Le 10 janvier 2018, la loi du 3 décembre 2017 portant création de l’Autorité de protection des données a été publiée au Moniteur Belge. Cette loi, qui réforme la Commission de la protection de la vie privée, intervient dans le contexte de l’entrée en vigueur prochaine du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « GDPR »). À partir du 25 mai 2018, toute personne physique ou morale, autorité publique, service ou organisme traitant des données à caractère personnel ou organisant un tel traitement devra s’être mise en conformité avec les nouvelles règles applicables. Qu’est-ce que cela signifie concrètement ?

La présente news a pour objectif de fournir un aperçu des changements apportés par le GDPR et des mesures à prendre afin de se mettre en conformité avec ce nouveau régime.

pdfLire l'article en version PDF

Suis-je concerné par le GDPR ?

Le GDPR s’applique à tout traitement automatisé de données à caractère personnel, ainsi qu’à tout traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Sous réserve de certaines exceptions et modifications limitées, le champ d’application matériel du GDPR est ainsi identique à celui de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, qui constitue actuellement le siège principal de la matière en Belgique. En pratique, à peu près toutes les entreprises sont concernées, ne fût-ce qu’au niveau de la gestion de leur personnel, de leurs clients et de leurs fournisseurs.

Au niveau territorial, le GDPR concerne non seulement les entreprises établies sur le territoire de l’UE, mais également, dans certaines hypothèses, les entreprises étrangères qui traitent des données à caractère personnel relatives à des personnes se trouvant sur le territoire de l’UE. Le fait que votre entreprise ne soit pas établie dans l’UE ne signifie donc pas nécessairement que le GDPR ne s’applique pas.

Les principaux changements apportés par le GDPR ne se situent toutefois pas au niveau du champ d’application de la réglementation, mais bien au niveau des obligations imposées aux responsables de traitements et à leurs sous-traitants, ainsi qu’aux sanctions applicables en cas de non-respect de la réglementation.


Quels sont les principaux changements et que faire en pratique ?

1) Actuellement, de nombreux traitements de données à caractère personnel se fondent sur le consentement des personnes concernées. Ce consentement n’est toutefois pas toujours obtenu dans des conditions permettant de garantir un consentement de qualité, motif pour lequel le GDPR prévoit que ce consentement devra répondre à des conditions plus strictes qu’actuellement. A l’avenir, toute entreprise qui fonde un traitement de données à caractère personnel sur le consentement des personnes concernées devra notamment examiner si :

  • ce consentement est bien obtenu par une déclaration ou par un acte positif clair (et non par l’usage d’une case pré-cochée, par exemple) ;
  • ce consentement est bien une manifestation de volonté libre, spécifique, éclairée et univoque (ce qui implique notamment que la personne concernée ait été correctement informée de la portée de son consentement avant de le donner) ;
  • ce consentement porte bien sur un traitement pour une ou plusieurs finalités spécifiques (ce qui exclut l’usage de formulation vagues ou trop larges) ;
  • lorsque ce consentement est donné dans le cadre d'une déclaration écrite qui concerne également d’autres questions (par exemple, l’acceptation de conditions générales ou de conditions d’utilisation), la demande de consentement est présentée sous une forme compréhensible et aisément accessible qui la distingue clairement de ces autres questions, et formulée en des termes clairs et simples ;
  • elle sera en mesure de démontrer qu’elle a bien obtenu ce consentement (ce qui implique que l’obtention de ce consentement soit correctement documentée).

Le GDPR s’appliquera également au traitement de données collectées avant son entrée en vigueur. Cela signifie que si un tel traitement se fonde sur un consentement obtenu dans des conditions qui ne satisfont pas aux exigences du GDPR, il faudra régulariser la situation en obtenant à nouveau le consentement des personnes concernées, cette fois dans des conditions conformes aux exigences du GDPR.


2)
Le GDPR prévoit des obligations d’information accrues à charge des responsables de traitements. En pratique, il est donc nécessaire de mettre les documents actuellement utilisés par l’entreprise (notamment les chartes de protection de la vie privée ou privacy policy) en conformité avec le GDPR, en s’assurant qu’ils mentionnent bien, notamment :

  • les finalités du traitement auquel sont  destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque le traitement se fonde sur lesdits intérêts légitimes ;
  • le cas échéant, le fait que le responsable du traitement ait l’intention de transférer les données en dehors de l’UE et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées qui ont été mises en place pour protéger les personnes concernées ;
  • lorsque le traitement se fonde sur le consentement, le droit pour les personnes concernées de retirer ce consentement à tout moment ;
  • le droit des personnes concernées d’introduire une réclamation auprès d’une autorité de contrôle ;
  • la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • l’existence d’une prise de décision automatisée, y compris un profilage, et des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.


3)
Le GDPR fait expressément référence au « droit à l’oubli» dont bénéficie toute personne concernée par un traitement de données à caractère personnel et qui lui permet d’obtenir, sous certaines conditions, l’effacement de ses données à caractère personnel. Bien que, comme l’a démontré l’arrêt Google Spain de la Cour de justice, ce droit existait déjà en germes dans la directive 95/46/CE sous la forme d’un droit à l’effacement, le GDPR lui accorde une place particulière. Les responsables de traitements devront y être attentifs et mettre en place une procédure leur permettant de répondre en pratique et « dans les meilleurs délais » à toute personne exerçant ce droit.


