Protection des données : Le grand changement pour 2018

Pour les entreprises qui traitent des données informatiques ainsi que des données sensibles, il va falloir s’adapter à un nouveau règlement général de protection des données baptisé RGPD.

À partir du 25 mai prochain, le RGPD – Règlement général sur la protection des données – sera d’application au sein de l’Union européenne. Or, une enquête SerdaLab réalisée en février 2017 révèle que : 55 % des organisations ne savent pas que le RGPD entrera en vigueur à cette date-là, ni qu’elles vont devoir s’y conformer.

En effet, seulement 24 % de ces entreprises mesurent complètement l’impact que le RGPD aura sur leur fonctionnement, alors que 43 % n’en ont aucune idée et que 33 % ont simplement effleuré le sujet. De nouveaux droits et nouvelles obligations sont pourtant sur le point d’arriver !

Les données personnelles c’est quoi ?

Les données personnelles sont partout, vous alimentez ce flux tous les jours au travers d’actions très communes. Lorsque vous créez une carte de fidélité dans un magasin, quand vous participez à un concours ou que vous payez au restaurant. Vous n’avez d’ailleurs aucun contrôle sur le devenir de ces données… En théorie, une loi entrée en vigueur en 1992 existe pour les protéger et pour vous protéger également !

Cette loi dite « loi vie privée » vient encadrer l’utilisation des données à caractère personnel. Elle adéfini les droits et obligations de la personne dont les données sont traitées, tout comme les droits et obligations du responsable du traitement lui-même. En l’occurrence, vous et le marchand chez qui vous êtes en train de transmettre vos numéros de téléphone, mails ou coordonnées bancaires.

L’ère due-commerce et du digital nécessite de nouvelles lois

Il est normal qu’aujourd’hui – en plein développement du commerce électronique, des réseaux sociaux et de l’e-gouvernance – qu’une adaptation du cadre existant ait été promue pour renforcer les droits des personnes et pour responsabiliser les acteurs qui traitent des données. Il peut s’agir de la transmission de données médicales, de données bancaires ou de données qui peuvent provenir d’entreprises et indirectement de son personnel.Avec cette nouvelle loi,« en principe » les autorités pourront demander à toutes organisations de lui dresser un tableau des flux d’entrée et de sortie des données informatiques. Cela peut concerner les personnes responsables qui font entrer et sortir de l’organisation lesdites données, cela peut aussi inspecter les finalités de l’envoi de ces données. Les acteurs… C’est précisément ce qui va changer avec cette loi. Alors que la Directive de 1995 reposait sur le principe de « formalité préalable », le nouveau règlement repose désormais sur une logique de responsabilisation des acteurs ainsi que des entreprises. Une lourde charge que beaucoup d’entreprises ne mesurent pas.

Les entreprises au cœur de la nouvelle réglementation

Ce sont donc les organisations qui vont être responsabilisées. Elles devront être conformes, justifier et pouvoir démontrer vers où les données transitent et ainsi de suite. Selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité nationale de protection des données qui se situe en Belgique appelée Commission de vie privée. Les données les plus surveillées seront évidemment, les données dites sensibles qui regroupent des indications sur l’origine raciale ou ethnique, sur les opinions politiques, l’appartenance syndicale, ou encore les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques et biométriques. Dorénavant, c’est le sous-traitant du responsable du traitement des données qui est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de responsabilité. In fine, certaines entreprises comme celles du secteur public – dont les activités principales consistent à traiter des données à caractère personnel ou données sensibles – devront désigner obligatoirement un délégué à la protection des données. Un registre doit aussi être tenu, conservé est mis à jour par ce responsable du traitement. Il est consultable par les autorités de contrôle à n’importe quel moment. Cela fait partie des points majeurs à ne pas manquer pour les entreprises même les plus petites…

Même traitement pour les PME !

Il est vrai que cette réforme s’applique aux grandes entreprises de plus de 250 personnes mais aussi aux plus petites entreprises, toutes les structures qui traitent de manière régulière les données personnelles seront concernées. Les entreprises qui ne respecteront pas les règles à l’avenir, pourront être condamnées à de lourdes amendes administratives par la Commission de la protection de la vie privée. Elles peuvent s’élever à des montants qui atteignent les 20 millions d’euros ou même à 4% du chiffre d’affaires mondial annuel de l’entreprise. C’est un sacré montant qui poussera sûrement les entreprises à respecter les règlements du RGPD ! On vous aura prévenu…

Publié le : 22 septembre 2017

Articles relatifs