Le 25 mai 2018 a vu l’entrée en vigueur du désormais célèbre Règlement général sur la protection des données, alias le RGPD. Un règlement européen qui a inauguré une nouvelle ère pour la protection de nos données à caractère personnel et donc aussi de notre vie privée. Toute organisation ou instance (publique) traitant, conservant et transmettant des données à caractère personnel doit depuis lors répondre à des exigences plus strictes. Et le législateur européen comme les instances de surveillance ne plaisantent pas ! Le non-respect de ces exigences peut en effet avoir de lourdes conséquences, comme des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial…
Même si la date d’entrée en vigueur du RGPD avait été largement annoncée et si une période d’implémentation de 2 ans avait été prévue, les nouvelles règles en matière de respect de la vie privée n’en ont pas moins provoqué une véritable onde de choc dans les entreprises. Chaque société est en effet concernée par le RGPD, même si l’impact varie bien sûr d’une entreprise et d’un secteur à l’autre. Rien que la conservation de données personnelles, d’un fichier clients ou d’une liste de fournisseurs, par exemple, a des implications. Cela ne concerne du reste pas seulement les entreprises européennes. Les entreprises ou organisations mondiales qui traitent des données d’Européens doivent ainsi elles aussi respecter le RGPD.
L’attitude plutôt attentiste de nombreuses entreprises s’est progressivement transformée en panique à l’approche de la date butoir du 25 mai. Quid des listes d’abonnés et des données de prospection ? En quoi consiste un contrat de sous-traitance ? Ma société est-elle « responsable du traitement » ou « sous-traitant » et qu’est-ce que cela implique ? Les menaces de certains grands acteurs de résilier les contrats si elles ne pouvaient pas démontrer le respect des règles de respect de la vie privée ont aussi rendu de nombreuses entreprises très nerveuses.
Résultat : un appel massif aux avocats et autres consultants spécialisés. L’équipe Privacy & IT de De Groote – De Man a elle aussi guidé de nombreuses entreprises de la manière la plus pragmatique et fluide possible à travers l’indispensable processus RGPD.
En Belgique, le déluge de sanctions tant redouté en 2018 par les entreprises n’a pas eu lieu. Certaines entreprises actives chez nos pays voisins ont par contre eu moins de chance. Uber et ses taxis ont ainsi fait l’objet d’amendes particulièrement salées, tant aux Pays-Bas (600.000 €) qu’en Grande-Bretagne (439.714 €). Le géant internet Google a lui aussi essuyé une sacrée déconvenue financière avec une amende de 50 millions d’euros infligée par les autorités françaises en charge de la protection de la vie privée. Et il ne s’agit là que de deux exemples d’entreprises condamnées.
(Lisez aussi : Le non-respect du RGPD coûte 50 millions d’euros à Google)
En Belgique, la situation reste pour le moment calme. Au point que beaucoup d’entreprises se demandent aujourd’hui si toute cette agitation et tous ces efforts étaient vraiment nécessaires. Mais qu’en est-il exactement ?
Que s’est-il passé l’année dernière en Belgique ? À partir des chiffres que nous avons obtenus auprès de l’Autorité belge de protection des données (l’APD) et de notre propre expérience en tant que spécialistes, nous avons dressé le bilan d’une année de RGPD.
Au total, 328 plaintes ont été adressées l’année dernière à l’APD, l’ancienne Commission vie privée. À titre de comparaison, 9.661 plaintes avaient été introduites fin 2018 auprès de l’organe de surveillance néerlandais, l’Autoriteit Persoonsgegevens.
En Belgique, les plaintes ont surtout porté sur les points suivants :
Des sujets de données (des gens comme vous et moi) ont introduit une plainte contre des sociétés ne faisant pas preuve par exemple de toute la transparence requise par rapport aux données détenues ou au traitement de celles-ci. Conformément au RGPD, un sujet de données a en effet le droit de savoir quelles données l’entreprise possède à son sujet et de les faire supprimer s’il le souhaite. Toute absence de réponse (satisfaisante) dans ce cas est considérée comme une infraction.
Ces plaintes concernent principalement les entreprises qui envoient des mailings ou des courriers commerciaux sans disposer du consentement des destinataires pour les contacter à des fins commerciales.
Nous pouvons constater dans ce cas que le RGPD stimule la créativité de nombreux marketeers en matière de marketing en ligne.
