Le RGPD : encore un an!

Le compte à rebours a désormais réellement commencé ! Le 25 mai 2018, le Règlement Général sur la Protection des Données, plus connu sous son abréviation française « RGPD », sera d’application. Le RGPD a été voté le 27 avril 2016 et est entré définitivement en vigueur le 4 mai 2016. Les Etats membres et les entreprises bénéficient toutefois d’une période transitoire de deux ans pour se conformer aux nouvelles dispositions.

La raison est claire : le RGPD crée de nombreuses nouvelles obligations. En outre, la plupart des entreprises européennes - et belges également - ne sont, actuellement déjà, pas en règle avec la réglementation applicable en matière de traitement des données à caractère personnel, et ce au vu  du manque de contrôle et de l’absence de sanction. Cela changera probablement avec le RGPD : comme il est d’usage en Europe, des sanctions sévères seront d’application (le RGPD prévoit des amendes administratives qui pourraient s’élever jusqu’à 20 million d’euros ou 4% du chiffre d’affaire annuel mondial d’une entreprise ( ! ) et la Commission belge vie privée serait désormais compétente pour imposer ces sanctions).

Comment les entreprises peuvent-elles désormais être totalement « RGPD proof » ? En procédant notamment par différentes étapes :

Etape 1 : Map it !

Avant toute chose, il est important que les entreprises se fassent une image de tous les traitements de données qui ont lieu, et ce par pays et par département (HR, Sales, Marketing, Supply Chain,...). Tous les traitements doivent être précisément répertoriés. Ceci peut être fait au moyen d’une liste détaillée de questions, lesquelles permettraient également d’analyser les objectifs, les délais de conservation, les catégories de données traitées, si ces données sont transférées à des pays tiers, comment les données sont protégées, ...

Avant de débuter cette phase, il serait utile de désigner un ou plusieurs responsables du projet. Répondre aux questions exige en effet un travail d’équipe et un bon suivi. Idéalement, il conviendrait de composer une équipe composée de collaborateurs des départements Legal, HR et IT.

Etape 2 : Rédiger un rapport d’audit

Sur base des réponses données, un rapport synthétique dans lequel l’entreprise peut immédiatement retrouver quels thèmes sont sous contrôle et quels problèmes doivent encore être réglés, peut être rédigé.

Etape 3 : rédiger les documents et polices nécessaires

Sur base de l’information disponible dans le rapport, les documents et polices nécessaires peuvent être établis. Une privacy notice peut à cet égard être envisagée, avec ou sans consentement, des conventions avec les sous-traitants, des clauses contractuelles standards pour le transfert de données vers des pays tiers, le nouveau registre pour le traitement, une police IT, une police caméra, un mécanisme de sonnette d’alarme, une procédure lors d’un risque de perte de données (« data breach »).

Etape 4 : Implémentez !

Enfin, le projet doit être déployé dans toute l’entreprise. Des formations, propres à chaque activité de l’entreprise,  seront à cet égard cruciales.

Pour ceux qui n’ont pas encore débuté ce travail, il convient de veiller à ne plus trop tarder, car la réalisation de chacune des quatre étapes précitées prend un certain temps.

Nous vous souhaitons une bonne préparation. Notre équipe data protection de Claeys & Engels, ainsi que nos collègues européens de Ius Laboris, se tiennent à votre disposition pour vous aider et vous soutenir.