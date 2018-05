Les entreprises n’ont bénéficié que de deux ans de répit pour se conformer aux exigences du règlement RGPD, assorti d’importantes modifications qui ne concernent pas uniquement les grands acteurs.

Fabienne Lens

Director Regulatory Compliance Europe, CTG

Tant les petites que les grandes entreprises s’inquiètent des sanctions sévères qui tomberont en cas de non-respect de la législation relative à la protection de la vie privée. Mais elles ne doivent pas s’inquiéter outre mesure: la Commission de la protection de la vie privée ne leur mettra pas la corde au cou.

Le nouveau RGPD ou Règlement général sur la protection des données entrera officiellement en vigueur le 25 mai prochain. Depuis son annonce, le 24 mai 2016, beaucoup d’encre a coulé à propos de cette réglementation aux modifications profondes. À raison, d’ailleurs, car aucune loi n’avait jusqu’alors eu de répercussions aussi grandes sur la gestion des entreprises. Et quelle que soit l’entreprise, ces modifications concernent tous les départements.

45% Des citoyens européens Selon un sondage d’opinions récemment organisé par la Commission européenne sur la cybersécurité, 45% des citoyens européens ont peur que leurs données à caractère personnel soient utilisées à mauvais escient.

L’introduction de cette nouvelle législation européenne était plus que nécessaire. L’absence de réglementation uniforme a donné lieu à de nombreux litiges entre les États membres, limitant de ce fait considérablement l’évolution du marché numérique. De surcroît, les citoyens ne se sentent pas non plus en sécurité: selon l’Eurobaromètre spécial sur la cybersécurité, un sondage d’opinions récemment organisé par la Commission européenne sur la cybersécurité, 45% des citoyens européens ont peur que leurs données à caractère personnel soient utilisées à mauvais escient.

Protection des citoyens

Cette nouvelle réglementation est, de toute évidence, de notre côté. Nous disposons dorénavant de beaucoup plus de droits: la réglementation cible avant tout une meilleure protection à l’égard du traitement des données à caractère personnel ainsi qu’une meilleure surveillance de celui-ci. En outre, les entreprises seront obligées de demander explicitement l’autorisation de toute personne dont elles souhaitent disposer des données à caractère personnel. Désormais, la transparence sera primordiale, et les citoyens jouiront du droit à l’oubli et à la portabilité de leurs données. Les mineurs se verront également octroyer une protection spécifique.

Bien que la Commission belge pour la protection de la vie privée ait publié un guide de référence, les entreprises ont besoin de conseils plus ciblés sur leur secteur d’activité et plus détaillés en la matière. Fabienne Lens

En harmonisant les règles pour tous les États membres, l’UE espère favoriser une plus libre circulation des données à caractère personnel et simplifier ainsi le commerce international. Dans ce nouveau cadre réglementaire, les entreprises pourront traiter ces données plus facilement au-delà des frontières, ce qui devrait contribuer à une concurrence loyale au sein de l’Europe. Par ailleurs, les acteurs internationaux ne devront plus communiquer qu’avec un seul contrôleur. L’UE a calculé que cela représenterait un gain global de quelque 2,3 milliards d’euros pour les entreprises.

L’intention est bonne, mais de nombreuses entreprises, notamment des PME et de petites entreprises, y perdent leur latin. Quelles conséquences aura le RGPD sur leurs propres activités professionnelles? Quelles mesures doivent-elles prendre exactement? Combien devront-elles investir pour se mettre en règle? Et qu’arrivera-t-il si, inconsciemment ou non, elles ne se conforment pas à la réglementation? Bien que la Commission belge pour la protection de la vie privée ait publié un guide de référence, les entreprises ont besoin de conseils plus ciblés sur leur secteur d’activité et plus détaillés en la matière.

Le risque est que la responsabilité soit confiée négligemment au travailleur X alors qu’il est primordial que ce travailleur dispose des connaissances et de l’expertise nécessaires pour mettre correctement en œuvre le RGPD. Fabienne Lens

Prédicateur du RGPD

Une question se pose: qui doit-on désigner pour mettre correctement en œuvre le RGPD? Le risque est que cette responsabilité soit confiée négligemment au travailleur X alors qu’il est primordial que ce travailleur dispose des connaissances et de l’expertise nécessaires pour mettre correctement en œuvre le RGPD, pour former le personnel, pour conseiller, etc. Les entreprises et les organismes qui ont comme activité principale le traitement de données sensibles ou l’analyse de données à caractère personnel à grande échelle sont par ailleurs obligés de désigner un Délégué à la protection des données (DPD).

Le DPD ou l’équipe chargée de la confidentialité des données est considéré comme le prédicateur de la nouvelle réglementation. Les profils jouissant d’un bagage juridique ou d’une expérience valable en matière de conformité ainsi qu’une certaine affinité non négligeable pour l’IT sont les plus adéquats. Mais il faut aussi que ce travailleur soit intéressé par ces aspects et qu’il ait envie de s’impliquer dans ce projet.

Outre le manque de certitude et les délais très serrés, les sanctions prévues constituent pour de nombreuses entreprises une pilule plutôt amère à avaler. Fabienne Lens

Infliger de réelles amendes ou plutôt faire peur?