Back to Top

La nouvelle loi relative à la protection de la vie privée : C’est pour bientôt ? - 31/03/2017

Le 1er février dernier nous avions consacré un premier article à cette problématique. La nouvelle législation GDPR (General Data Protection Regulation) du 24 mai 2016 entre effectivement en vigueur à partir du 25 mai 2018. Ceci implique que  pour cette date, les entreprises devront satisfaire aux nouvelles règles européennes en matière la protection des personnes physiques lors du traitement des données privées. Cet article traite plus particulièrement des dispositions que votre société ou organisation devra sans doute mettre en œuvre afin d’éviter les infractions et les amendes.

Afin de bien comprendre les enjeux de cette nouvelle législation, il est nécessaire de rappeler la définition des termes principaux du Règlement relatif à la protection des données à caractère personnel (législation GDPR) :

  1. Données à caractère personnel

    : Ce règlement traite de la protection mais également de la gestion des données à caractère personnel pour les citoyens européens. Dans ce contexte, les « données à caractère personnel » sont : “toute information concernant une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale“
     

  2. Traitement:

    “Toute opération ou ensemble d’ opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de données à caractère personnel.”
     

Ces définitions étant très vastes, la plupart des entreprises ou organisations est donc concernée. Conformément à cette législation, chaque entreprise ou organisation est responsable de la gestion, du traitement et de la protection de ces données. Pour vous aider à vérifier la conformité de votre gestion et de la protection des données, voici un récapitulatif des démarches à suivre.

  1. L’évaluation des conséquences

Tout d’abord, il est important que vous évaluiez les conséquences possibles de ce règlement pour votre entreprise (tant au niveau de la gestion qu’au niveau de l’accessibilité de ces données par vos collaborateurs).  A titre d’exemple, il vous faudra analyser dans votre base de données quelles sont celles qui sont à caractère personnel, quelles sont les personnes qui y ont accès, si des traitements éventuels sont enregistrés, etc. Un « audit de l’information » est une solution efficace pour faire le point sur votre situation actuelle et de là, peut permettre de définir une feuille de route. 

  1. Le consentement des intéressés

Etant donné que vous devez, en tant qu’entreprise ou organisation, obtenir de la personne concernée un consentement explicite pour garder ces données et les traiter, il faut examiner de quelle façon sera demandé ce consentement, comment il sera obtenu et enregistré. Ce consentement doit être libre, spécifique, explicite et doit également résulter d’une indication active de l’accord. Autrement dit, le consentement ne peut par exemple pas être déduit d’une absence de réponse ou d’une case cochée d’avance. Un mécanisme d’autorisation ou une alternative doit donc être mis en place s’il n’est pas encore disponible.

Par ailleurs, ces données doivent être actualisées. Une évaluation est donc nécessaire afin de constater s’il faut encore élaborer ou adapter des procédures, qu’elles soient automatisées ou non.

  1. Les droits des intéressés

Les personnes dont vous possédez ou traitez les données ont des droits sur celles-ci. Il faut donc vérifier si les procédures mises en place respectent ces droits et comment ils pourront être exercés. Le GDPR prévoit entre autre des droit tels que «l’information et l’accès aux données à caractère personnel ; la correction et l’effacement de données ; la transmission de données,…. ».  Lors de la mise en place des différents types de traitement de données, il est important d’identifier pour chacun d’entre eux leur fondement juridique puisque dans ce contexte, les droits de l’intéressé peuvent varier selon la base légale.

  1. La protection des données

Dans notre premier article relatif à ce sujet,  nous avions déjà mis l’accent sur l’importance de la protection des données à caractère personnel. Prévoir une  protection suffisante  des données et donc prendre les mesures nécessaires (du point de vue technique et  d’un point de vue organisationnel) est donc primordial mais nécessite, de votre part,  une grande rigueur et de l’originalité. 

En effet, vous pouvez recourir à de multiples moyens tels que le cryptage des données à caractère personnel, la protection par des mots de passe, …. Une sécurité informatique renforcée peut constituer la majeure partie de ces mesures mais la sensibilisation reste néanmoins une priorité. En effet, chaque employé, chaque collaborateur doit être conscient de sa responsabilité quant à la protection des données personnelles. Aussi, des données transmises via “wetransfer”, l’usage privé d’un ordinateur portable, ou encore un mauvais stockage des documents confidentiels peuvent constituer des failles importantes  dans votre système de protection et de gestion de ces données. Il faut donc effectuer au plus vite, un travail de sensibilisation à ce respect des données pour que cela devienne naturel chez chacun d’entre nous.

Ainsi, à partir du 28 mai 2018 votre entreprise devra donc être ‘GDRP-proof’. Pour ce jour, il faut donc élaborer une gestion (manifeste) au sein de votre entreprise ou société. Nous vous conseillons donc de prendre vos dispositions au plus vite.

HLB ainsi que tous nos collaborateurs se tiennent à votre entière disposition pour vous aider dans ces démarches. N’hésitez pas à nous contacter.