TOUT CE QUE VOUS DEVEZ SAVOIR À PROPOS DU RGPD
En tant qu’entreprise, le traitement de données à caractère personnel est une nécessité. En effet, le traitement de données vous permet, d’une part, d’assurer l’exécution de vos obligations contractuelles à l’égard de vos clients (par exemple, en vue d’assurer la gestion et le suivi des commandes et des facturations), et, d’autre part, d’améliorer vos services et/ou produits ainsi que d’élaborer des stratégies de développement et de renforcer votre position sur le marché. La matière connaît actuellement d’importantes évolutions législatives, particulièrement avec l’adoption du nouveau règlement européen sur la protection des données personnelles. Ce règlement général sur la protection des données (ci-après le « RGPD ») poursuit deux objectifs principaux : • d’une part, il renforce la protection des droits et libertés des personnes dont les données sont traitées ; • d’autre part, il harmonise la matière et permet une meilleure circulation des données au sein de l’Union européenne.
1. DE QUOI S’AGIT-IL ?
1.1. QU’EST-CE QU’UN « TRAITEMENT » DE « DONNÉES À CARACTÈRE PERSONNEL » ?
Une « donnée à caractère personnel » est toute information à partir de laquelle une personne physique peut être identifiée (ou identifiable), directement ou indirectement. Il s’agit d’un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne, tels que, par exemple, un identifiant en ligne, un nom, une adresse postale, une adresse email, un numéro de téléphone, etc. Il existe également ce que l’on appelle les « données sensibles », qui visent les données révélant, par exemple, les opinions politiques, les convictions religieuse et philosophique, l’origine raciale ou ethnique, l’appartenance à un syndicat, la vie sexuelle ou l’orientation sexuelle, les informations médicales ou encore les données biométriques (empreintes digitales, photographie). Vous effectuez un « traitement de données » lorsque vous appliquez à des données personnelles une ou plusieurs des opérations suivantes (peu importe le procédé utilisé) : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication ou la mise à disposition, la limitation ou encore l’effacement.
1.2. QUI EST LE « RESPONSABLE DU TRAITEMENT » ?
Le « responsable du traitement » est la personne qui détermine – seul ou conjointement avec d’autres – les finalités (c.-à-d. les objectifs poursuivis) et les moyens du traitement de données (c.-à-d. les méthodes de collecte et de traitement). Il peut s’agir d’une personne physique (p. ex. un médecin), d’une personne morale (p. ex. une entreprise), d’une association (p. ex. une ASBL) ou même d’une administration publique (p. ex. une mairie ou une commune). L’identification du (des) responsable(s) du traitement est essentielle. En effet, en tant que « responsable du traitement », vous êtes soumis à la réglementation en matière de protection des données. Vous êtes donc directement concerné par le nouveau règlement général sur la protection des données !
1.3. POUVEZ-VOUS LIBREMENT COLLECTER ET TRAITER DES DONNÉES À CARACTÈRE PERSONNEL ?
LA RÉPONSE EST BIEN ÉVIDEMMENT « NON ».
En effet, pour être conforme à la réglementation, un traitement de données à caractère personnel doit répondre à certaines conditions strictes. Ainsi, les données à caractère personnel devront être :
• traitées de manière licite, loyale et transparente ;
• collectées pour des finalités déterminées, légitimes et explicites ;
• adéquates, pertinentes et nécessaires au regard des finalités poursuivies ;
• exactes, et le cas échéant, mises à jour ;
• conservées sous une forme qui permette l’identification de la personne concernée pendant une durée limitée, soit uniquement pendant la durée nécessaire à la réalisation des finalités du traitement.
Ainsi, une entreprise peut conserver les données de ses clients pendant la durée de leur contrat, à condition toutefois que la conservation de ces données soit réellement nécessaire à l’exécution du contrat. Le délai de conservation doit être raisonnable au regard des objectifs poursuivis, en fonction des circonstances et de la nature des données. Il s’agit d’une appréciation au cas par cas. Par exemple, les coordonnées d’un prospect qui ne réagit à aucune sollicitation durant trois années doivent être supprimées. Autre exemple : les images captées dans le cadre d’un dispositif de vidéosurveillance ne pourront être conservées plus d’un mois ; • collectées et traitées de manière à garantir leur sécurité.
