Quoi ?
Qu’est-ce que cela signifie pour votre entreprise ?
Chaque entreprise pratiquement traite à une grande échelle des données à caractère personnel de différentes catégories de personnes : les travailleurs, les candidats, les (personnes de contact auprès de) clients et fournisseurs, les consultants, les consommateurs, les internautes,...
‘Données à caractère personnel’ est un terme générique pour désigner toutes les informations sur la base desquelles une personne peut être identifiée directement ou indirectement, comme le nom, l’adresse, l’adresse e-mail, le numéro de registre national, les données salariales, le profil en ligne, l’adresse IP, les données de connexion, etc.
La notion de ‘traitement’ est définie si largement que pratiquement toute manipulation de données à caractère personnel est considérée comme un traitement. Ceci comprend notamment la collecte, l’enregistrement, le stockage, la mise à jour, la modification, la consultation, l’utilisation, la transmission, la distribution, la suppression, etc. La condition est que le traitement soit au moins partiellement automatisé, ou, si ce n’est pas le cas, que les données à caractère personnel soient destinées à être inclues dans un fichier.
Confirmation et renforcement des principes existants
Dans une large mesure, le RGPD confirme les principes existants, par exemple en ce qui concerne les principes relatifs à un traitement des données à caractère personnel admissible, légitime et sécurisé. Les règles de base pour le transfert des données à caractère personnel vers des pays tiers à l’Europe restent pour la plupart valables.
En outre, les droits et obligations existants sont renforcés. Cela inclut le droit d’une personne d’accéder à ses données à caractère personnel, de les rectifier et de les effacer (le fameux ‘droit à l’oubli’), ou - à partir de maintenant - de les transmettre à un tiers (‘portabilité des données’). L’obligation pour les entreprises de traiter les données de la manière la plus sûre possible, en utilisant des techniques comme l’anonymisation, la pseudonymisation ou le cryptage des données, est également renforcée (‘protection des données dès la conception et protection des données par défaut’). Les ’responsables du traitement’ devront encore conclure des contrats avec les entreprises qui traiteront les données en leur nom (par exemple : les secrétariats sociaux, les fournisseurs de services informatiques externes, ...). En vertu du RGPD, les responsables du traitement supporteront une plus grande responsabilité en ce qui concerne le traitement sécurisé.
Le principe du «guichet unique»
Les entreprises disposant d’un ou plusieurs établissements au sein de l’Union Européenne qui effectuent un traitement transfrontalier de données à caractère personnel dans différents Etats membres de l’Union européenne doivent désormais travailler avec un guichet unique, alors qu’elles devaient auparavant évaluer séparément dans chaque Etat membre les mesures qui devaient être prises. L’autorité de contrôle de l’Etat membre dans lequel est situé l’établissement principal, sera dans ce cas « l’autorité chef de file ».
Obligation d’information accrue
Sous ‘l’ancienne’ législation en matière de protection des données, le responsable de traitement qui traite des données à caractère personnel doit déjà communiquer aux personnes concernées certaines informations. Ainsi, les personnes concernées doivent par exemple déjà recevoir les informations suivantes : Pour quelles finalités leurs données sont-elles traitées ? A qui leurs données sont-elles communiquées ? Vers qui peuvent-ellesse tourner afin d’exercer leurs droits ? Cette obligation d’information est accrue par le RGPD.
Désormais, à côté des informations qui étaient déjà obligatoires, une entreprise devra indiquer la base juridique sur laquelle elle se fonde pour traiter les données. Il peut par exemple s’agir d’une obligation légale, du consentement de la personne concernée ou de la nécessité de traiter les données pour exécuter un contrat avec la personne concernée. A côté de ces hypothèses, une entreprise pourra souvent faire appel à la ‘catégorie résiduelle’ des intérêts légitimes.
Le Règlement oblige désormais les entreprises à décrire cet intérêt légitime, dans le cadre de ll’information fournie aux personnes concernées, et d’effectuer une mise en balance des intérêts (balancing test).
Désormais, les entreprises doivent également faire savoir à l’avance si elles ont l’intention de transférer des données en dehors de l’Europe et combien de temps ces données seront conservées. Elles doivent également indiquer que la personne concernée a le droit de déposer plainte auprès de l’Autorité de protection des données, que la personne concernée peut retirer son consentement (si le traitement est - en tout ou en partie - basé sur le consentement), qui est le ‘délégué à la protection des données’ (s’il y en a un), etc.
