Protection des données à caractère personnel

Les données à caractère personnel sont toutes les informations se rapportant à une personne physique (vivante) identifiée ou identifiable.

Ce terme englobe donc les données permettant une identification directe (par exemple le nom et prénom d’une personne, une photo) mais également celle qui permettent une identification indirecte (par exemple un numéro de téléphone, un numéro de sécurité sociale ou même un commentaire ou une affiliation) qui si elles sont combinées avec d’autres données permettent d’être rattachée à une personne physique identifiée (par exemple si il est possible via le numéro de téléphone de retrouver la personne à qui ce numéro est attribué via un annuaire).

Par traitement de données à caractère personnel, il faut comprendre toute opération ou tout ensemble d’opérations (comme l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction) appliquées à des données ou des ensembles de données à caractère personnel.

Au niveau de l’union européenne, le RGPD (Règlement Européen sur la Protection des Données à caractère personnel) qui est entré en vigueur le 25 mai 2018 est directement applicable aux traitements de données à caractère personnel effectués dans le cade des activités d’un établissement d’un responsable du traitement (entreprise/organisation ou personne qui décide de la finalité et des moyens principaux pour traiter des données à caractère personnel) ou d’un sous-traitant (organisation ou personne qui traite des données à caractère personnel sous les instructions d’un responsable du traitement) établi sur le territoire de l’Union, peu importe que les traitements de données à caractère personnel aient lieu ou non dans l’Union. 

Le RGPD comporte aussi une composante extra-territoriale car il s’applique aussi aux entreprises/organisations se situant en dehors de l’UE mais qui proposent des biens ou services (payants ou gratuits) à des personnes situées dans l’UE et/ou qui suivent le comportement de personnes physiques dans l’UE (par exemple : profilage, géolocalisation etc). Ces responsables du traitement doivent en nommer un représentant dans l’UE (il s’agit d’un point de contact – à ne pas confondre avec le DPO dont le rôle est beaucoup plus large).

Il est important de souligner que le RGPD est aussi souvent complété par des lois nationales (sur certains aspects pour lesquels les états membres ont une marge de manœuvre) ainsi que pas d’autres instruments européens sectoriels (par exemple la directive E-privacy, PSD2, le règlement sur l’IA). 

En cas de violation du RGPD une entreprise/organisation s’expose potentiellement (selon la gravité de la violation et en plus de subir potentiellement une atteinte à sa réputation/marque) à diverses sanctions et ou actions en justice comme par exemple (au niveau de l’UE) :

• Des amendes administratives peuvent être infligées par l’autorité nationale compétente en matière de protection des données (en Belgique, l’Autorité de protection des données). Ces amendes peuvent atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. D’autres sanctions peuvent également être imposées, telles que des astreintes, la limitation ou l’interdiction temporaire ou définitive de certains traitements de données.
• Lorsqu’une violation du droit à la protection des données cause un dommage matériel ou moral, la personne concernée peut intenter une action en justice devant les juridictions civiles compétentes, afin de faire cesser l’atteinte et ensuite éventuellement réclamer une indemnisation pour le préjudice subi, sur base contractuelle ou extracontractuelle.
• Des associations de consommateurs ou des organisations actives dans le domaine des droits fondamentaux peuvent, dans certains cas, introduire des actions collectives ou représenter des personnes concernées, conformément à la législation applicable.
• Par ailleurs, des actions judiciaires peuvent également être introduites par les concurrents d’une entreprise si ceux-ci estiment qu’un traitement illicite de données constitue une pratique commerciale déloyale ou contraire aux règles de la concurrence.
• Enfin, dans certains cas spécifiques, des violations graves du droit applicable à la protection des données peuvent donner lieu à des sanctions pénales, notamment en cas de circonstances aggravantes prévues par la loi.

Au-delà de la conformité

Le respect du RGPD et, plus largement, des règles applicables en matière de protection des données à caractère personnel ne se limite pas à la prévention des sanctions. Il constitue également un levier essentiel de confiance à l’égard des clients, des collaborateurs et des partenaires, ainsi qu’un facteur déterminant de préservation de la réputation de l’organisation, en particulier lorsque les données traitées sont sensibles ou exploitées à grande échelle. (Cette confiance est renforcée lorsque le responsable du traitement respecte les obligations du RGPD, notamment celles en matière de transparence, de sécurité et la mise en place effective des droits de personnes concernées comme le droit d’accès ou le transfert ou l’effacement de ses données).

Une approche structurée de la protection et de la gestion de ses données (y compris les données qui ne sont pas personnelles) permet en outre à une entreprise/organisation de mieux maîtriser les flux de données, de renforcer leur sécurité et leur qualité, et d’instaurer une gouvernance plus rigoureuse et plus efficace de l’information, tout en identifiant des usages à la fois conformes au cadre légal et porteurs de valeur.

Le principe de responsabilité du responsable du traitement (un  processus continu)

Là où, avant l’entrée en vigueur du RGPD, les obligations du responsable du traitement reposaient principalement sur des mécanismes déclaratifs ou de notification auprès des autorités, le règlement consacre aujourd’hui un principe de responsabilité selon lequel le responsable du traitement doit non seulement respecter les règles applicables, mais également être en mesure d’en démontrer la conformité à tout moment.

Ceci implique que la conformité n’est pas ou plus une opération ponctuelle mais implique la mise en place d’une organisation adaptée avec des procédures internes permettant de gérer l’évolution des traitements (nouveaux traitements), des risques (fuites de données), des technologies et des obligations légales et assurer une évaluation continue de l’efficacité des mesures mises en œuvre (programme de gestion de la protection des données).

Dans ce cadre, il est essentiel de désigner une personne en charge de ces questions et, lorsque la réglementation (critères dans le RGPD, explicités par des lignes directrices au niveau européen et national) l’exige, de nommer un délégué à la protection des données (qui peut assurer cette fonction en interne ou de manière externalisée).

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la mise en conformité générale de votre entreprise/organisation et/ou la création d’un programme de protection des données à caractère personnel.

MD-LEX vous conseille et défend dans le cadre d’une plainte ou un litige devant l’Autorité de Protection des données et propose également des services de DPO externalisé (ceci permet à une organisation/entreprise d’éviter tout conflit d’intérêt et de charge inutilement un de ses employés/collaborateurs).

Pour un premier entretien vous pouvez prendre contact via le formulaire de contact, par mail à info@md-lex.be.