Par ailleurs, le traitement des « données sensibles » est en principe interdit. Il est – en tout état de cause – fortement limité par la loi. En effet, ces données nécessitent une protection particulière en raison des risques importants pour les droits et libertés fondamentaux des personnes concernées. C’est pourquoi, ces données ne peuvent être traitées que dans les hypothèses énumérées par la loi (par exemple, lorsque la personne concernée a donné son consentement explicite au traitement de ce type de données, ou encore lorsque le traitement de ces données est nécessaire afin de se conformer à une obligation découlant du droit du travail ou de la sécurité sociale). La prudence est donc de mise s’agissant des données sensibles.
2. RENFORCEMENT DES DROITS ET DES LIBERTÉS DES PERSONNES DONT LES DONNÉES SONT TRAITÉES
2.1. LE RGPD S’APPLIQUE ÉGALEMENT À CERTAINES ENTREPRISES ÉTABLIES EN DEHORS DU TERRITOIRE DE L’UNION EUROPÉENNE
Le RGPD s’applique évidemment aux entreprises « responsables du traitement » qui sont établies sur le territoire de l’Union européenne. Le RGPD étend l’application territoriale de la réglementation puisque, à l’avenir, seront également concernées les entreprises non établies dans l’U.E. qui offrent des biens ou des services à des personnes situées dans l’Union européenne. Par exemple, un responsable du traitement australien qui vend des accessoires de mode à des personnes situées en Belgique devra se conformer à la législation en matière de protection des données personnelles. Il en va de même pour les entreprises non établies dans l’Union européenne dont les activités sont liées à la surveillance des comportements humains intervenant au sein de l’Union (typiquement des clients européens). Ainsi, une société indienne de marketing, qui crée et gère des profils de clients belges dans le but d’évaluer le marché belge, sera également soumise au RGPD. Vous l’aurez compris, le RGPD s’applique au traitement de données personnelles de tout individu situé dans l’Union européenne, peu importe son lieu de résidence habituelle, sa nationalité ou sa citoyenneté. Le fait que le traitement des données à caractère personnel prenne place dans l’Union européenne ou non n’a, en principe, aucun impact sur l’application territoriale du RGPD.
2.2. UN DEVOIR D’INFORMATION CONSIDÉRABLEMENT RENFORCÉ
Le RGPD renforce le principe de transparence et le devoir d’information à l’égard des personnes dont les données sont collectées et traitées. En tant que responsable du traitement, vous devez impérativement transmettre à ces personnes une information claire, précise, intelligible et accessible, portant notamment sur les modalités et les finalités du traitement ainsi que sur leurs droits et possibilités de recours. Vous veillerez donc à insérer toutes ces informations dans votre Charte Vie Privée, laquelle doit par ailleurs être facilement accessible à tout moment.
Enfin, toute personne doit être en mesure de vous contacter, de manière effective, pour toute question et/ou réclamation (par courrier postal ou par email). Il s’agit d’une obligation légale. Prenons l’exemple d’une campagne type jeux-concours que vous organisez sur votre Page Facebook ou sur un mini site. Les futurs participants sont généralement invités à s’enregistrer en ligne ou à remplir un formulaire de participation, contenant des données à caractère personnel que vous allez ensuite récolter et traiter. Dans ce contexte, vous effectuez un traitement de données à caractère personnel et vous êtes dès lors tenus de respecter le RGPD.
Vous devez donc : 1. insérer une clause « protection des données personnelles et vie privée » dans le règlement du jeu concours, lequel doit être aisément accessible (notamment sur votre Page Facebook ou sur le site) ;
2. vous munir d’une Charte Vie Privée, qui doit également être aisément accessible à tout moment.
