À compter du 25 mai 2018, le Règlement général sur la protection des données (RGPD) s'appliquera à toutes les entreprises qui traitent des données à caractère personnel. Les entreprises n'ont plus que quelques mois pour se préparer à cette nouvelle législation. Plusieurs autorités, telles que le groupe de travail « Article 29 » (G 29) et la Commission belge de la Protection de la Vie Privée (Commission vie privée), ont publié des orientations utiles dont un aperçu est fourni sous cette rubrique.
La transparence
Le principe de transparence est un principe fondamental de la protection des données dans la législation actuelle. L’importance de ce dernier est, une fois de plus, démontrée dans le RGPD (article 5.1.a) et les articles 12 et suivants du RGPD). La transparence fait référence à l'information que les entreprises doivent fournir aux individus sur ce qu'il advient de leurs données personnelles, mais également sur la façon dont ces informations sont fournies et sur les moyens dont disposent les personnes pour exercer leurs droits en ce qui concerne leurs données personnelles.
Pour en savoir plus, consultez le projet de lignes directrices du G 29 (ces documents ne sont actuellement disponibles qu'en anglais) : Lignes directrices sur la transparence prévue par le Règlement 2016/679
Le consentement
Le consentement d'une personne constitue l'une des six bases juridiques en vertu de laquelle une entreprise peut traiter les données personnelles de cette personne. L'autorisation n'est valable que si elle a été accordée librement et si elle est spécifique, éclairée et constitue une expression univoque de la volonté d'une personne (article 4.11), article 6.1.a) et de l'article 7 RGPD). Cela signifie, par exemple, que le consentement donnée à une entreprise ne peut pas être déduite de l'absence d'action ou du silence d'une personne (par exemple en ne décochant pas une case pré-cochée).
Pour en savoir plus, consultez le projet de lignes directrices du G 29 (ces documents ne sont actuellement disponibles qu'en anglais) : Lignes directrices sur le consentement prévu par le Règlement 2016/679
Droit à la portabilité des données
L'article 20 RGPD crée un nouveau droit à la portabilité des données. Il confère aux personnes concernées le droit de demander au responsable du traitement de recevoir une copie de leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine ou peut demander de les transmettre à un autre responsable du traitement.
Pour en savoir plus, consultez les lignes directrices du G 29: Lignes directrices relatives au droit à la portabilité des données
Décision individuelle automatisée et le profilage
Le RGPD introduit de nouvelles règles plus détaillées sur le profilage et la prise de décision automatisée (article 22 RGPD). Le profilage est une forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé ou ses préférences. Dans le cas de la prise de décision automatisée, les décisions sont prises sur la base du traitement de données à caractère personnel sans aucune intervention humaine, comme par exemple dans les demandes de crédit en ligne.
Pour en savoir plus, consultez le projet de lignes directrices du G 29 (ces documents ne sont actuellement disponibles qu'en anglais ): Lignes directrices sur les « décisions individuelles automatisées » et le « profilage »
Registre des activités de traitements
L'article 30 RGPD stipule que chaque responsable du traitement et chaque sous-traitant doit tenir un registre des activités de traitement. Ce registre contient des informations essentielles sur toute activité de traitement des données au sein de l'entreprise.
Pour en savoir plus, consultez la recommandation de la Commission vie privée: Recommandation relative au Registre des activités de traitements (article 30 RGPD)
Notification des fuites de données à caractère personnel
Le RGPD introduit l'obligation pour les responsables du traitement de notifier les violations de données à caractère personnel, par exemple en cas de fuites de données ou lorsque la sécurité des données personnelles n'est plus garantie. Cette notification doit être faite à l'autorité de contrôle compétente dans les 72 heures suivant la constatation de l'infraction par le responsable du traitement. Dans certains cas, une notification aux personnes concernées est également requise (articles 33-34 RGPD).
Pour en savoir plus, consultez le projet de lignes directrices du G 29 (ces documents ne sont actuellement disponibles qu'en anglais): Lignes directrices sur les fuites de données à caractère personnel
L'analyse d'impact relative à la protection des données
Dorénavant, les responsables du traitement devront effectuer une analyse d'impact sur la protection des données (AIPD) avant d'entreprendre de nouvelles activités de traitement à haut risque. Ces analyses constituent un outil important de responsabilisation, car elles aident à montrer qu'une entreprise a pris des mesures appropriées pour assurer la conformité au RGPD.
