détaillant tous les traitements de données personnelles, nous avons l’impression que beaucoup d’institutions publiques ne seront pas prêtes le jour J."

La loi-cadre belge n’est pas encore prête, ni les codes déontologiques sectoriels, les directives relatives à la certification, le chapitre de cette loi concernant la presse, la conversion des règles en droit pénal et les services en ligne, etc… Idem pour la création d’une nouvelle autorité de surveillance. "Bref, c’est clair, nous ne serons pas prêts le 25 mai pour remplacer la Commission de la protection de la vie privée classique par la nouvelle instance de protection des données. Il est même probable que les membres ne seront pas nommés à temps. Il faudra que l’ancienne Commission poursuive sa mission jusqu’à nouvel ordre, ce qui ne sera pas une tragédie en soi."

À compter du 25 mai, les entreprises devront obtenir, entre autres, le consentement explicite du citoyen pour pouvoir exploiter ses données personnelles. Le client pourra aussi exercer un droit de regard, de modification ou de suppression de ses données. Et si, pour une question de piratage ou de fuite de données, celles-ci se retrouvent sur la scène publique, l’entreprise disposera d’un délai de 72 heures pour le signaler aux autorités. Si les entreprises faillissent à leurs obligations, elles risquent des sanctions pouvant aller jusqu’à 20 millions d’euros et, pour les multinationales, jusqu’à 4% de leur chiffre d’affaires mondial. Mais "les possibilités d’imposer des sanctions sont suffisamment souples. Si les entreprises ne sont pas encore prêtes par rapport à certaines mesures, nous en tiendrons compte", affirme Debeuckelaere.