Actualités

RETOUR AU POUSSE-POUSSE!juin 7, 2018

LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD)

Le 25 mai 2018 prochain, le nouveau règlement général sur la protection des données (RGPD) sera applicable dans toutes l’Union Européenne, reprenant des sanctions, en cas de non respect, qui pourront être assez importantes dans la mesures où les plafonds ont été fixés à 10 millions ou 20 millions d’euros, suivants les manquements constatés… (plus de détails sur les sanctions ci-dessous)

Cet article a, dans un premier temps, été rédigé pour vous sensibiliser sur le sujet, vous donner quelques informations et vous faire part des sources qui vous permettrons de vous informer plus amplement sur le sujet.

Qu’entend-on par « données à caractère personnel » ?

« Ce sont toutes données se rapportant à une personne physique identifiée ou identifiable. Lorsque le couplage d’éléments d’informations peut conduire à l’identification unique d’une personne, chaque élément constitue également une donnée à caractère personnel. des données à caractère personnel pseudonymisées pour lesquelles il existe une clé permettant d’obtenir à nouveau les données à caractère personnel initiales sont également des données à caractère personnel. Des données anonymes ne constituent pas des données à caractère personnel. Le RGPD ne s’applique pas aux données relatives à des personnes décédées ou de personnes morales. »

Il y a, dans un premier temps, trois notions à bien comprendre :

  • Le risque : les obligations d’une PME vont dépendre des risques liés à l’activité de traitement des données
  • la responsabilité : la PME doit pouvoir justifier les raisons qui l’ont poussées à instaurer une mesure ou non.
  • la transparence : la PME doit savoir quels sont les traitements de données à caractère personnel sous sa responsabilité  et doit sensibiliser son personnel à ce sujet.  La PME doit également informer les personnes dont elles traitent les données, sur leurs droits, sur la manière dont elles peuvent les exercer et aux tenants et aboutissants de l’activité de traitement.

Les sanctions :

Comme promis dans l’introduction, nous allons vous détailler les différents points à savoir concernant les sanctions :

  • premièrement, l’autorité compétente pour la vérification et le contrôle des PME quant au respect des dispositions sur le RGPD sera l’actuelle Commission de protection de la vie privée, qui sera renommée en « Autorité de Protection des Données (APD).
  • Deuxièmement, il y aura, ce qu’on appelle un renversement de la charge de la preuve. Pour faire simple, cela signifie que l’APD ne devra pas démontrer la faute du responsable (PME ou sous-traitant), il lui suffira de constater une manquement aux dispositions sur le RGPD. Il vous reviendra alors, à vous PME ou sous-traitant, de prouver que vous avez respecté les règles.
  • Troisièmement, il faut prendre en compte le fait que la personne qui a subi un dommage lié au non respect du RGPD pourra, en plus des sanctions prises par le RGPD, vous poursuivre devant le tribunal afin d’obtenir réparation.
  • Finalement, l’APD disposera d’un panel assez large de sanctions. l’APD pourra notamment :
    • Donner un  simple avertissement;
    • Obliger à satisfaire à la demande de la personne concernée;
    • Obliger à mettre le traitement en conformité avec le RGPD dans un délai déterminé;
    • Geler ou interdire le traitement;
    • Infliger des amendes jusqu’à 2% du chiffre d’affaires annuel (avec un maximum de 10 Millions d’euros) ou 4% du chiffre d’affaires annuel (avec un maximum de 20 Millions d’euros)

Il reste encore quelques petites informations qui sont bonnes à savoir :

  • Des dispositions nationales devront compléter le RGPD (restez donc attentif à la législations belge)
  • Le RGPD se base essentiellement sur la législation actuelle (les concepts et principes fondamentaux sont globalement maintenus)
  • Attention, une PME, responsable du traitement de données peut être différente d’un sous-traitant en traitement de données. Les obligations peuvent être différentes.

Sachez qu’il reste encore beaucoup à dire sur le sujet, et je vous suggère donc de suivre les liens ci-dessous pour avoir de plus amples informations sur le sujets.

Il est également nécessaire de vous informer que je n’ai fait que relayer une information.

En effet, tout le mérite de ce travail en reviens à la commission de la protection de la vie privée (CPVP) qui a rédigé le Vade-Mecum dans lequel j’ai trouvé la plupart des informations reprises dans cet article ainsi qu à Wolters Kluwer qui a rédigé un article très complet sur son site internet.

En cliquant ici, vous pourrez accéder au Vade Mecum de la CPVP.

En cliquant ici, vous pourrez accéder à l’article de Wolters Kluwer

En outre, vous pourrez accéder au site internet de l’APD en cliquant sur le lien suivant :

APD