Global Data Protection Regulation (GDPR) - Règlement général sur la protection des données (RGPD) - Est-il déjà trop tard ?

Articles

Bon nombre d'entreprises (nous y incluons également les titulaires d'une profession libérale) pensent encore avoir bien le temps pour se préparer à la nouvelle réglementation en matière de vie privée ou pensent même parfois que cette réglementation ne s'applique pas à eux. 
Rien n'est moins vrai!

Nous vous donnons un aperçu pratique des réponses aux questions que vous vous posiez peut-être, mais que vous n'avez jamais eu le temps de creuser.

Attention : ce bulletin d'informations ne répondra pas à toutes les questions. En outre, ce règlement modifié est tout nouveau. Même les plus grands spécialistes et les autorités qui doivent suivre cette règlementation n'ont pas réponse à toutes les questions pratiques. 
Or, ne rien faire en attendant d'y voir plus clair n'est pas non plus la solution. Vous comprendrez par la suite pourquoi.

N'est-il pas question d'une règlementation européenne, pas encore transposée dans la législation belge et qui ne s'applique donc pas encore à nous?

En effet, il s'agit d'une règlementation européenne. Or, étant donné qu'il s'agit d'un règlement européen, il s'applique directement à tous les États membres. La Belgique ne doit donc pas le transposer dans sa propre législation.
Donc, il s'applique bien à vous.

J'admets n'avoir encore rien fait en la matière. Suis-je le seul dans le cas?

Certainement pas. Environ 35 % des entreprises belges affirment avoir déjà franchi les premières étapes, environ 23 % prétendent (c'est ce qu'elles disent en tout cas) déjà être à un stade avancé et seulement 5 % estiment déjà être prêt pour le Jour-J (25 mai 2018).
Pour autant, cela veut-il dire que vous avez encore le temps ? Certainement pas. En moyenne, il apparaît qu'il faut au moins 6 mois à une PME, si elle s'y met sérieusement, pour être prête.
Pour de nombreuses PME, il faudra probablement plus longtemps, car elles ne peuvent ou ne veulent pas mettre en place un « groupe de travail » ad hoc et parce que ces activités s'ajoutent au travail habituel.

Cette nouvelle réglementation (renforcée) en matière de vie privée s'applique-t-elle également à mon entreprise?

Nous pouvons affirmer avec une quasi-certitude que vous relevez également du domaine d'application.
Employez-vous du personnel ? Si oui, vous traitez des données à caractère personnel, sinon vous seriez incapable de payer leurs salaires, ou de suivre les données du personnel.
Détenez-vous des données de vos clients/patients ou de vos fournisseurs ? Il y a alors fort à parier que l'on y retrouve leurs noms, leurs adresses électroniques, leurs numéros de GSM... et vous traitez donc leurs données à caractère personnel. Même si vous travaillez exclusivement en B2B, il est pratiquement certain que vous traitez des données à caractère personnel.
Vous employez des travailleurs et leur véhicule est muni d'un système de suivi pour optimiser les itinéraires, avoir une administration du personnel plus efficace... Ce sont aussi des données à caractère personnel, car elles vous permettent de suivre l'individu (le travailleur) dans ses déplacements.
Vous disposez d'une base de données de vos clients ? Elle englobera donc des données à caractère personnel.
Même si le tout se retrouve sur des fiches en papier, et pas sur un ordinateur donc, cette réglementation s'applique à vous, car elle ne se cantonne pas au traitement automatisé.

Mais en fait, que sont les données à caractère personnel?

Les données à caractère personnel sont toutes les données qui fournissent des informations sur un individu identifiable.
Le nom, l'adresse, la photo, le numéro de téléphone, les données liées au salaire, mais aussi l'adresse IP. 
Certaines données sont jugées plus sensibles que d'autres (les données médicales p. ex.) et elles feront l'objet d'un examen plus rigoureux que les autres données.

Dois-je tenir compte des tiers ou dois-je seulement me concentrer sur mon organisation?

En effet, vous devez tenir compte de vos fournisseurs qui traitent vos données.
Si vous déterminez comment et pourquoi le traitement a lieu, vous êtes alors le responsable du traitement.
Mais si vous transmettez vos données à un tiers qui les traite pour vous, vous devez conclure un accord écrit avec ce tiers qui précise ce que ce tiers peut faire avec vos données. Et vous êtes également responsable des négligences de ce tiers!
Pensez à votre secrétariat social, à l'agence intérim avec laquelle vous travaillez, à une entreprise de sécurité qui assure la sécurité de vos bâtiments ou qui peut suivre à distance l'heure d'arrivée et de départ de vos collaborateurs dans le bâtiment, une agence de marketing à qui vous confiez vos données pour préparer une campagne publicitaire par mail, les caméras de surveillance... 

En quoi consiste le RGPD?

Le RGPD est une consolidation des règles existantes en matière de vie privée qui ont été renforcées du même coup. Par exemple, dans le cadre de la sécurité des données à caractère personnel et pour donner le contrôle à l'individu concerné par les données. 
En outre, la possibilité d'infliger de lourdes sanctions a également été prévue.

Vous devez désormais pouvoir démontrer :

  • pourquoi vous souhaitez/pouvez traiter certaines données à caractère personnel ;
  • combien de temps vous les conserverez ;
  • les mesures de sécurité que vous avez adoptées ;
  • quelles procédures vous avez mises en place pour éviter les fuites de données notamment et s'il y en a comment vous les traiterez.

Ce n'est évidemment qu'un résumé. Rien que sur le « pourquoi », il serait déjà possible d'écrire un bulletin d'informations. 

