25 nov 2016
Laura Slootmaeckers

L’Europe souhaite, avec son General Data Protection Regulation (Règlement général sur la protection des données ou RGPD) imposer des limitations aux entreprises qui recueillent continuellement des données. Le Règlement sera applicable dans toute l’UE, et donc aussi aux entreprises internationales qui utilisent des données à caractère personnel européennes. Même si des amendes ne pourront être imposées que dans deux ans, il peut être important de déjà tenir compte maintenant du type et de la quantité de données traitées par votre entreprise et de prévoir suffisamment de temps pour vous mettre en conformité. Chercher des informations sur ce Règlement, c’est un peu comme chercher une aiguille dans une botte de foin. En voici donc les principales.

RGPD : les principaux changements

Consentements

À partir de 2018, la réglementation sur l’obtention du consentement sera durcie. Le Règlement général sur la protection des données se concentre surtout sur la protection des personnes concernées. C’est pourquoi il est important de toujours établir une demande de consentement dans une forme compréhensible et facilement accessible, rédigée dans un langage clair et compréhensible. Lors de la libération de données à caractère personnel, la personne concernée doit également être informée de ce qui suit :

  • Identité et coordonnées du responsable du traitement et (si applicable) de son représentant ;
  • des coordonnées du Délégué à la protection des données ou DPD (si applicable) ;
  • des finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement.

Le consentement ne peut résulter que d'une démarche active. Il doit en ressortir que le consentement pour le traitement des données à caractère personnel a été obtenu de manière libre, spécifique, éclairée et univoque. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour chacune d’elles séparément. Pour la personne concernée, il doit être aussi facile de retirer son consentement que de le donner.

Lorsque l’enfant est âgé de moins de 16 ans, voici la règle à respecter : le traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant. Cette limite d’âge peut être abaissée à 13 ans par d’autres autorités régionales, des différences régionales sont donc possibles.

Protection des données dès la conception

Le principe de protection des données dès la conception signifie que l’entreprise doit assurer la protection des données à caractère personnel dès le début du processus de nouveaux traitements. Dès la conception, le responsable du traitement doit donc tenir compte de ses obligations. Il doit prendre les mesures techniques et organisationnelles nécessaires afin de garantir une mise en œuvre efficace des principes liés à la protection des données.

Protection des données par défaut

Le principe de « protection des données par défaut » signifie que le traitement doit par défaut garantir au maximum la confidentialité des données. Chaque mécanisme ne peut récolter et tenir à jour que le minimum de données nécessaires pour chaque finalité. Il s’agit ici de minima concernant :

  • La quantité
  • La mesure dans laquelle elles sont traitées
  • Le délai de conservation
  • L’accessibilité

Analyse d’impact

Le responsable du traitement doit, lorsque le traitement induit un risque élevé, avant le traitement, procéder à une évaluation de l’impact des activités de traitement visées sur la protection des données à caractère personnel. Des éléments pouvant avoir une influence sur l’ampleur du risque sont l'origine, la nature, le contexte et les finalités du traitement. Si un DPD est présent dans votre organisation, vous devez demander son avis lors de l’évaluation.

L’analyse d'impact met au jour un risque élevé ? Le responsable du traitement devra alors consulter l’autorité compétente avant le traitement des données. En Belgique, la Commission Vie privée est compétente en matière de RGPD. Lorsqu’une violation est constatée, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé.

Délégué à la protection des données

Le DPD ou Délégué à la protection des données a dans l’intervalle été mentionné plusieurs fois et constitue l’un des principaux changements apportés par le Règlement. Pour certains à tout le moins. Vous n’êtes en effet tenu de désigner un DPD que si vous répondez par l’affirmative à 1 des questions suivantes :

  • Votre organisation traite des données à caractère personnel de plus de 5 000 personnes concernées par an ?
  • Votre organisation est-elle une instance publique ou un organe public (à l’exception des juridictions en exécution de tâches judiciaires) ?
  • Êtes-vous principalement chargé du traitement de catégories particulières de données ? Il s’agit de données qui révèlent l'origine raciale, les opinions politiques, les convictions religieuses ou philosophiques ou ont trait à des faits pénaux.
  • Vous assurez principalement des traitements de données requérant une observation régulière et systématique à grande échelle ?

Le rôle du Délégué à la protection des données peut être confié à un travailleur existant. Ses autres responsabilités doivent cependant être compatibles avec les obligations découlant du rôle de DPD. Il ne peut pas servir d’intérêts contraires. Dans un groupe d’entreprises ou concern, il est possible de désigner un seul DPD, à condition qu'il soit facilement accessible pour chaque site. Le DPD peut être employé en tant que salarié par le responsable du traitement mais peut également exercer ses tâches dans le cadre d’un contrat de prestation de services. Voici les tâches obligatoires d'un tel DPD :

  • Gérer les données à caractère personnel de l’organisation et de ses travailleurs, donner des informations et conseils concernant les obligations découlant du RGPD ;
  • Surveiller le respect du Règlement général sur la protection des données par le biais de mécanismes de protection européens ou locaux et de la politique de confidentialité de votre organisation. Il assure également la formation des travailleurs concernés et l’exécution des audits y relatifs ;
  • Il donne des conseils à son organisation à propos de l’analyse des risques obligatoire et de ses résultats ;
  • Il collabore avec l’autorité régionale et fait office de personne de contact pour votre organisation ;
  • Il répond à toutes les questions concernant le traitement des données et les droits de la personne concernée dont des données sont traitées. Il peut s’agir de vos collaborateurs, clients et autres.

Personne concernée : droits de base

Le RGPD offre à la personne concernée non seulement une protection supplémentaire, mais aussi plusieurs droits de base, à savoir le droit de consulter, faire modifier ou supprimer ses données.

La personne concernée a toujours la possibilité de recevoir les données qu’elle vous fournit dans un format structuré, couramment utilisé, lisible par machine.

Toute personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées et la rectification des données à caractère personnel la concernant qui sont inexactes. En tant que responsable du traitement, vous devez informer chaque destinataire de ces données à caractère personnel de toute adaptation.

Pour terminer, citons également le droit à l’oubli. Il s’agit du droit de faire supprimer des données, qui n’est toutefois applicable que dans certaines conditions :

  • les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • la personne concernée retire le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement ;
  • les données à caractère personnel ont fait l'objet d'un traitement illicite.

Règlement général sur la protection des données versus Directive 95/46/CE

Le prédécesseur du RGPD est la directive vie privée 95/46/CE qui existe depuis 1995 mais ne suffit plus dans l’ère numérique actuelle. L’UE souhaite en outre offrir à ses citoyens un plus grand contrôle sur l’utilisation de leurs données à caractère personnel et réduire la charge administrative des organisations. L’ancienne directive restera en vigueur jusqu’en 2018.

Le RGPD est cependant un Règlement et non plus une Directive. Une directive doit être transposée dans chaque État membre en législation nationale, tandis qu’un Règlement prend directement effet. Les États membres peuvent toujours apporter des accents propres et adapter la législation nationale aux usages propres. Il y a par exemple des différences régionales au niveau de l’âge maximum des enfants.

Le champ d'application territorial a également été profondément adapté. Toutes les activités des responsables du traitement ou d’un sous-traitant dans l’UE, peu importe que le traitement proprement dit des données se déroule dans l’UE, sont soumises au RGPD. La directive concernait uniquement les responsables, tandis que le RGPD s’applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union également réalisé par un responsable ou sous-traitant en dehors de l’Union.