Pour l’instant, toutes les entreprises, quelle que soit leur taille, sont soumises aux mêmes règles relatives à la protection des données. En introduisant le Règlement général sur la protection des données (RGPD), l’Union européenne admet que les PME ont besoin d'une autre approche. Même si personne ne peut échapper au règlement, plusieurs exceptions s’appliquent aux petites et moyennes entreprises.
Règlement général sur la protection des données : l'ignorance des PME
En juin 2016, une enquête menée auprès des propriétaires et de la direction de PME britanniques a donné des résultats étonnants :
- 82 % ont admis n’avoir encore jamais entendu parler du RGPD ni n’en comprendre l’impact.
- 14 % ont besoin de conseils ;
- Seules 4 % des entreprises interrogées admettent comprendre le règlement et ses potentielles conséquences.
Et ce n’est pas tout à fait surprenant, quand on sait que le RGPD octroie quelques exceptions aux PME et que plusieurs propositions initiales pour les PME n’ont pas été retenues dans la version définitive. Cela peut expliquer la confusion. Dans deux ans, en mai 2018, chaque entreprise devra être en règle. Voici donc notre conseil : informez-vous suffisamment.
RGPD : impossible d'y échapper
L’UE s’attend à ce que les PME se conforment au Règlement général sur la protection des données. Les petites et moyennes entreprises doivent suivre leurs flux et procédures de données aussi efficacement que des organisations de plus grande taille ou mieux équipées. Le but est que chacun trouve un équilibre entre les intérêts légitimes propres et les droits des personnes concernées. Le fait que vous assuriez la gestion d'une PME ne suffit pas à échapper au RGPD. Cela ne signifie cependant pas que vous êtes tenu de mettre en place une foule de processus bureaucratiques, car il existe effectivement des exceptions. Sachez cependant que le RGPD s’attend à ce que chaque responsable du traitement fasse preuve de davantage de proactivité vis-à-vis de la protection des données et de la confidentialité, quelle que soit la taille de l'organisation.
RGPD : exceptions pour PME
Le RGPD applique quelques exceptions pour les PME et y fait des références spécifiques. Les exceptions semblent reposer sur le risque réduit qu’elles représentent : une PME représente un risque réduit pour la vie privée des citoyens européens en comparaison avec des organisations plus complexes exerçant plusieurs activités de traitement et disposant de plus grandes bases de données. L’UE ne souhaite pas inonder ses entreprises de processus bureaucratiques lorsque ce n’est pas nécessaire et si cela venait à mettre en péril la libre circulation des données au sein de l’Union.
Délégué à la protection des données
Le RGPD n’inclut aucune exception pour les PME en ce qui concerne le Délégué à la protection des données ou DPD. Chaque organisation doit désigner un DPD, si elle répond à l’une des conditions suivantes :
- Vous êtes une instance (à l’exception des juridictions en exécution de tâches judiciaires) ;
- Ou vous traitez les données de plus de 5 000 personnes concernées par an ;
- Ou vous traitez des catégories particulières de données ou des données ayant trait à des faits pénaux ;
- Ou vous êtes, en tant que responsable ou sous-traitant, chargé de traitements qui nécessitent une observation régulière et systématique à large échelle (en raison de leur nature, étendue ou objectifs).
Et c’est sur ce dernier point que le bât blesse. « Principalement chargé » signifie que les traitements font partie des activités de base de l’organisation. Dans un projet de texte du RGPD, les activités de base étaient définies comme des activités dont 50 % du chiffre d’affaires annuels provient de la vente de données ou du bénéfice créé par ces données. Cette définition reviendrait à exclure de nombreuses PME, étant donné que l’utilisation de données est souvent secondaire par rapport à leur activité principale. L’UE a finalement choisi de ne pas conserver cette définition. Étant donné que les PME souhaitent avoir une clarification à propos de cette condition, des explications détaillées à ce sujet suivront probablement à l’avenir.
Amendes
En termes d’amendes, l’Union européenne adopte un double système : pour les violations moins sérieuses (comme une défaillance administrative), l’amende peut atteindre 10 000 000 € ou 2 % du chiffre d’affaires mondial. Pour les violations fondamentales, comme une violation des principes de base ou des droits de la personne concernée, l’amende peut atteindre 20 000 000 € ou 4 % du chiffre d’affaires mondial.
Il a été proposé que les PME reçoivent d’abord un avertissement écrit pour les premières violations, non intentionnelles, mais cette plus petite peine a été supprimée de la version définitive. Par conséquent, toutes les entreprises sont soumises au Règlement, indépendamment de leur taille. Le risque principal pour les PME réside surtout au niveau des violations moins sérieuses pouvant être la conséquence d’erreurs de procédure.
Registre des activités de traitement
Les entreprises doivent désormais prévenir l’autorité régionale compétente lors de chaque activité de traitement. En Belgique, cette autorité est la Commission vie privée. La violation de cette règle pouvant donner lieu à des peines criminelles et civiles, nombre de dirigeants d’entreprise seront soulagés d’apprendre que cette obligation sera supprimée à partir de 2018. Au lieu de cela, le RGPD stipule que chaque responsable du traitement doit tenir à jour un registre de ses activités de traitement.
Ce registre contient les éléments suivants :
- Les finalités du traitement ;
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- Une description des mesures de sécurité adoptées par le responsable du traitement ;
- Dans la mesure du possible : les délais prévus pour l'effacement des différentes catégories de données.
L’exception à la règle est importante : les responsables du traitement et sous‑traitants comptant moins de 250 employés ne doivent pas tenir de registre, sauf si le traitement qu'ils effectuent
- est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
- s'il n’est pas occasionnel ;
- ou s'il porte sur des données à caractère personnel sensibles.
Responsables du traitement et sous-traitants
Voici les principales (éventuelles) obligations qu'impose le RGPD aux entreprises traitant des données :
- Obligation de notification d'une fuite de données dans les 72 heures ;
- Désignation d’un DPD ;
- Tenue à jour d'un registre ;
- Responsabilité directe pour compensation monétaire ;
- Contrôle des responsables et aide lors du respect de leurs obligations ;
- Établissement d’analyses d’impact et organisation de consultations avec l’autorité compétente.
Au premier abord, les nouvelles semblent bonnes pour les PME ayant une responsabilité de données : les sous-traitants doivent vous aider à respecter vos obligations. La conséquence toutefois est que les conventions entre les responsables du traitement et les sous-traitants ne sont plus valables en vertu du RGPD. Les sous‑traitants ont désormais la possibilité de renégocier les conditions et de réduire les risques qu'ils encourent. Les PME éprouvent souvent des difficultés lors de négociations avec les entreprises de plus grande envergure.
Droits de la personne concernée
Les droits de base des personnes concernées sont qu’elles peuvent consulter, modifier et faire effacer leurs données. S’il est à tout le moins répondu à certaines conditions. Les PME auront cependant la possibilité de demander une indemnité pour l’accès aux données, lorsque la demande est excessive ou de caractère répétitif.