Cette information élargie doit être donnée sous une forme complète et facilement accessible, ainsi que dans un langage clair et simple. En règle générale, l’information est fournie par écrit ou électroniquement.
Le consentement comme base juridique pour le traitement
Sous ‘l’ancienne’ législation, le consentement de la personne concernée était déjà une base juridique possible pour traiter des données à caractère personnel. Il existe néanmoins un débat quant à la question de savoir si un travailleur peut réellement donner son consentement « librement » dans le cadre de la relation de travail.
Bien que le Règlement maintient le consentement comme base juridique, il assortit celui-ci de conditions plus strictes.
Celui-ci doit être libre, spécifique, fondé sur l’information utile, univoque et rédigé dans un langage clair et compréhensible. L’entreprise doit démontrer le cas échéant que la personne a donné son consentement. Un consentement explicite sera donc nécessaire. La personne concernée a également le droit de retirer son consentement à tout moment.
Le consentement est par conséquent devenu une base légale moins solide, et nous recommandons donc de s’appuyer, dans la mesure du possible, sur une autre base légale pour le traitement des données à caractère personnel.
Obligation de documentation
Sous le RGPD, un certain nombre d’entreprises ont l’obligation de tenir un registre de l’ensemble de leurs activités de traitement. Le registre a remplacé l’ancienne obligation de déclaration auprès de l’ancienne Commission Vie Privée. Il ressort d’une recommandation de l’Autorité de protection des données que cette obligation de registre est très large et s’applique en fait à la quasi-totalité des entreprises.
Ce registre devra contenir certaines mentions obligatoires et devra pouvoir être présenté à la demande de l’Autorité de protection des données.
Obligation de désignation d’un ‘délégué à la protection des données’ pour certaines entreprises
Certaines entreprises et institutions, comme les autorités publiques ou les entreprises dont l’activité principale consiste à effectuer des opérations de traitement de données exigeant un suivi régulier et systématique à grande échelle des personnes concernées ou à traiter à grande échelle des données sensibles, sont obligées de désigner un ‘délégué à la protection des données’. Cela peut être un travailleur, mais également un fournisseur de services indépendant. Cette personne conseillera l’entreprise quant aux mesures qui devront être prises à la lumière du nouveau Règlement et surveillera également le respect des principes du Règlement. Cette personne devra être en mesure d’agir de manière indépendante au sein de l’entreprise. Elle devra rapporter au plus haut niveau de management et ne pourra pas être licenciée pour des raisons ayant trait à l’exercice de sa fonction.
Obligation de notification des violations
Si les données à caractère personnel des personnes concernées sont susceptibles de se retrouver dans de mauvaises mains, par exemple parce que quelqu’un a piraté les données, en cas d’erreur humaine ou en cas d'erreur dans le système, l’entreprise est obligée dans certains cas de le notifier à l’Autorité de protection des données, ainsi qu’aux personnes concernées. On pense à un travailleur dont l’ordinateur portable est volé et sur lequel se trouvent des données à caractère personnel, ou à un e-mail contenant des données à caractère personnel qui est envoyé par erreur à une mauvaise adresse. Une politique décrivant les différentes situations possibles et les réponses à y apporter peut être utile.
Risque de sanction plus élevé
Le respect des règles relatives au traitement des données à caractère personnel n’était à notre sens pas la priorité absolue des employeurs sur le marché belge avant l’arrivée du RGPD. Cela était entre autres dû au fait que, contrairement à certains de nos pays voisins, en Belgique, l’ancienne législation ne prévoyait pas de réel risque de sanction. Des sanctions pénales étaient bien prévues, mais en pratique, celles-ci étaient rarement appliquées, voire jamais. L’autorité de contrôle belge ne disposait pas de pouvoir de sanction.
Cela a considérablement changé avec le RGPD.
Les personnes concernées peuvent déposer plainte auprès de l’Autorité de protection des données et introduire une demande en dommages et intérêts devant les tribunaux.
Désormais, les entreprises qui ne respecteront pas ces règles pourront être condamnées à de lourdes amendes par l’Autorité de protection des données. Les amendes administratives pourront aller jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaires mondial annuel d’une entreprise.