Le RGPD : les pièges à éviter

Le Règlement Général sur la Protection des Données (RGPD) est officiellement entré en vigueur en mai 2016. Les organisations ont jusqu’à mai 2018 pour se conformer à la directive. Bien qu’il soit vital, pour les entreprises actives en Europe, d’adapter leur fonctionnement en fonction du RGPD, il subsiste encore de nombreux malentendus. Edwin Jabobs, avocat chez time.lex, dresse la liste des huit principales difficultés. 

_legalworld_uploadedimages_home_luis-llerena-14779_data_small

Premier malentendu : le RGPD ne s’applique pas aux petites entreprises

L’impact du RGPD sur une entreprise dépend de la façon dont les données y sont traitées. Le nombre d’enregistrements ou la taille de l’organisation n’ont ici aucune influence.

Le règlement cite comme condition que « le traitement de données ou le suivi d’individus » fasse partie des activités de base de l’entreprise. L’expression « activités de base » n’est cependant pas explicitée. Mieux vaut donc partir du principe que le règlement s’applique à toute entreprise qui traite des données personnelles identifiables dans un intérêt commercial. Quelques concessions sont accordées aux petites organisations et MBO, mais d’une manière générale le RGPD leur reste applicable.

Deuxième malentendu : toute entreprise soumise au RGPD doit désigner un délégué à la protection des données (DPD)

Le fait que le RGPD s’applique à une entreprise ne signifie pas que cette dernière doit désigner un délégué à la protection des données. Cette exigence ne concerne que les institutions publiques qui traitent des données, les entreprises qui traitent des données personnelles systématiquement à grande échelle et les organisations qui traitent des données relatives à des catégories de données spécifiques (par ex. dans le domaine de la santé).

Cela ne signifie toutefois pas que désigner un tel délégué est un acte superflu. Même si une entreprise ne relève d’aucune des catégories précitées, l’existence d’un DPD peut se justifier pleinement. Il peut aussi s’agir d’un DPD externe, comme un avocat, qui assurera une surveillance plus efficace ainsi qu’une meilleure sécurité en cas de litige éventuel.


Troisième malentendu : la désignation d’un DPD n’est qu’une simple formalité

Le RGPD stipule que le délégué à la protection des données doit posséder des « connaissances spécialisées » avérées en matière de protection de la vie privée et de protection des données. Le DPD désigné doit en outre être suffisamment informé sur les traitements de données spécifiques à l’entreprise. La simple désignation d’un collaborateur à la fonction de DPD ne suffit donc pas.


Quatrième malentendu : notre entreprise chiffre les données, nous satisfaisons donc au RGPD

Se contenter de chiffrer les données n’est pas suffisant aux yeux du RGPD. Le cryptage des données doit plutôt être vu comme la norme minimale, devant presque toujours s’accompagner de mesures complémentaires. Les entreprises doivent proposer des outils supplémentaires afin de protéger les données personnelles, comme le recours à une vérification en deux étapes et la suppression permanente des données qui cessent d’être utilisées.


Cinquième malentendu : les données sont sauvegardées dans le cloud, la responsabilité quant à leur protection incombe donc au fournisseur du cloud et au fournisseur de services de sécurité

Le RGPD s’applique non seulement aux entreprises qui enregistrent des données mais aussi à celles qui les traitent. Le RGPD s’applique dès lors aussi lorsqu’une entreprise fait appel à des fournisseurs externes pour stocker des données dans le cadre de leur traitement.


Sixième malentendu : mon entreprise respecte la Loi vie privée, nous satisfaisons donc aussi au RGPD

Le RGPD remplace la directive sur la protection des données, transposée en Belgique dans la Loi vie privée. Le RGPD et la Loi vie privée diffèrent néanmoins à de nombreux égards. Il existe par exemple des différences concernant la mesure dans laquelle l’utilisateur doit donner son assentiment pour le traitement de ses données et la manière dont l’utilisateur doit être informé en cas d’éventuelle fuite de données. En revanche, il est vrai que le respect de la Loi vie privée facilite la conformité avec le RGPD.


Septième malentendu : mon entreprise respecte le Privacy Shield, nous satisfaisons donc aussi au RGPD

S’il existe de nombreux points de convergence entre le règlement du « Privacy Shield » (l’accord entre l’UE et les États-Unis qui a succédé à l’accord « Safe Harbor ») et le RGPD, ces deux systèmes ne sont pas tout à fait identiques. Le Privacy Shield ne concerne qu’un des nombreux aspects du RGPD, à savoir les transferts internationaux de données. Le Privacy Shield ne dit par exemple rien sur l’assentiment des utilisateurs, les DPD, etc.


Huitième malentendu : le RGPD est une solution tout-en-un pour le traitement des données en Europe

Le RGPD a été présenté comme un règlement universel destiné à simplifier et à unifier la réglementation en Europe. En pratique, ce n’est pourtant pas le cas. Pour les multinationales, le RGPD n’est qu’un règlement parmi d’autres. Il existe par exemple plusieurs règles juridiques qui imposent une notification en cas de fuite ou de violation de données. Les entreprises doivent également satisfaire aux règles nationales en matière de respect de la vie privée, qui varient d’un pays à l’autre. Les choses se compliquent encore lorsque le RGPD semble contredire de telles directives nationales ou sectorielles.

 

Les entrepreneurs, les sociétés et les multinationales ont jusqu’à mai 2018 pour adapter leur fonctionnement aux exigences du RGPD. Il leur est conseillé de s’y mettre le plus tôt possible et, surtout, de rechercher des conseils juridiques auprès d’un expert en matière de respect de la vie privée.

Edwin Jacobs

Edwin Jacobs est avocat au barreau de Bruxelles et maître de conférences au Centre interdisciplinaire pour le droit et l’ICT (Interdisciplinair Centrum voor Recht en ICT) de la K.U. Leuven. Ses spécialités couvrent la facturation électronique, l’externalisation ICT, l’e-banking, l’e-business et le droit de l’internet, les contrats ICT (matériel, logiciels, services, distribution) et la propriété intellectuelle. Il est aussi chargé de cours chez Kluwer Formations.

 

 

  1758