Il s’agit dans ces cas de personnes filmées par une caméra de surveillance et qui voulaient connaître l’usage qui serait fait de ces images et les fins auxquelles elles seraient utilisées.
En cas de fuite de données, l’entreprise concernée a l’obligation de le signaler à l’APD – dans les 72 heures après la prise de connaissance – lorsqu’il est probable que la violation dans le cadre des données à caractère personnel comporte un risque pour les droits et libertés de personnes physiques. Quelque 645 avis de ce genre ont depuis été émis. À titre de comparaison, 20.881 fuites de données (15.400 depuis le 25 mai 2018) ont été signalées en 2018 à l’autorité néerlandaise de protection des données à caractère personnel.
Ce chiffre a assurément de quoi surprendre, surtout lorsqu’on le compare avec le nombre d’amendes infligées dans d’autres pays d’Europe.
(un cas bien connu en Grande-Bretagne est celui de l’amende de 600.000 € pour Uber. Lisez-en plus ici)
*Source : Dailybits
Les amendes tant redoutées n’ont pour l’instant pas encore été infligées en Belgique. Pour expliquer ce chiffre pour le moins surprenant, l’APD avance que la Chambre des litiges, sous sa forme définitive et complète, n’a été constituée que tout récemment.
Depuis, l’APD belge a été constituée et les 5 directeurs ont prêté serment le 24 avril 2019, de quoi mettre probablement un terme aussi en Belgique à une période d’impunité. Le nouveau président David Stevens a ainsi déjà annoncé que l’APD se tenait prête à entrer en action.
Lisez aussi : L’autorité de protection des données est prête à montrer les dents
Le rôle de Délégué à la protection des données consiste principalement à garantir le respect de la législation sur la protection de la vie privée dans les entreprises.
Les DPD doivent obligatoirement être enregistrés auprès de l’APD. À ce stade, 4.397 Délégués à la protection des données sont enregistrés et actifs. Il convient toutefois de préciser que les DPD avaient déjà la possibilité de s’inscrire avant le 25 mai et que ceux-ci sont aussi repris dans ce chiffre.
Les experts de notre équipe Privacy & IT ont aidé de nombreuses entreprises (internationales) de tous les secteurs possibles en matière de législation sur la protection de la vie privée. Et un an après son entrée en vigueur, le RGPD est et reste un sujet brûlant. Même les entreprises qui se sont désormais mises en conformité ont en effet encore régulièrement besoin de conseils.
Les questions pour lesquelles le cabinet DGDM a aidé les entreprises l’année dernière portaient principalement sur les points suivants :
Les données à caractère personnel sont souvent échangées entre de très nombreuses entreprises, par ex. pour le marketing en ligne. Il est important de conclure des accords clairs sur les conditions de ces échanges (à quelles fins, quelles mesures de protection, quel rôle pour chacune des parties (responsable du traitement/sous-traitant, …)). Comme cela concerne souvent plusieurs parties, il est important que ces accords soient aussi harmonisés. Nos experts aident dans ce cas à y voir plus clair et à identifier par exemple les intérêts commerciaux en jeu.
b) Analyse du site internet et trajet marketing
Cela comprend l’analyse du site internet/des applis et la rédaction de politiques d’utilisation des cookies, de déclarations de respect de la vie privée et d’avis sur les activités de marketing direct.
c) Trajet de mise en conformité
Notre équipe a déjà accompagné diverses entreprises (internationales), avec souvent plusieurs sites et/ou filiales, dans la mise en conformité avec le RGPD. Nous identifions dans ce cas tous les processus et implémentons un trajet par processus pour rendre toutes les données conformes au RGPD. Nous avons aussi conseillé nos clients sur l’approche à adopter pour les données personnelles dans le cadre de nouveaux projets/technologies.
Pour en savoir plus sur ce service : Conseils RGPD
d) Assistance aux Délégués à la protection des données
Avec notre formation complète pour DPD, notre équipe a donné la bonne formation à plusieurs DPD désignés au sein de leur entreprise pour pouvoir exercer correctement leur nouvelle fonction. Nous proposons également une aide en première ligne avec des conseils sur des questions particulières des DPD.
Nous assumons du reste aussi nous-mêmes la fonction de DPD auprès de plusieurs entreprises.
Pour en savoir plus sur ce service : DPD
Vous avez encore des questions à ce sujet ou vous avez un problème relatif au RGPD ? Dites-nous sur quoi vous souhaitez recevoir de plus amples informations ou conseils.
Source : De Groote - De Man