2.3. DU CHANGEMENT À PROPOS DU CONSENTEMENT
Lorsque le traitement repose sur le consentement de la personne, celle-ci doit l’avoir donné par un acte positif clair et explicite. À l’avenir, la personne concernée doit manifester son accord au traitement des données la concernant de façon libre, spécifique, éclairé et univoque. Celle-ci doit donner son consentement de manière active. Il ne sera dès lors plus possible d’obtenir le consentement de la personne par la technique du pré-cochage d’option sur un site web ou même par son silence. Celle-ci devra, par exemple, cocher une case lors de la visite sur votre site web, ou effectuer une déclaration indiquant clairement l’acceptation d’un traitement déterminé. Une acceptation implicite ou passive, même circonstanciée, n’est donc plus admise. En d’autres termes, si la personne n’a pas dit « oui », ce sera « non ». Enfin, la personne doit pouvoir retirer son consentement à tout moment et aussi facilement qu’il a été donné. Néanmoins, rassurez-vous, ce retrait n’a aucune influence sur la licéité du traitement fondé sur le consentement effectué avant ce retrait. Ainsi, le retrait du consentement ne vaut que pour l’avenir. En tant que responsable du traitement, vous devrez pouvoir démontrer à tout moment que la personne concernée a donné son consentement au traitement de ses données à caractère personnel. La preuve du consentement doit porter sur trois éléments : l’identité de la personne qui a consenti, le moment où elle a donné son consentement, et enfin l’objet du consentement (ce à quoi la personne a consenti).
2.4. LES DROITS DES PERSONNES CONCERNÉES SONT AMÉLIORÉS
Toute personne dont les données sont traitées dispose, notamment, des droits suivants :
1. Un droit d’accès : la personne a le droit de recevoir, de manière compréhensible, une copie de ses données collectées et traitées. 2. Un droit de rectification : la personne peut, sans frais, faire rectifier ses données qui seraient inexactes, incomplètes ou non pertinentes.
3. Un droit d’opposition : la personne a le droit de s’opposer à ce que ses données la concernant fassent l’objet d’un traitement, et ce pour des motifs sérieux et légitimes. Le droit d’opposition n’est pas possible si le traitement de données est nécessaire à la conclusion ou à l’exécution d’un contrat. Attention toutefois, la personne peut s’opposer au traitement de ses données personnelles sans aucune justification lorsque les données sont collectées à des fins de marketing direct (c.-à.-d. à des fins publicitaires).
La personne concernée a également le droit à l’effacement (ou « droit à l’oubli »), soit le droit à l’effacement de ses données à caractère personnel, dans certaines hypothèses énumérées par la loi. Ainsi, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de ses données à caractère personnel, notamment dans les cas suivants :
• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
• La personne concernée a retiré son consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement ;
• La personne concernée fait valoir son droit d’opposition et il n’existe pas de motif légitime impérieux justifiant le traitement, ou la personne s’oppose spécifiquement au traitement de ses données à des fins de marketing direct ; • Les données personnelles ont fait l’objet d’un traitement illicite ;
• Les données doivent être effacées conformément à une obligation légale découlant du droit de l’Etat membre auquel le responsable est soumis ou du droit de l’Union européenne.
Toutefois, le droit à l’effacement n’est pas absolu. En effet, le RGPD prévoit une série de cas dans lesquels le droit à l’effacement ne s’applique pas. Le traitement de données pourra, par exemple, être maintenu lorsqu’il s’avère nécessaire à l’exercice du droit à la liberté d’expression et d’information, ou à la constatation, à l’exercice ou à la défense de droits en justice. Enfin, le RGPD instaure notamment un nouveau droit, celui de la « portabilité des données ». Ce dernier implique le droit pour toute personne concernée d’obtenir du responsable du traitement une copie de ses données personnelles traitées, et le cas échéant, le transfert de ces données à un tiers. Pour exercer ces droits, la personne concernée doit adresser sa demande au responsable du traitement en faisant la preuve de son identité (par exemple, en communiquant une copie de sa carte d’identité ou de son passeport).