L'obligation de « pouvoir démontrer » doit être prise à la lettre : tout doit être documenté. Ce qui n'est pas documenté est réputé ne pas exister.

Et si je ne fais rien?

Cette semaine, nous avons encore entendu un entrepreneur dire : je ne fais rien jusqu'à ce que la Commission de protection des données m'y oblige et même alors, je paierai l'amende. Cela réduira mes marges, mais je peux me le permettre. Je n'ai tout simplement pas envie de procéder à toutes les modifications dans mon organisation et passer en revue la paperasserie.

C'est une possibilité en effet, mais nous vous conseillerions quand même d'y réfléchir à deux fois. Les sanctions potentielles ne sont pas anodines : les amendes peuvent aller jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise.
Il ne faut certes pas surestimer le risque d'être pris, mais pas non plus le sous-estimer.

La Commission de la vie privée (dont le nouveau nom sera Al'autorité de protection des données) va se voir dotée de plus de personnel. Des plaintes peuvent également être déposées par les personnes concernées et mieux vaut ne pas sous-estimer l'impact d'une éventuelle perte de réputation sur les réseaux sociaux (anciens membres du personnel, un client mécontent, un fournisseur, un concurrent ?)

Puis-je éviter les pertes de données ou m'assurer contre ce risque?

Dans les deux cas, la réponse est oui.

Vous pouvez éviter les pertes de données en adoptant plusieurs mesures internes. Vous devez de toute façon déjà protéger en interne les données contre les « personnes non autorisées ». Il s'agira d'examiner minutieusement votre politique interne en matière d'utilisation d'ordinateurs portables, de GSM, de clés USB et d'autres supports externes. Avez-vous déjà installé un logiciel de cryptage ? Sinon, c'est le bon moment d'y penser. Votre système est-il suffisamment protégé contre les « personnes non autorisées » externes (aussi appelées hackers) ? Une analyse approfondie s'impose.

Vous pouvez vous assurer contre les conséquences de la perte de données. Parlez-en à votre assureur ou à votre intermédiaire. Eux aussi se penchent avec attention sur cette question. N'oubliez pas qu'ils vous demanderont aussi ce que vous faites pour éviter les pertes de données.

Est-ce que cela va me prendre beaucoup de temps et me coûter beaucoup d'argent?

Sans investir de votre temps et de votre argent, vous n'y parviendrez pas. À moins que vous ne décidiez de ne rien faire, auquel cas, nous vous renvoyons vers une question précédente sur les conséquences potentielles.

Cependant, avec une approche bien pensée, vous pouvez « économiser » du temps et de l'argent. 
Ce processus demandera l'implication de votre organisation interne, au niveau informatique et juridique. La mise en place d'un groupe de travail bien fourni à même de coordonner tous ces aspects de manière efficace est une première étape absolument indispensable. Il devra le plus souvent être composé tant de membres internes qu'externes. Pour les membres externes, il est essentiel de travailler avec plusieurs prestataire(s) de service expérimenté(s) capable(s) de communiquer et de mettre le processus sur la bonne voie.

Aucun répit ne sera octroyé?

Il est peu probable que la Commission de la vie privée adopte une ligne de conduite agressive et recherche activement les PME qui ne respectent pas la législation.
Mais toute personne qui estime que ses données à caractère personnel ne sont pas traitées correctement peut introduire une plainte auprès de la Commission qui doit alors l'examiner. En outre, si une fuite de données est décelée, il convient également de la signaler à la Commission de la vie privée et il se peut alors que la commission vous demande d'expliquer votre approche dans le cadre du RGPD.

Comment m'y prendre?

En résumé:

  1. Mettez sur pied un groupe de travail (voir ci-dessus)
  2. Identifiez les flux de données actuels au sein de votre organisation (« cartographie des données »).
  3. Analysez-les
  4. Sur base de cette analyse :
    •    Adoptez les règles internes nécessaires
    •    Modifiez vos documents modèles
    •    Adaptez les possibilités d'accès à vos données (une personne doit désormais disposer d'une raison acceptée pour pouvoir consulter des données)
    •    Déterminez les périodes de conservation pour les différents types de données
  5. Informez vos collaborateurs, dispensez-leur une formation sur les nouvelles règles internes et la nouvelle organisation en matière de sécurité des données à caractère personnel (le comment et le pourquoi !)
  6. Contrôlez-en le respect et documentez le tout (ce qui n'est pas documenté n'existe pas !)
  7. Enfin : assurez un suivi et apportez les modifications requises.

Baker Tilly Belgium peut-il m'aider?

Oui, nous pouvons vous soutenir. De concert avec vos collaborateurs et votre fournisseur informatique p. ex., nous pouvons analyser les mesures à adopter, mettre en place un processus et vous indiquer comment réaliser la feuille de route que nous avons évoquée.
Ce soutien peut aller d'un accompagnement initial à une évaluation du statut en passant par des formations pour les collaborateurs, des conseils juridiques, la cartographie des données, la gestion de la confidentialité et le soutien lors de la sélection d'un logiciel. Le tout, bien évidemment, toujours en collaboration avec vos autres fournisseurs de services si vous le souhaitez.
Se conformer au RGPD est indispensable. Travailler ensemble l'est tout autant.

Conclusion: 

Le temps presse – il reste moins de 100 jours.
Donc, même si vous ne voulez pas être un élève modèle, il convient de retenir deux éléments clés :
•    Commencez avant le 25 mai 2018 à documenter vos activités pour respecter le RGPD
•    Assurez-vous contre les risques liés au RGPD