Vie privée : moins de données, moins de nécessité de protection
Prononcez les lettres RGPD (ou GDPR pour General Data Protection Regulation) en présence d’un directeur d’entreprise, et vous le verrez changer de couleur… Mais à partir du 25 mai, toute organisation, de l’association de fait à la multinationale, devra se conformer au règlement général européen sur la protection des données. Et cela va beaucoup plus loin que ce que beaucoup de personnes pensent.
La General Data Protection Regulation – ou règlement général sur la protection des données – fait faire des heures supplémentaires aux consultants, juristes, avocats et spécialistes informatiques, selon Daphné Vanassche du bureau stratégique courtraisien DULL. Patrick Van Eecke de DLA Piper le reconnaît. “Ces deux dernières années, ma pratique en affaires de vie privée a explosé.” Gert Beeckmans de SD Worx est plus modéré : il considère le RGPD comme “une évolution, pas une révolution”.
De quoi s’agit-il ?
Mais une réglementation plus stricte en matière de vie privée est pourtant bel et bien un changement de cap. Autorités, entreprises, établissements de soin et ASBL devront, à partir du 25 mai, pouvoir prouver qu’ils manient avec précaution les données personnelles qu’ils collectent et gèrent.
La charge de la preuve est inversée. Si une personne subit des dommages suite à la fuite de données personnelles arrivées dans de mauvaises mains, ce sera alors au responsable du traitement des données de prouver qu’il a été rigoureux et prudent.
‘Les données à caractère personnel’ sont ‘toutes les informations concernant des personnes physiques identifiables directement ou indirectement’. Toute organisation qui traite ce type d’informations devra satisfaire au RGPD. Cela va des associations, aux clubs de sport locaux jusqu’aux multinationales. Elles traitent toutes des données à caractère personnel de membres du personnel, de clients ou de fournisseurs.
Le concept de ‘traitement’ est également large. Cela va de la collecte de ces données et de leur enregistrement à la consultation, l’association, la diffusion et finalement la destruction. Presque 1,14 million d’indépendants et de sociétés, reconnus auprès de l’ONSS, doivent au minimum tenir un registre à jour de leur traitement des données personnelles.
Si leur traitement est ‘risqué’ – par exemple pour établir des profils ou pour le direct marketing – ils doivent préalablement rédiger un rapport d’évaluation d’impact. Dans certains cas, ils sont contraints de nommer un ‘délégué à la protection des données’.
Faites de la protection des données un point permanent à l’ordre du jour
Gert Beeckmans, SD Worx
Le règlement s’applique aussi aux responsables de traitement et exploitants de données implantés en dehors de l’Union Européenne s’ils offrent des produits ou des services à des personnes dans l’UE ou s’ils monitorent le comportement de personnes dans l’UE.
Une des raisons pour lesquelles la loi sur la vie privée est à présent prise davantage au sérieux qu’auparavant sont les amendes que l’Autorité de protection des données pourra imposer à partir du 25 mai.
“Auparavant, elle devait pour cela se rendre au tribunal, ce qui ne se produisait pas très souvent”, explique Gert Beeckmans de SD Worx. Avec les nouvelles règles, les amendes pourront aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros, en fonction de celui des deux qui est le plus élevé.
Au travail !
Diverses organisations ont déjà élaboré un planning par étapes. Un bon guide est celui élaboré par Scwitch, une coopération d’organisations socio-culturelles. Ces dernières traitent souvent des ‘données personnelles sensibles’. Il s’agit de données médicales, de préférence politique ou sexuelle, de conviction religieuse, d’origine ethnique, d’adhésion à des syndicats etc. Pour ces données, des conditions de traitement spécifiques s’appliquent en plus des exigences générales de transparence, de proportionnalité et de sécurité.
Scwitch conseille de tenir à jour un registre de ce que vous faites. De cette manière, vous montrez que vous prenez le traitement des données personnelles au sérieux et vous conservez une vue d’ensemble de ce qui est fait et par qui.
1. Sensibilisation
Pour Scwitch, la sensibilisation est la première étape. Patrick Van Eecke de DLA Piper prévient aussi que le RGPD demande davantage qu’une rapide adaptation de la privacy policy sur le site web.
“Il s’agit de la manière dont vous collectez les données à caractère privé, comment vous les traitez, combien de temps vous les conservez, quelles mesures de sécurité vous prenez, etc. Il faudra souvent prévoir une formation du personnel pour leur apprendre à agir de manière réfléchie avec les données personnelles”, esquisse Van Eecke. “Faites de la protection des données personnelles un point permanent à l’ordre du jour”, conseille Gert Beeckmans de SD Worx.