3. LE PRINCIPE DE RESPONSABILITÉ EST AU CŒUR DU RGPD
3.1. LES RESPONSABILITÉS SONT RENFORCÉES ET PARTAGÉES ENTRE LE RESPONSABLE DU TRAITEMENT ET LE(S) SOUS-TRAITANT(S)
Le principe de base est que la majorité des responsabilités et obligations reposent toujours sur le responsable du traitement. Celui-ci doit être en mesure de prouver– à tout moment – qu’il respecte bien la réglementation, par exemple en démontrant les mesures techniques et organisationnelles prises afin d’assurer la sécurité des données.
Le RGPD instaure des règles de partage des responsabilités entre le responsable du traitement et le(s) sous-traitant(s).
Il faut savoir que le responsable du traitement ne doit pas nécessairement effectuer lui-même le traitement de données à caractère personnel. Le responsable du traitement peut, en effet, faire appel à un sous-traitant, qui – mandaté par lui – effectuera concrètement le traitement. Le sous-traitant est donc la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Ainsi, le sous-traitant agit toujours conformément aux instructions du responsable du traitement.
Ce contrat doit reprendre certaines informations obligatoires (finalité, catégorie de données, objet et durée du traitement, missions et devoirs du sous-traitant à l’égard du responsable, etc.). En tout état de cause, le sous-traitant devra respecter certaines obligations légales, à savoir qu’il doit garantir la confidentialité des données qu’il reçoit du responsable, qu’il ne peut pas en principe faire de copie de ces données, qu’il doit prévoir des mesures techniques et administratives appropriées pour protéger ces données personnelles. Par conséquent, le RGPD prévoit que le sous-traitant peut engager sa responsabilité en cas de non-respect du RGPD et/ou s’il n’a pas agi conformément aux instructions (conformes à la loi) du responsable du traitement.
3.2. LA NOTIFICATION PRÉALABLE À L’AUTORITÉ DE CONTRÔLE EST SUPPRIMÉE, EN FAVEUR DE LA TENUE D’UN REGISTRE
En raison d’une charge administrative trop importante, la notification préalable à la Commission de la protection de la vie privée est appelée à disparaître, au profit d’une nouvelle obligation dans le chef de certaines entreprises : celle de tenir un registre des activités de traitement de données mis en œuvre par l’entreprise. Ne sont pas concernées par cette obligation les entreprises comptant moins de 250 travailleurs. Attention toutefois, la loi prévoit des cas dans lesquels cette obligation leur est applicable, par exemple lorsque l’entreprise traite des données sensibles. Le registre doit contenir certaines informations détaillées sur le traitement (catégories de données collectées et traitées, méthode de collecte, finalités du traitement, personnes concernées par le traitement, description des mesures de sécurité, lieu du traitement, etc.). En pratique, le registre doit se présenter sous une forme écrite (y compris une forme électronique) ou sous une autre forme non lisible pouvant être convertie en forme lisible.
3.3. APPARITION D’UNE NOUVELLE FIGURE : LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)
Dans certaines circonstances, un délégué à la protection des données devra être désigné au sein de l’entreprise. Il peut être interne ou externe à l’organisme qui le désigne. Le délégué est principalement chargé :
• de contrôler le respect par l’entreprise de la réglementation ;
• de conseiller et d’informer l’entreprise (et ses employés) et les éventuels sous-traitants ;
• d’être le point de contact avec l’autorité de contrôle
. Le délégué devra disposer de qualités professionnelles et de connaissances spécifiques dans le domaine du droit et des pratiques en matière de protection des données. Il devra par ailleurs exercer ses fonctions et missions en toute indépendance, qu’il soit employé ou non du responsable du traitement. La désignation d’un délégué est notamment obligatoire lorsque les activités de base du responsable du traitement consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes dont les données sont collectées et traitées. En dehors des cas de désignation obligatoire, le responsable du traitement dispose de la faculté de désigner un délégué à la protection des données (qui peut être interne ou externe à l’entreprise).
