General Data Protection Regulation (RGPD) : quelles conséquences pour mon entreprise ?
112. C’est le nombre de jours qu’il reste avant la date d’entrée en vigueur du nouveau Règlement Général sur la Protection des Données. Pour que ce chiffre ne devienne pas également le numéro que vous allez devoir composer le 25 mai, à demi inconscient en vous rendant compte de la montagne de choses à adapter pour être en conformité, rejoignez-nous sur les réseaux sociaux et apprenez de manière régulière et didactique ce que cela change concrètement pour vous.
LE GDPR j’en entends parler, mais suis-je concerné ?
L’application du règlement s’apprécie de manière matérielle et territoriale.
Ratione Materiae, la règle est que le règlement doit être respecté dès qu’un traitement de données à caractère personnel, automatisé ou non, de données contenues ou appelées à figurer dans un fichier est réalisé. Il faut ici entendre un fichier comme étant un ensemble structuré de données. Il y a évidemment lieu d’enlever de ces hypothèses celles dans lesquelles le droit de l’Union n’est purement et simplement pas d’application. Il en va de même lorsqu’un tel traitement est effectué par une personne physique dans le cadre de ses activités privées.
Ratione Loci, ce qui importe est la localisation des activités réalisées par un établissement responsable du traitement ou par son sous-traitant. Peu importe où est localisé le traitement de ces données, le règlement est applicable si ces activités sont réalisées sur le territoire de l’Union. S’il n’y a pas d’établissement sur le territoire européen, il peut également s’appliquer si le traitement porte sur des personnes qui elles s’y trouvent. Il faut alors que le traitement soit lié à l’offre de biens ou de services à ces personnes concernées dans l’Union ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE. Si en vertu du droit international public le droit d’un Etat membre est d’application alors que l’établissement n’est pas dans l’Union, le règlement est également applicable.
En clair, si vous êtes une PME établie en Belgique, active dans la prestation de service ou la vente, que vous effectuez un traitement de données personnelles de vos clients, vous êtes concernée.
Mais qu’est-ce qu’une donnée à caractère personnel ? Selon le règlement il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Un traitement de ces données est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre.
Petit rappel : Règlement vs. Directive. Jusqu’à aujourd’hui, cette matière était contenue dans une loi belge qui avait été modifiée par une directive européenne. La directive se distingue en partie du règlement par le fait qu’elle doit être transposée dans le droit national. Le règlement, lui, est d’applicabilité directe. Il ne faut pas faire appel au législateur national pour le rendre contraignant en Belgique.
Pourquoi diable changer les règles ? Dans un but d’efficience de la protection de la vie privée. Il faut se prémunir de manière performante contre les risques de violation car le monde est en changement. Le but du règlement est d’anticiper et de renforcer les droits des citoyens. Il souhaite également assurer un meilleur fonctionnement du marché interne. Le règlement fait en sorte que le respect des règles soit mieux encadré, il en va de même pour les rapports internationaux et les transferts de données qui sont de plus en plus nombreux. Le citoyen doit avoir plus de contrôle sur ses données : qu’est-ce qu’on collecte, comment, où, …
Le lecteur attentif pense à ce stade que l’objectif est louable, mais que cela crée pour lui de nouvelles charges. La Commission Européenne vient à ce sujet de publier une « Fact Sheet » sur le GDPR dans laquelle elle estime que cela est nécessaire dans un but de clarté et de cohérence et que les PME n’y seraient pas forcément perdantes. L’idée est d’obtenir plus de confiance du consommateur. De cette manière le vendeur pourra prendre le meilleur parti du « Digital Single Market ». Nous le savons, le marché est ouvert en Europe. L’Union Européenne s’articule désormais autours des quatre grandes libertés : la libre circulation des personnes, des capitaux, des biens et des services. Dans ce marché, obtenir les mêmes règles pour tous entraine une meilleure pratique concurrentielle. Cela facilite également la vie de l’entreprise présente dans différents pays, elle pourra désormais être soumise aux même règles dans chacun d’eux.
Ne manquez donc pas le tournant ! Renseignez-vous, suivez l’actualité, questionnez-vous sur les traitements que vous effectuez. Nous reviendrons régulièrement jusqu’au 25 mai avec des conseils et des explications sur la mise en conformité. Nous organiserons également ce premier semestre plusieurs évènements sur le sujet. Ce changement législatif est une opportunité et un grand défi. Partageons-les !
Pour plus d’informations : www.eugdpr.org
—
Vous avez besoin d’un conseil ou d’une assistance en matière juridique ?
En tant que membre UCM Mouvement, accédez à un service juridique compétent en matière de droit commercial, droit des sociétés, droit fiscal et propriété intellectuelle.
Contactez notre conseiller juridique Martin Marinx par e-mail via martin.marinx@ucm.be ou par téléphone au 010 49 59 86.