Protection des données à caractère personnel

Les données à caractère personnel sont toutes les données qui permettent d’identifier directement ou indirectement (en les combinant avec d’autres données ou informations) des personnes physiques vivantes.

Par traitement (définition valable pour les pays de l’UE), il faut comprendre tout accès, exploitation, manipulation ou conservation de données à caractère personnel qui sont destinées à figurer dans un fichier.

Au niveau de l’union européenne, le RGPD (Règlement Européen sur la Protection des Données à caractère personnel entré en vigueur le 25 mai 2018) impose aux entreprises/organisations qui se trouvent sur le territoire de l’UE mais également aux entreprises/organisations se situant en dehors de l’UE et qui offrent des biens ou services et/ou qui suivent le comportement de personnes physiques présentes sur le territoire de l’UE d’avoir identifié tous leurs traitements de données à caractère personnel  et de savoir démontrer que ces traitements respectent tous les principes et obligations du RGPD.

En plus du RGPD, les entreprises ou organisations qui y sont soumises doivent tenir compte de l’application potentielle d’autres textes réglementaires européens et nationaux concernant la protection des données à caractère personnel qui prévoient des obligations spécifiques en fonction notamment du secteur d’activité, des catégories de données à caractère personnel traitées et des traitements envisagés.

Enfin si une entreprise/organisation soumise au RGPD traite des données de personnes qui ne se situent pas sur le territoire de l’UE ou compte transférer des données vers un pays tiers il lui faudra également tenir compte des règles applicables dans des pays tiers et vérifier si il y a des divergences avec le RGPD au niveau des obligations applicables ou du niveau de protection.

En cas de violation du RGPD et/ou des autres réglementations applicables en matière de protection des données à caractère personnel, une entreprise/organisation s’expose potentiellement (en plus de subir une atteinte à sa réputation/marque) à diverses sanctions et ou actions en justice (*les sanctions et procédures évoquées ci-dessous concernent les entreprises/organisations qui sont soumises au RGPD ainsi qu’aux lois belges):

• Des amendes administratives (pouvant atteindre les 20 millions d’euros ou 4 pour cent du chiffre d’affaires annuel global de l’entreprise) et d’autres sanctions infligées par l’Autorité de protection des donnée nationale compétente suite à une réclamation d’une personne concernée ou sur base d’une inspection d’office ;
• Des actions judiciaires civiles intentées par des personnes concernées ou par une organisation sans but lucratif active dans le domaine de protection des données qui les représentent afin de faire cesser une violation et/ou de réclamer des dommages et intérêts  ;
• Des actions judiciaires initiées par des associations de protection des consommateurs (par exemple Test Achat qui estimeraient qu’une violation en matière de protection des données à caractère personnel serait également susceptible de porter atteinte aux intérêts des consommateurs ;
• Des actions judiciaires intentées par des concurrents (entreprises) qui estimeraient que certaines violations commise par une entreprise  constitueraient des pratiques commerciales déloyales ;
• Dans certains cas les violations des réglementations concernant la protection des données à caractère personnel peuvent également emporter des sanctions pénales (en présence de certaines circonstances aggravantes qui se superposent à la violation).

Afin d’éviter des sanctions/procédures ainsi qu’une une atteinte à sa réputation, il est donc nécessaire pour une entreprise/organisation soumise au RGPD (ou tout autre cadre légal régissant la protection des données à caractère personnel) de prendre les mesures nécessaires pour pouvoir identifier tous les traitements de données à caractère personnel qu’elle effectue et pouvoir démontrer qu’elle respecte les obligations légales qui lui sont applicables.

Il est également conseillé qu’une entreprise/organisation mette en place un programme de protection des données à caractère personnel qui tient compte de ses spécificités et qui repose sur un cadre adéquat afin de pouvoir faire face aux nouvelles situations et assurer de manière pérenne le traitement conforme des données à caractère personnel dont elle a la charge.

Le cabinet MD-LEX propose ses services dans ce domaine que ce soit pour l’analyse juridique de questions précises, la rédaction de contrats, une assistance concernant la mise en conformité et/ou la création d’un programme de protection des données à caractère personnel ainsi que la défense de vos droits dans le cadre d’un litige, d’une réclamation ou d’une investigation de l’autorité compétente. Le cabinet MD-LEX propose également des services de délégué à la protection des données.

(Pour un premier entretien vous pouvez prendre contact via le formulaire de contact sur la page “à propose et contact”, par mail à info@md-lex.be ou par téléphone au + 32 (0)2 891 48 77).