chronique

Quel bilan pour les entreprises depuis l'entrée en vigueur du RGPD?

Si le RGPD a certes engendré une charge administrative pour les sociétés et les autorités publiques afin de se mettre en conformité, la sensibilité et la place octroyées à la protection des données s’en trouvent renforcées.

Le Règlement Général sur la Protection des Données (RGPD) est applicable depuis le 25 mai 2018. Il fait couler beaucoup d’encre et a affolé nombre de responsables de services juridiques d’entreprises et d’autorités publiques. Seize mois plus tard, les contours de son application se dessinent peu à peu en Belgique et dans les autres États membres de l’Union européenne.

Mise en exécution en Belgique

Amaury Arnould

Avocat Claeys & Engels

L’État belge a effectué son travail de mise en exécution du RGPD. Des législations ont été adoptées (comme la loi sur la protection des données à caractère personnel), d’autres ont été adaptées, notamment afin de renforcer les droits des personnes concernées (comme la législation sur les caméras de surveillance).

1680%
.
En 2018, le nombre de notifications de fuites de données à l’Autorité a augmenté de 1.680% par rapport à 2017.

L’Autorité de protection des données (ancienne "Commission Vie Privée") a été mise sur pied et ses nouveaux membres ont prêté serment. Le nombre de notifications de fuites de données à l’Autorité a considérablement augmenté (on en comptait 445 pour 2018, ce qui correspond à une augmentation de 1.680% par rapport à 2017), tout comme les questions à propos desquelles celle-ci est amenée à se prononcer (plugiciels, empreintes digitales, programmes de fidélité, etc.).

Premières sanctions

L’une des principales innovations du RGPD consiste en la possibilité pour l’Autorité de protection des données d’infliger aux entreprises qui ne respectent pas les règles en matière de protection des données des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaires mondial annuel pour une entreprise.

L’Autorité belge de protection des données a prononcé sa première sanction financière depuis l’entrée en vigueur du RGPD le 28 mai 2019 (une amende a été imposée à un bourgmestre qui avait utilisé abusivement des données personnelles à des fins de campagne électorale).
.
.

L’Autorité belge de protection des données a prononcé sa première sanction financière depuis l’entrée en vigueur du RGPD le 28 mai 2019 (une amende a été imposée à un bourgmestre qui avait utilisé abusivement des données personnelles à des fins de campagne électorale).

Une réprimande a également été prononcée contre le SPF Santé Publique. De manière plus impressionnante, l’Autorité française de protection des données a infligé une amende de 50 millions d’euros à Google pour ne pas avoir suffisamment informé ses utilisateurs de l’usage qui était fait de leurs données.

©REUTERS

Adaptation des pratiques

Les entreprises et autorités publiques belges ont été soucieuses de se mettre rapidement en conformité avec leurs nouvelles obligations. Certaines d’entre elles ont désigné un délégué à la protection des données, en particulier lorsque ceci leur était imposé par la loi.

Les entreprises et autorités publiques se sont par ailleurs trouvées sollicitées pour répondre à des demandes croissantes des personnes concernées (membres du personnel, clients, usagers, etc.) afin d’accéder à leurs données.

Un nombre important d’entre elles a prévu des procédures afin de gérer ce genre de demandes (ainsi que — par exemple — des demandes d’opposition au traitement) et pour gérer des violations ("data breaches").

Le RGPD confronte indiscutablement les entreprises et les autorités publiques à de plus en plus de défis en matière de protection des données, en particulier lorsqu’elles recourent à des (nouvelles) technologies (par exemple la biométrie).
.
.

Elles ont également revu leurs pratiques internes en matière de vie privée (recrutement, caméras de surveillance, cyber-surveillance, géolocalisation, fouille des travailleurs, etc.) et adopté les documents nécessaires en la matière, tels que des notifications à l’intention des travailleurs, des membres de leurs familles, des candidats, des anciens travailleurs, des clients, des fournisseurs, des visiteurs du site internet, etc.

Le RGPD confronte indiscutablement les entreprises et les autorités publiques à de plus en plus de défis en matière de protection des données, en particulier lorsqu’elles recourent à des (nouvelles) technologies (par exemple la biométrie).

Des questions surgissent également dans les affaires judiciaires, notamment devant les juridictions du travail (par exemple, dans des litiges en matière de licenciement ou de concurrence déloyale, dans le cadre desquels l’employeur entend utiliser des données concernant le travailleur, comme des données contenues dans des e-mails).

En définitive, si le RGPD a certes engendré une charge administrative pour les sociétés et les autorités publiques afin de se mettre en conformité, la sensibilité et la place octroyées à la protection des données s’en trouvent renforcées.

Lire également

Echo Connect