Règlement général sur la protection des données : opportunité ou danger ?
Dans quelques jours, le Règlement général sur la protection des données sera applicable dans l’ensemble des pays de l’Union européenne. Un règlement qui inquiète énormément le monde des entreprises. A tort ou à raison ?
Un Règlement européen a rarement fait autant parler de lui. Mais le Règlement général sur la protection des données - ou RGPD en abrégé - qui deviendra applicable dans l’ensemble des Etats membres le 25 mai prochain, fait la une des médias et des boites mails des entreprises depuis plusieurs mois. Impossible de ne pas être quotidiennement bombardé d’offres, souvent alarmistes et pas toujours sérieuses, de « spécialistes » auto-proclamés proposant des solutions clé-sur-porte aux entreprises.
Malgré ce constat et les sanctions potentiellement élevées en cas de non-respect, les sondages révèlent que de nombreuses entreprises ne seront pas prêtes le 25 mai !
Aux dires de la Commission vie privée, à présent qualifiée d’Autorité de contrôle, le RGPD ne bouleverse pas fondamentalement les règles relatives au traitement des données à caractère personnel. Il est vrai que l’on a tendance à oublier que la loi de 1992 sur la protection de la vie privée prévoyait déjà de très nombreuses dispositions reprises dans le RGPD. Il faut néanmoins constater qu’en introduisant un principe général de responsabilité, le RGPD impose à toutes les entreprises, sans égard à leur taille ou leur statut – le secteur public est également concerné – de pouvoir démontrer qu’elles respectent leurs obligations bien plus activement qu’auparavant.
Principes généraux et droits des personnes
Les cas dans lesquels un traitement de données à caractère personnel est considéré comme licite sont limités par le RGPD. Il n’est pas rare d’entendre que l’obtention du consentement des personnes concernées est à présent obligatoire. En dehors du fait que cette base légale existait déjà dans la loi de 1992 précitée, d’autres possibilités existent, qui n’imposent pas d’obtenir une autorisation : la nécessité liée à l’exécution d’un contrat ou au respect d’une obligation légale par exemple. Sans oublier la catégorie « fourre-tout » de l’intérêt légitime de celui qui traite les données...
L’obligation de créer un registre d’activité dès lors que des données à caractère personnel sont traitées sur une base régulière est l’une des grandes nouveautés du RGPD. Ce registre doit reprendre tous les traitements réalisés. On peut avancer sans trop prendre de risque que la plupart des entreprises devront créer un tel registre du fait, par exemple, du traitement des données RH de leur personnel.
Le traitement de données sensibles (données portant sur la santé par exemple) est en principe interdit. Dans les quelques cas où un tel traitement est quand même permis, l’entreprise devra respecter des obligations supplémentaires, comme la nomination d’un délégué à la protection des données par exemple. Des obligations supplémentaires qui seront donc fréquentes dans le secteur non-marchand.
Un aspect important du RGPD concerne les droits des personnes concernées. Le principe de transparence impose qu’elles soient informées du traitement de leurs données, des raisons de ce traitement et de la durée de conservation des données. Le RGPD prévoit également un droit à l’accès, à la rectification, à l’effacement ou à la portabilité des données afin de les transmettre à un autre responsable de traitement. Les entreprises devront être particulièrement attentives à la mise en place de processus destinés à répondre à ces droits.
Enfin, la sécurisation des données à caractère personnel est également visée par le RGPD, qui impose que le responsable du traitement mette en œuvre les mesures techniques et organisationnelles appropriées pour garantir leur sécurité.
Quelques conseils aux entreprises
L’intention du RGPD est respectable : mieux protéger et sécuriser les données des personnes. Il a également le mérite d’imposer aux entreprises de faire le point sur leurs processus et sur la pertinence des données traitées. On peut toutefois légitimement se demander si le RGPD n’impose pas des obligations disproportionnées aux entreprises et s’il n’aurait pas été justifié de modaliser ces obligations en fonction de la taille des entreprises ou du secteur d’activité concerné.
A défaut de pouvoir changer les choses, quelques conseils peuvent encore être donnés aux entreprises qui doivent encore mettre le RGPD en œuvre :
1) Ne cédez pas à la panique ! Le 25 mai approche, mais la mise en conformité est un processus à envisager dans la durée. Les chances que des sanctions tombent dès cette date sont quasi-inexistantes et la Commission vie privée a fait savoir qu’elle tiendrait compte des actions mises en œuvre par les entreprises en cas de plaintes ou de contrôles.
2) N’espérez pas de solutions toutes faites : le RGPD impose une réflexion interne sur les processus et sur les actions à mettre en place.
3) Privilégiez une bonne méthodologie. Première étape : désigner la personne ou l’équipe qui commencera par faire le point sur les traitements effectués dans l’entreprise. La rédaction d’un registre de traitement est une base de départ conseillée pour disposer d’une vision claire.
4) N’en faites pas trop ! Cela semble évident, mais il n’est pas inutile de rappeler que le RGPD ne vise que le traitement de données à caractère personnel. Les autres données traitées dans une entreprise ne sont donc pas visées. De plus, certaines obligations ne s’appliquent pas dans tous les cas, telle la nomination d’un délégué à la protection des données. Enfin, s’il est important de prévoir un règlement interne dans l’entreprise pour informer les travailleurs du traitement de leurs données à caractère personnel, principalement pour les questions RH, il n’est par contre pas recommandé de le soumettre à leur consentement.
5) Utilisez l’information disponible. De nombreuses informations et documents types de qualité peuvent être trouvés en ligne. Le site internet de la Commission de la protection de la vie privée est un bon exemple.
6) Faites appel à l’expertise de votre fédération sectorielle. Les questions qui se posent dans les entreprises d’un même secteur sont souvent les mêmes. Par ailleurs, les secteurs d’activités peuvent rédiger des codes de conduite destinés à favoriser la mise en œuvre sectorielle du RGPD. Enfin, il n’est pas non plus impossible de mutualiser certaines obligations telles que la nomination d’un délégué à la protection des données.
Pour L’Unisoc, Laurent Vander Elst
Ajouter un commentaire à l'article