RGPD: nouveau règlement sur la protection des données

Le 25 mai 2018 entrera en application le nouveau Règlement Général sur la Protection des Données (RGPD). Ce règlement européen renforce les obligations des entreprises qui traitent, gèrent et/ou stockent des données personnelles. Votre entreprise est donc aussi concernée !

Un workshop très instructif a été organisé par Informazout en mai 2017 à l’attention spéciale des distributeurs de mazout. Des consultantes de la société Privact, Dominique Pissoort et Sofie Dejager, spécialisées dans les questions de gestion de données à caractère privé, ont détaillé la mise en application de ce règlement qui s’applique à toutes les entreprises – aussi les moyennes et les petites – puisque le simple fait de détenir les coordonnées de clients justifie l’application des nouvelles règles.

Informations intéressantes

Nous avons effectué pour vous une première sélection et complilation d'informations et de documents intéressants. Consultez attentivement les liens ci-dessous:

Nouveaux droits pour les personnes

Si une directive européenne adoptée en 1995 prévoyait déjà le droit pour les personnes figurant dans les bases de données d’en être informées, d’y avoir accès, de pouvoir les rectifier et de s’y opposer, le RGPD va plus loin en octroyant de nouveaux droits aux personnes, tels que :

a)    Décision individuelle automatisée et Profilage.

Toute personne a le droit de ne pas être soumise à une décision individuelle lorsqu’elle est fondée exclusivement sur un traitement automatisé. Si cette décision individuelle a un effet juridique sur les droits de la personne (par exemple parce qu’elle a pour conséquence qu’on lui refuse un prêt ou qu’on le lui propose à des conditions moins avantageuses), il faut s’assurer que la personne ne soit pas confrontée uniquement au résultat calculé automatiquement par un ordinateur mais qu’elle puisse :

  • obtenir une intervention humaine dans la prise de décision ;
  • exprimer son point de vue ;
  • obtenir une explication de la décision et la contester.

Ce type de profilage n’est autorisé que s’il a lieu dans le cadre de la conclusion ou l’exécution d’un contrat, s‘il est autorisé par la loi ou s’il est effectué sur base d’un consentement explicite.

Notons que ce cas est peu applicable à notre secteur. Ainsi la décision de proposer à une personne un contrat de paiements échelonnés pour la livraison de mazout, par exemple, sera le plus souvent prise par le distributeur de mazout lui-même, sur base de ses relations avec la personne concernée et non pas sur base de scores calculés automatiquement par un ordinateur.

Attention, ce cas ne doit pas être confondu avec l’établissement de profil de marketing afin de déterminer qui recevra une publicité (sachant que même les personnes n’ayant pas reçu cette promotion pourront en profiter sur simple demande). Il faut bien entendu en informer les personnes comme décrit précédemment et prévoir un ‘opt out’ leur permettant de demander de ne plus figurer dans la liste des destinataires.

b)    Droit à l’oubli.

Dans certains cas, la personne a le droit de faire effacer toute trace de ses données personnelles.

c)    Droit à la restriction du traitement.

La personne concernée a le droit d’obtenir du responsable du traitement la limitation de celui-ci lorsque, par exemple, l’exactitude des données personnelles est contestée, le traitement est illicite ou le responsable du traitement n’a plus besoin de ces données.

d)    Droit à la portabilité des données.

La personne concernée peut demander que l’on transfère ses données personnelles d’un environnement informatique à celui d’un autre prestataire de manière sûre et sécurisée.

Nouvelles obligations pour les entreprises

Contrairement à ce que certains pensent, le nouveau règlement n’interdit rien mais il impose la plus grande transparence dans le traitement des données personnelles. Pour cela, il élargit le cadre légal actuel afin de contraindre toute entreprise à réaliser un inventaire de tous ses flux de données personnelles pour ensuite mettre en place des procédures claires garantissant une protection optimale des données. Par « flux », entendons le parcours des données à partir de leur collecte jusqu’à leur traitement. Pour chaque flux, les entreprises devront notamment détailler comment les données sont collectées, dans quel but précis elles seront utilisées, par qui elles seront accessibles, et combien de temps elles seront conservées. Cet inventaire ou audit a pour objectif de protéger les entreprises en cas de contrôle afin de démontrer qu’elles ont tout mis en œuvre pour garantir une protection maximale des données personnelles en leur possession.

L’une des grandes différences par rapport à la situation actuelle est en effet que La Commission de la protection de la Vie Privée voit ses pouvoirs accrus. Elle sera aussi chargée de vérifier le respect des nouvelles règles de manière active. Outre des amendes au pénal, elle peut désormais infliger des amendes administratives. Les entreprises qui ne tiendraient pas compte du nouveau règlement risquent des amendes pouvant aller jusqu’à 2 voire 4% de leur chiffre d’affaires. Mettez-vous donc rapidement en conformité !

A faire, obligatoirement !

  1. Dressez un inventaire de tous les traitements et des données traitées ainsi que de leurs objectifs précis.
  2. Traitez les données enregistrées de manière loyale et transparente.
  3. Enregistrez uniquement les données strictement nécessaires et ne les conservez pas au-delà de la période utile. Un délai raisonnable de conservation doit également être défini pour chaque flux de données. Cela signifie que vous devez détruire les données qui ne sont plus nécessaires à votre activité, comme par exemple les adresses de gens qui ne sont plus clients chez vous, au-delà de ce délai.
  4. Prenez les mesures adéquates de protection des traitements et des données.
  5. Lors de la collecte, informez clairement les personnes concernées sur l’usage précis de leurs données. L’option opt-in, par laquelle la personne marque son accord pour figurer dans votre base de données, devra dorénavant être la plus explicite possible sur l’usage réservé à ses données.
  6. Mettez en place en interne une politique de protection des données et de la vie privée.
  7. Désignez une personne responsable de la protection des données et de la vie privée, qui veillera à la mise en place des procédures ainsi qu’à leur respect par TOUS vos collaborateurs. Cette personne aura également un rôle de sensibilisation des équipes car les sanctions peuvent coûter cher. Devant le constat que toutes les entreprises n’ont pas les moyens de recruter un spécialiste ou de former quelqu’un en interne, des bureaux de consultance proposent de mettre à votre disposition l’expertise d’un Data Protection Officier (DPO) externe.

A ne pas faire !

  1. Ne sous-estimez pas le RGPD. Même les petites entreprises doivent appliquer ce nouveau règlement et peuvent être sanctionnées.
  2. Ne limitez pas les responsabilités à votre service IT. Afin de bien intégrer le RGPD, établissez une politique interne d’information et de formation à destination de l’ensemble de votre organisation.
  3. Ne rejetez pas la responsabilité RGPD sur votre fournisseur IT si vos données sont sauvegardées ‘sur le cloud’. Vous êtes désormais autant responsable que lui des données que vous utilisez.
  4. Assurez-vous que les serveurs utilisés pour le stockage de vos données soient bien hébergés en Europe. Dans le cas contraire, vous devrez signer avec votre hébergeur des clauses contractuelles imposées par la Commission Européenne.
  5. Ne considérez pas le RGPD comme un problème mais comme une opportunité d’entrer en contact avec vos clients pour vérifier leurs données et éventuellement les compléter.

Consultez également notre présentation RGPD