3.4. LE « ONE STOP SHOP » : LE GUICHET UNIQUE
Dorénavant, le principe du « guichet unique » implique que vous serez en contact avec l’autorité de contrôle de protection des données de l’État membre où se trouve votre « établissement principal », qui est soit le lieu de votre siège central dans l’Union, soit l’établissement au sein duquel sont prises les décisions portant sur les finalités et les modalités du traitement. De cette manière, vous bénéficiez d’un interlocuteur unique au sein de l’Union européenne en matière de protection des données personnelles, ce qui est particulièrement utile lorsque le traitement de données est transnational.
3.5. ASSUREZ-VOUS DE LA SÉCURITÉ DES DONNÉES !
Le RGPD renforce le principe de sécurisation des données. Les données à caractère personnel devront être traitées de manière à assurer la sécurité et la confidentialité des données. C’est pourquoi, vous devrez prendre toutes les mesures techniques et organisationnelles raisonnables afin d’assurer la sécurité des données ; le but étant d’éviter à tout prix les fuites, les divulgations non autorisées et les vols de données.
Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnelles concernées, vous devrez effectuer au préalable une analyse d’impact complète afin d’évaluer et de mesurer les risques liés à la sécurité des données. Le but est d’évaluer la nature, la portée, le contexte et la gravité des risques pour les droits et libertés des personnes concernées et de prévoir ensuite des mesures concrètes pour réduire et atténuer ces risques. Selon le RGPD, l’analyse d’impact est notamment requise pour les traitements à grande échelle de données sensibles ou en cas de surveillance systématique à grande échelle d’une zone accessible au public. Les autorités de contrôle vont, en outre, établir et publier une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise.
3.6. OBLIGATION DE NOTIFICATION À L’AUTORITÉ DE CONTRÔLE DES BRÈCHES DE SÉCURITÉ DANS UN DÉLAI DE 72 HEURES
Le RGPD impose désormais à tout responsable du traitement de notifier à l’autorité de contrôle national, les brèches de sécurité, c’est-à-dire toute violation des données à caractère personnel (vol, fuite, accès ou divulgation non autorisé(e), destruction des données, etc.).
En cas de brèche de sécurité susceptible d’engendrer un risque pour les droits et libertés des personnes concernées par la violation des données, le responsable du traitement devra la notifier à l’organe de contrôle national dans les meilleurs délais et, à tout le moins, dans un délai de 72 heures à partir de la prise de connaissance de cette violation. Le sous-traitant, quant à lui, doit informer le responsable du traitement de toute violation des données dans les meilleurs délais après en avoir pris connaissance.
Il s’agira principalement pour le responsable du traitement d’indiquer dans la notification quelles sont les données touchées, la quantité de données dont il est question ainsi que les conséquences que peut avoir la violation de données pour les personnes concernées.
En outre, le responsable du traitement devra indiquer les mesures prises, avant et après la violation des données. En pratique, l’appréciation par le responsable du traitement de la présence ou de l’absence de risques pour les droits et libertés des personnes concernées s’avère délicate.
3.7. DES SANCTIONS RENFORCÉES
Les entreprises qui ne respectent pas la nouvelle réglementation pourront être condamnées par l’autorité de contrôle à d’importantes amendes, dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise.
3.8. APPARITION DE CODES DE CONDUITES OU DE CERTIFICATIONS
Le RGPD prévoit également la possibilité pour les responsables du traitement d’adhérer à des codes de conduites approuvés et/ou à des certificats, dont les recommandations seront rendues publiques afin de permettre aux entreprises de s’y conformer.
EN CONCLUSION, METTEZ-VOUS EN CONFORMITÉ !
En conclusion, si vous procédez à une collecte et à un traitement de données au sens de la réglementation, assurez-vous d’entreprendre – le plus rapidement possible – une évaluation de votre politique de protection des données à caractère personnel. Ceci vous permettra de prendre les mesures nécessaires afin de vous conformer aux nouvelles exigences du règlement européen sur la protection des données, et ainsi d’éviter de sérieuses amendes.