Pour en savoir plus, consultez:
- les lignes directrices du G 29: Lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d'engendrer un risque élevé» aux fins du règlement (UE) 2016/679
- le projet de recommandation de la Commission vie privée : Projet de recommandation d'initiative concernant l'analyse d'impact relative à la protection des données et la consultation préalable soumis à la consultation publique
Délégués à la protection des données
La désignation d'un délégué à la protection des données (DPD) devient obligatoire si une entreprise effectue des activités de traitement spécifiques (telles qu'un suivi régulier et systématique à grande échelle des personnes concernées ou un traitement à grande échelle de données sensibles) et est recommandée pour toute entreprise traitant des données personnelles. Le DPD joue un rôle essentiel dans tout système de gouvernance des données (articles 37-39 RGPD).
Pour en savoir plus, consultez:
- les lignes directrices du G 29: Lignes directrices concernant les Délégués à la protection des données (DPD)
- la recommandation de la Commission vie privée: Recommandation relative à la désignation d'un délégué à la protection des données conformément au Règlement général sur la protection des données (RGPD), en particulier l'admissibilité du cumul de cette fonction avec d'autres fonctions dont celle de conseiller en sécurité
Des règles d'entreprise contraignantes
Les données personnelles ne peuvent pas simplement être transférées en dehors de l'Espace économique européen (article 44 et suivants du RGPD). Des garanties supplémentaires sont nécessaires, par exemple sous la forme de la conclusion d'un contrat type de la Commission européenne entre l'exportateur de données et l'importateur de données. Les règles d'entreprise contraignantes qui créent un type de code de conduite sur la protection des données au sein du groupe d’entreprises constituent un autre moyen de légitimer les transferts de données en dehors de l'EEE. Le G 29 a publié divers documents de travail sur ce sujet, qu'il a récemment mis à jour. Pour en savoir plus, consultez les lignes directrices (ces documents ne sont actuellement disponibles qu'en anglais) du G 29 ici et ici
Autorité de contrôle chef de file
Le RGPD renforce la coopération transfrontalière entre les autorités de protection des données en introduisant un mécanisme de guichet unique avec une autorité de contrôle principale et les autorités de contrôle concernées. Les entreprises exerçant des traitements transfrontaliers dans plusieurs États membres doivent déterminer leur autorité de surveillance principale en fonction du pays de leur établissement principal (articles 51 et suivants du RGPD).
Pour en savoir plus, consultez les lignes directrices du G 29: Lignes directrices concernant la désignation d'une autorité de contrôle chef de file d'un responsable du traitement ou d'un sous-traitant
Amendes administratives
Les amendes administratives pour les violations sont sans aucun doute l'un des nouveaux éléments du RGPD le plus redouté par les entreprises. Les amendes peuvent atteindre 20.000.000 EUR ou 4% du chiffre d'affaires annuel mondial total d'une entreprise de l'exercice précédent (article 83 du RGPD). Dans des lignes directrices récentes, le G 29 a examiné la manière dont les autorités de contrôle devraient identifier la mesure corrective la plus appropriée en cas de violation afin de créer une approche commune entre toutes les autorités de contrôle européennes.
Pour en savoir plus, consultez les lignes directrices du G 29 (ces documents ne sont actuellement disponibles qu'en anglais): Les lignes directrices sur l'application et la détermination des amendes administratives
Traitement des données personnelles sur le lieu de travail
Le traitement des données dans le cadre des relations de travail étant un défi pour toutes les entreprises, et à cet égard, plusieurs lignes directrices du G 29 ont déjà été publiées. Le G 29 a récemment mis à jour ses lignes directrices précédentes sur le traitement des données personnelles sur le lieu de travail à la lumière du RGPD.
Pour en savoir plus, consultez l'avis du G 29 (ces documents ne sont actuellement disponibles qu'en anglais): Avis G 29 sur le traitement des données personnelles au travail
Lignes directrices en préparation
Dans les mois à venir, nous pouvons nous attendre à l'adoption d'autres lignes directrices. Dans un communiqué de presse récent, le G 29 a annoncé qu'il adoptera d'autres lignes directrices sur le consentement, la transparence, le transfert de données et la certification entre décembre 2017 et février 2018.