RGPD, an an plus tard…

Dans quelques jours l’Europe fêtera le premier anniversaire de l’entrée en application du RGPD. Sans doute un bon moment pour exiger des entreprises qu’elles fassent preuve de plus de responsabilité vis-à-vis de leur mise en conformité à ce règlement de protection des données personnelles.

Un des piliers sur lequel repose ce règlement est le principe de responsabilité qui, entre autres, exige que le responsable de traitement adopte des mesures préventives visant à réduire les risques de violation entraînant la perte, l’altération ou la divulgation de données personnelles, voire un accès non-autorisé à ces dernières. Au même degré, si ces violations de données à caractère personnel comportent « un risque élevé » pour les droits et libertés des personnes physiques, le responsable de traitement est dans l’obligation de le notifier à l’autorité compétente dans les plus brefs délais après en avoir pris connaissance. Sur le site Internet de l’APD, l’autorité compétente belge, les entreprises pourront trouver le formulaire électronique destiné à notifier les fuites de données. Ce formulaire est le seul accepté et validé par l’APD pour procéder aux notifications de violation de données.

Depuis mai 2018 et jusqu’à janvier 2019, l’APD a reçu 445 notifications de fuites de données. Une augmentation de presque 1000% si nous tenons compte des 45 notifications reçues en 2017… ou des 22 de 2016 ! Des chiffres qui démontrent la réactivité des entreprises belges en comparaison à celles de nos voisins luxembourgeois ou français… mais loin des 15.400 notifications de fuites signalées aux Pays-Bas ou des 12.600 notifications allemandes!

Un nombre extrêmement élevé de notifications qui pourrait mettre en lumière une certaine peur des amendes applicables par le RGPD… Et de fait, depuis un petit temps, quelques autorités compétentes – entre autres le CNIL français et l’APD – signalent leur intention d’être plus strictes en matière d’application des règles via des sanctions plus lourdes. Cependant, de nombreuses sociétés – surtout les PME – ne sont pas encore en conformité avec le RGPD… et ne se sentent même pas concernées. Elles considèrent qu’elles ne seront jamais « importunées » ni « visées » par l’APD vu le type et la taille des données personnelles qu’elles traitent. N’en soyons pas si sûrs !

Dura lex, sed lex, qu’on le veuille ou pas… Et il n’est pas forcément difficile de faire quelques efforts pour mettre le pied à l’étrier. Ce nouveau numéro de la Newsletter Intelligence Stratégique entend bien vous le démontrer…

Lisez ici une version plus détaillée de cet article

Protection :

Registre des activités de traitement de données

Le RGPD impose aux responsables du traitement ainsi qu’aux sous-traitants de maintenir un registre des activités de traitement de données qu’ils opèrent.

Ce registre, pour être conforme au règlement, doit contenir un certain nombre d’informations obligatoires, mais il n’est pas assujetti à un modèle spécifique, contrairement au formulaire destiné à signaler toute fuite à l’autorité compétente dont nous vous parlions ci-avant. Par conséquent, vous êtes libre de réaliser ce registre en utilisant le canevas de votre choix… et qui vous facilitera au mieux cette démarche.

Si vous ne disposez d’aucun modèle de registre de traitements ou n’avez pas d’idée claire pour en établir un, l’Autorité de Protection des Données (APD) en met à disposition sur son site.

L’utilisateur reste maître de ses données personnelles

Si établir un registre de chacun des traitements de données personnelles que vous effectuez est obligatoire et qu’il demeure primordial que le responsable de traitement ait une vision claire et globale de ce qui se fait en interne avec lesdites données, il s’agit également d’être clair avec les personnes directement concernées par ces données!

Aussi, rappelez-vous que tout usage de ces données personnelles – comme nous le faisons par exemple en vous faisant parvenir cette newsletter à laquelle vous êtes inscrit(e) selon votre souhait explicite – ne peut se faire sans le consentement de la personne concernée… Consentement sur lequel elle peut d’ailleurs revenir à tout moment, comme elle a le droit de demander la modification ou la suppression pure et simple des données la concernant en votre possession.

Si vous récoltez des données personnelles (ou des cookies, dans ce cas concret) sur votre site web, il s’agit également de l’énoncer sur une page dédiée – pas dans vos CGU, voire CGV, donc! – tout comme vous devrez y décrire ce que vous ou d’éventuels partenaires vont ou pourraient en faire.