2. Inventaire
Quelles données personnelles conservez-vous ? Avec quel objectif ? Sur quelle base juridique ? Où les conservez-vous ? Qui y a accès ? D’où proviennent-elles ? Sont-elles échangées en externe ? Avec qui ? Ces données arrivent dans le registre de traitement de données obligatoire.
“Limitez les données personnelles au minimum”, conseille Karl Pottie, expert ICT de la province du Brabant flamand. “Au moins vous récoltez de données, au moins vous devrez faire pour les protéger. Vous avez vraiment besoin de données spécifiques ? Non ? Dans ce cas, vous ne devez pas les collecter. Fixez également une limite de conservation. Souvent, les données ne sont jamais supprimées”, relève Pottie.
Pour le registre des activités de traitements de données à caractère personnel, vous ne devez pas nécessairement acheter de logiciel spécifique. Un tableur suffit. Les organisations comme Agoria, Unizo, Beltug, Scwitch et autres ont des modèles sur leur site web.
Le RGPD ne prévoit qu’une seule situation dans laquelle un registre des activités de traitements des données personnelles n’est pas nécessaire : si le traitement des données personnelles est ‘ponctuel’. Comme le boulanger qui organise une tombola pour ses clients et détruit les données ensuite.
3. Audit
Après l’inventaire, vous prenez en considération votre situation. Vos activités de traitement des données correspondent-elles au règlement ? Que faire pour combler l’écart ? “Vous pouvez faire réaliser un tel audit par un expert, mais vous pouvez aussi tranquillement élaborer vous-même les étapes”, conseille Luk Tas, project manager de Scwitch. Danielle Jacobs, à la direction de Beltug, une ASBL qui défend les utilisateurs ICT, ajoute qu’un consultant ne vous décharge pas des tracas. “Les conseillers ne vont pas faire le vrai travail pour vous”, dit-elle.
Une partie importante de l’effort sont les contrats avec les services auxquels vous transmettez des données à caractère personnel, comme les secrétariats sociaux, ou avec les fournisseurs de logiciels et de plateformes en ligne qui vous aident dans le traitement. Ceux-ci doivent vous garantir par écrit qu’ils travaillent de manière conforme au RGPD.
Les services publics, les organisations qui traitent des données à grande échelle et celles qui traitent systématiquement des données sensibles doivent désigner un délégué à la protection des données personnelles (DPO pour “Data Protection Officer”). C’est un professionnel interne ou externe, qui a une certaine indépendance. Il fait un rapport annuel pour la direction de l’entreprise et il est le point de contact avec l’Autorité de protection des données.
4. Transparence
Une déclaration de confidentialité doit informer les personnes dont vous traitez les données sur la nature des données que vous avez collectées sur elles, comment vous le faites, sur quelle base légale, avec quel objectif, avec qui elles sont partagées et pourquoi.
Si les données servent au processus décisionnel automatique ou à du profilage, la logique, l’intérêt et les conséquences attendues pour la personne concernée doivent être expliqués. Si les données quittent l’Union Européenne, cela doit être mentionné. Le RGPD garantit les droits à la vie privée de toutes les personnes concernées, indépendamment qu’elles soient ou non citoyens européens et indépendamment de l’endroit où elles résident.
La déclaration de confidentialité doit être claire, concrète et disponible facilement. Elle précise aussi concrètement comment les personnes peuvent exercer leur droit à la consultation, correction, contestation, suppression, annulation de l’autorisation, limitation du traitement, refus de profilage automatisé et de transfert de leurs données.
Les formules vagues comme ‘nous récoltons ces informations afin de vous contacter pour le marketing de nos produits et services et pour des parties tierces sélectionnées qui désirent vous contacter par notre intermédiaire” (la déclaration de confidentialité actuelle d’une multinationale fournisseuse de données) ne suffit pas.
5. Quid en cas de brèche ?
Les données personnelles doivent être protégées de manière adéquate. Si un ordinateur portable disparaît, le responsable du traitement doit pouvoir argumenter que les données étaient correctement cryptées ou rendu anonymes.
S’il est peu probable que la brèche implique un risque pour les droits et les libertés des personnes concernées, le responsable du traitement n’a pas à signaler l’incident à l’Autorité de protection des données. Sinon cela devra se faire dans les 72 heures. S’il y a un ‘risque élevé’ de dommage pour les individus, ceux-ci doivent être immédiatement informés.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici