RGPD pour qui?

Les PME qui traitent régulièrement des données informatiques personnelles dans le cadre de leur activité ou qui traitent des données sensibles vont devoir s’adapter.

A partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) sera d’application au sein de l’Union européenne. Un constat d’abord : 55 % des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer. C’est ce que révèle une enquête SerdaLab réalisée en février 2017 dans le cadre d’un livre blanc. Seuls 24 % de ces entreprises mesurent complètement l’impact que le RGPD aura sur leur fonctionnement, alors que 43 % n’en ont aucune idée et que 33 % ont simplement effleuré le sujet.

Pourtant, le RGPD confirme des principes de protection des données déjà existants en Belgique mais prévoit également plusieurs nouveaux droits et nouvelles obligations.

Que signifie le terme « vos données personnelles »?

Quotidiennement, vous transmettez des renseignements personnels au monde extérieur : en demandant une carte de fidélité au supermarché, en vous inscrivant à un cours de danse ou en participant à un concours … Vous n’avez, en général, aucun contrôle sur ce qu’il advient de toutes ces données.

Depuis 1992, il existe une loi qui veille à ce que nos données personnelles ne puissent pas être traitées de n’importe quelle manière. Cette loi dite « loi vie privée » vient encadrer l’utilisation des données à caractère personnel. Elle définit les droits et obligations de la personne dont les données sont traitées, tout comme les droits et obligations du responsable du traitement lui-même.

Pourquoi fallait-il améliorer la loi?

Le développement du commerce électronique, de l’ e-gouvernance et des réseaux sociaux a rendu nécessaire une adaptation du cadre existant pour renforcer les droits des personnes et responsabiliser les acteurs traitant des données. On parle ici par exemple de la transmission de données bancaires, de données médicales, de plus en plus complètes et précises, ou de données provenant du coeur de l’entreprise (son personnel s’il doit travailler à l’étranger, ses clients s’il a besoin de crédits).

Désormais, les autorités pourront demander à toute organisation de lui dresser un tableau des flux d’entrées et de sorties des données informatiques, quelle est (sont) la (les) personnes responsable(s) qui les fait (font) entrer et sortir de l’organisation, quelles sont les finalités de l’envoi de ces données, etc.

Pour vous donner une idée de l’ampleur de ces développements:

• E-commerce: d’après les estimations de la Cnuced (Conférence des Nations unies sur le commerce et le développement),

le e-commerce a généré un chiffre d’affaires (ventes B2B et B2C cumulées) de près de 25 000 milliards de dollars dans le

monde en 2015.

• E-gouvernance: de nombreuses initiatives publiques existent déjà en Belgique. Trouvez-les ici.

• Réseaux sociaux: sur les 7,4 milliards d’habitants, 3,42 milliards sont internautes (46%) et 2,31 milliards sont actifs sur

les réseaux sociaux (31% de la population mondiale).

Qu'est-ce qui change avec cette loi?

Les entreprises vont devoir se mettre en conformité et le prouver

Les organisations seront donc davantage responsabilisées: on leur impose désormais de se mettre en conformité et de

pouvoir le démontrer.

1. Consulter préalablement la commission de la vie privée

Selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter

préalablement l’autorité nationale de protection des données (en Belgique la Commission vie privée).

2. Mener une analyse d’impact relative à la protection des données

Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les

opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou

l’orientation sexuelle, mais aussi les données génétiques et biométriques) ;

3. Responsabiliser votre sous-traitant

Le sous-traitant du responsable du traitement des données est dorénavant aussi tenu de respecter des obligations

spécifiques en matière de sécurité, de confidentialité et de responsabilité.

4. Désigner un délégué à la protection des données

Certaines entreprises, comme celles du secteur public ou celles dont l’activité principale consiste à traiter des données à

caractère personnel ou des données sensibles, seront en effet obligées de désigner un délégué à la protection des données.

Il devient le véritable chef d’orchestre de la conformité en matière de protection des données au sein de l’entreprise.

Quand au registre, il doit être conservé non seulement par le responsable du traitement, mais également par ses

éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle.

Même les PME sont concernées

Cette obligation s’applique en particulier aux grandes entreprises (> 250 personnes) mais aussi aux plus petites entreprises. Lesquelles? Celles qui traitent régulièrement des données personnelles dans le cadre de leur activité ou qui traitent de données sensibles.

De quelles données parlons-nous?

• Par exemple, une banque peut envoyer les données d’un client en Belgique pour exécuter un paiement.

• Un hôpital belge peut communiquer les données médicales d’un patient à un hôpital italien.

• Une entreprise peut transmettre la base de données de son personnel à un autre État de l’Union.

Les entreprises qui ne respecteront pas les règles pourront être condamnées à de lourdes amendes administratives par la Commission de la protection de la vie privée. Celles-ci pourront aller jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaire mondial annuel de l’entreprise.

En accédant à notre site, vous acceptez l’utilisation de cookies. Pour de plus amples informations sur l’utilisation des cookies sur cette page web, cliquez sur « Plus d’informations ». Vous pourrez également révoquer ici votre autorisation d’utiliser des cookies.