4)
Tout responsable d’un traitement de données à caractère personnel devra également mettre en place une procédure lui permettant de notifier à chaque destinataire auquel des données à caractère personnel ont été communiquées toute rectification ou tout effacement des données concernées ou toute limitation de leur traitement, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés.


5)
En ce qui concerne les droits des personnes concernées, la véritable nouveauté est la consécration d’un droit à la portabilité des données, dont l’objectif est de favoriser la mobilité des clients dans l’environnement en ligne. Il s’agit du droit de la personne concernée de recevoir, sous certaines conditions, les données à caractère personnel la concernant, qu’elle a elle-même fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, en vue de sa transmission à un autre responsable du traitement. Les responsables de traitements de données à caractère personnel devront veiller à prévoir les mesures techniques appropriées leur permettant de répondre à de telles demandes.


6)
Le GDPR consacre également le principe de protection des données « dès la conception » et de protection des données « par défaut ». Pour respecter ces principes, le responsable du traitement devra mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, destinées à mettre en œuvre les principes relatifs à la protection des données, notamment le principe de minimisation des données. Ces mesures techniques et organisationnelles devront également permettre de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Ces principes sont susceptibles d’impacter non seulement la configuration des produits, sites internet ou applications capables de collecter des données à caractère personnel, mais également la stratégie globale de l’entreprise concernée. Ils impliquent donc qu’une réflexion approfondie soit menée par chaque responsable de traitement.


7)
Les responsables de traitements et les sous-traitants qui ne sont pas établis dans l’UE mais qui sont néanmoins soumis au GDPR pour des activités de traitement liées à l'offre de biens ou de services à des personnes dans l'UE ou au suivi du comportement de ces personnes au sein de l'UE, vont devoir nommer un représentant dans l’UE, qui sera le point de contact des autorités de contrôle et des personnes concernées par le traitement.


8)
Un autre point d’attention particulier du GDPR est la relation entre les responsables de traitements et leurs sous-traitants. Un sous-traitant est défini par le GDPR comme toute personne, service ou organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Le GDPR contient des exigences précises auxquelles devra dorénavant satisfaire tout contrat de sous-traitance. Il va non seulement falloir s’assurer que les contrats futurs soient conformes à ces exigences, mais également veiller à adapter les contrats en cours si nécessaire. Ces contrats devront notamment :

  • définir l’objet, la durée, la nature et la finalité du traitement ;
  • définir le type de données traitées et les catégories de personnes concernées ;
  • prévoir que le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à en respecter la confidentialité ;
  • prévoir que le sous-traitant prenne toutes les mesures de sécurité appropriées afin de garantir un niveau de sécurité adapté au risque  ;
  • prévoir que le sous-traitant impose les mêmes obligations à tout sous-traitant ultérieur ;
  • prévoir que le sous-traitant supprime toutes les données ou les renvoie au responsable du traitement au terme de la prestation de services ;
  • prévoir que le sous-traitant fournisse au responsable du traitement toutes les informations nécessaires pour démontrer le respect des exigences prévues par le GDPR.


9)
Chaque responsable du traitement devra par ailleurs dorénavant tenir un registre des activités de traitement comprenant notamment les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, une description des catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, l’existence de transferts de données vers des pays tiers, les délais de conservation par catégorie de données et une description des mesures de sécurité mises en place pour protéger les données.


10)
En cas de violation de données à caractère personnel, le responsable du traitement sera soumis, dans certains cas, à l’obligation de notifier la violation intervenue à l’autorité de contrôle, voire même aux personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de ces dernières. Le responsable du traitement devra donc mettre en place des règles et mesures internes lui permettant de se conformer à ses obligations dans les délais requis (en principe 72 heures en ce qui concerne la notification à l’autorité de contrôle).


11)
Lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés de personnes physiques, le responsable du traitement devra procéder, préalablement à ce traitement, à une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Si cette analyse indique l'existence d'un risque élevé, le responsable du traitement devra consulter l'autorité de contrôle préalablement à la mise en œuvre dudit traitement.


12)
Enfin, le GDPR prévoit également l’obligation, dans certaines hypothèses déterminées, de nommer un délégué à la protection des données. Cette obligation s’applique non seulement à la plupart des autorités publiques, mais également à tout responsable du traitement ou sous-traitant dont les activités « de base » consistent soit en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle de personnes soit en un traitement à grande échelle de données dites « sensibles » (notamment des données de santé, des données relatives à l’orientation sexuelle ou politique ou à l’origine raciale, ou encore des données relatives à des condamnations pénales ou à des infractions).


Sanctions ?

Le GDPR apporte également d’importants changements en ce qui concerne les pouvoirs des autorités de contrôle et les sanctions. L’Autorité de protection des données pourra imposer aux contrevenants des amendes administratives dont le montant variera en fonction des infractions commises. Pour les infractions les plus graves, ces amendes pourront atteindre des montants très importants, à savoir jusqu’à 20.000.000 EUR ou, dans le cas d’une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. En outre, l’Autorité de protection des données disposera aussi d’autres pouvoirs tels que, notamment, celui de proposer une transaction, de formuler des avertissements ou des réprimandes, d’ordonner de se conformer aux demandes de la personne concernée d’exercer ses droits, d’ordonner une mise en conformité ou d’interdire ou de limiter temporairement ou définitivement le traitement effectué.

 

                                                                                                     *     *     *

 

Pour plus d’informations ou une assistance spécifique, n’hésitez pas à contacter notre Data Protection Team :

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.