Le nouveau règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018. Cette nouvelle réglementation consacre le principe du consentement clair et explicite au traitement de données à caractère personnel, les droits à l’oubli, au transfert des données ainsi que d’être informé en cas de piratage des données. En outre, des sanctions dissuasives sont prévues en cas de violation du règlement.
Dans le cadre de votre activité professionnelle et/ou commerciale, vous êtes certainement amenés à collecter et traiter (c.-à-d. rassembler, enregistrer, organiser, gérer, modifier, utiliser, effacer, etc.) des données à caractère personnel, que ce soit dans un cadre contractuel ou en vue d’améliorer vos services et/ou produits.
Petit rappel préliminaire : « les données à caractère personnel » visent toute information à partir de laquelle une personne peut être identifiée, directement ou indirectement. Il peut s’agir du nom, de la photo, de l’adresse, de l’email, du numéro de téléphone, etc.
Êtes-vous un « responsable de traitement » ?
La question est essentielle. En effet, si vous êtes responsable de traitement, vous êtes soumis à la législation nationale et européenne en matière de protection des données. Vous êtes donc directement concernés par le nouveau règlement européen de protection des données !
Le « responsable de traitement » est la personne, physique ou morale, qui détermine – seule ou conjointement avec d’autres – les finalités (c.-à-d. les objectifs poursuivis) et les moyens du traitement de données.
La collecte et le traitement de données personnelles doivent répondre à des conditions strictes
En tant que responsable de traitement, vous devez savoir que les données à caractère personnel ne peuvent pas être collectées et traitées librement. En effet, pour être conforme à la législation nationale et européenne, les données personnelles doivent être :
- traitées de manière licite (conforme à la loi), loyale et transparente ;
- collectées pour des finalités déterminées, légitimes (pertinentes) et explicites (claires) ;
- adéquates, pertinentes et nécessaires au regard des finalités poursuivies ;
- exactes, et le cas échéant, mises à jour ;
- conservées pendant une période limitée et nécessaire au traitement poursuivi ;
- collectées et traitées de manière à garantir leur sécurité, notamment par des mesures de sécurité informatique.
Le traitement des données dites « sensibles » – telles que les données révélant l’origine raciale, ethnique, les opinions politiques, les convictions religieuses et philosophique etc. –, est en principe interdit. Il est en tout état de cause fortement limité par la loi. La prudence est donc de mise s’agissant de ce type de données.
Mettez-vous en conformité avec le nouveau règlement européen !
Depuis le 24 mai 2016, un nouveau règlement européen est entré en vigueur au sein de l’Union européenne. Il sera applicable directement dans les Etats membres à partir du 25 mai 2018. D’ici là, une période de transition de 2 ans permettra aux autorités et aux entreprises de s’adapter aux nouvelles exigences du règlement.
Le règlement poursuit deux objectifs principaux. D’une part, il renforce la protection des droits et libertés des personnes dont les données sont traitées. D’autre part, il harmonise la matière et permet une meilleure circulation des données au sein de l’Union européenne.
Les différents changements et nouveautés auxquels il convient d’accorder une attention toute particulière sont les suivants :
- Un champ d’application territorial considérablement élargi puisque les entreprises non-européennes qui offrent des biens ou des services à des personnes situées dans l’Union européenne devront respecter la nouvelle règlementation. Ainsi, un responsable de traitement canadien qui vend des bijoux à des personnes situées en Belgique devra s’y conformer ;
- Une meilleure transparence à l’égard des personnes dont les données sont traitées. Celles-ci devront dorénavant recevoir une information claire, précise, intelligible et accessible portant notamment sur les modalités et les finalités du traitement ainsi que sur leurs droits et possibilités de recours ;
- Un renforcement du consentement de la personne dont les données sont traitées. À l’avenir, celle-ci devra manifester son accord au traitement des données la concernant de façon libre, spécifique, éclairée et univoque. Il ne sera dès lors plus possible d’obtenir le consentement de la personne par la technique du pré-cochage d’option sur un site web ou par son silence. En d’autres termes, si elle n’a pas dit « oui », ce sera « non » ;
- Les droits des personnes dont les données sont traitées sont améliorés. Le règlement instaure notamment un nouveau droit, celui de la « portabilité des données ». Ce dernier implique le droit pour ces personnes d’obtenir de l’entreprise qui traite ses données une copie de celles-ci, et le cas échéant, le transfert de ces données à un tiers ;
- En raison d’une charge administrative trop importante, la notification préalable à la Commission est appelée à disparaitre, au profit d’une nouvelle obligation dans le chef de certaines entreprises : celle de tenir un registre des activités de traitement de données mis en œuvre par l’entreprise. Ne sont pas concernées par cette obligation les entreprises comptant moins de 250 travailleurs. Attention toutefois, la loi prévoit des cas dans lesquels cette obligation leur est applicable, par exemple lorsque l’entreprise traite des données sensibles ;
- Dans certaines circonstances, un délégué à la protection des données devra être désigné. Celui-ci aura pour missions principales de contrôler le respect du règlement, de conseiller et d’informer l’entreprise et ses sous-traitants, ou encore d’être le point de contact avec l’autorité de contrôle ;
- Les responsabilités sont partagées et davantage précisées entre le responsable du traitement et le(s) sous-traitant(s). À titre d’exemple, si une personne concernée par un traitement de données subit un dommage parce que le règlement n’a pas été respecté, celle-ci pourra se retourner contre le responsable du traitement, et/ou contre le sous-traitant. En effet, ils sont tenus solidairement responsables du dommage subi par la personne ;
- Les entreprises qui ne respectent pas la nouvelle règlementation pourront être condamnées par l’autorité de contrôle à d’importantes amendes, dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise ;
- La sécurisation des données est renforcée. Les entreprises devront, dans certains cas déterminés, effectuer au préalable une analyse d’impact quant au risque lié à la sécurité des données (fuites, vols, divulgation, etc.) et prévoir des mesures concrètes afin de réduire ces risques ;
- …
En conclusion, les entreprises qui procèdent à une collecte et un traitement de données au sens de la règlementation doivent le plus rapidement possible entreprendre une évaluation de leur politique de protection des données à caractère personnel. Ceci leur permettra de prendre les mesures nécessaires afin de se conformer aux nouvelles exigences du règlement européen sur la protection des données, et ainsi d’éviter de sérieuses amendes.
En vous assurant de respecter les nouvelles exigences légales en matière de data protection, vous vous offrez la possibilité de mener à bien, et en toute tranquillité, vos projets et vos activités !
Frédéric Dechamps & Chloë De Clercq
Avocats au sein du cabinet « lex4u»
Partenaires de Lawbox
Sur www.lawbox.be, vous trouverez, à des prix modiques, tous les documents utiles et nécessaires pour vous mettre à jour, notamment par la possibilité de personnaliser votre « Charte vie privée et gestion de cookies » et un « contrat de sous-traitance du traitement de données ».