Des réformes importantes en matière de protection de la vie privée, il est temps d’agir !

Le Règlement Général relatif à la Protection des Données (le "RGPD", également appelé "GDPR" en anglais) a été adopté par le Parlement européen le 27 avril 2016. Ce règlement changera profondément la législation en matière de protection de la vie privée au sein de toute l'Union Européenne.

Le RGPD s'applique à toute société qui traite des données à caractère personnel. Les termes "à caractère personnel" et "traiter" sont définis très largement dans la mesure où presque chaque société devra faire face aux nouvelles règles tôt ou tard.

Le RGPD élargit la législation existante mais la modifie aussi de manière substantielle.

Voici une sélection des obligations les plus importantes en ce qui concerne le RGPD:

  • Certaines sociétés sensibles à la vie privée devront nommer un délégué à la protection des données (Data Protection Officer) ;
  • Une société qui laisse traiter ses données à caractère personnel par d'autres sociétés (par exemple par certains services en informatique, administration du personnel, certains sous-traitants) a l'obligation légale de conclure un contrat écrit conforme avec le RGPD, dans lequel les obligations du fournisseur des services ou le sous-traitant concernant les données à caractère personnel sont définies ;
  • Une société qui traite des données à caractère personnel a l'obligation de tenir un registre de ses propres activités de traitement de données, elle doit fournir une politique de confidentialité appropriée et doit également prendre des mesures qui prennent en compte le respect de la vie privée dès la conception et par défaut. (i.e. privacy by design et privacy by default) ;
  • Une société devra effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) (le terme “data protection impact assessment” (DPIA) est utilisé dans le RGPD,) avant chaque nouvelle activité de traitement de données personnelles ;
  • Dans certains cas, des fuites de données à caractère personnel relatives à des personnes devront être rapportées aux autorités compétentes dans les 72 heures (en Belgique, il faut s'adresser au Commissariat de la protection de la vie privée) ;
  • Les obligations à respecter concernant un accord valide donné par un individu pour le traitement de ses données personnelles deviendra encore plus stricte ;
  • Une infraction aux règles peut être sanctionnée par une amende (jusqu'à un montant de 20 millions d’euros ou 4% du chiffre d'affaire mondial).  

Le RGPD entrera en vigueur le 25 mai 2018. D'ici là, les sociétés ont le temps de s'adapter aux nouvelles règles.  

Toutefois, la réalisation de toutes ces nouvelles règles prendra du temps et obligera à faire des changements au sein d’une société.  

Par conséquent, nous conseillons aux sociétés d'adresser ce problème dans les meilleurs délais. Un premier pas consiste à savoir quelles données personnelles sont traitées par la société et quelles obligations cela implique pour la société en vertu de cette nouvelle législation.  

N'hésitez pas à nous contacter pour tout renseignement complémentaire.  

Me Johan Van Driessche (johan.vandriessche@everest-law.be)

Me Jasper D'Hooghe (Jasper.DHooghe@everest-law.be)