Toutes les entreprises savent désormais que les nouvelles règles européennes relatives à la vie privée seront applicables à partir du 25 mai 2018. Le Règlement Général sur la Protection des Données (RGPD ou GDPR pour « General Data Protection Regulation ») modifie entièrement les règles en matière de traitement des données personnelles. Au cours de ces deux dernières années, Eubelius a mis tout en œuvre pour préparer ses clients au RGPD.
De nombreuses entreprises sont encore en pleine préparation et ne seront pas (complètement) prêtes le 25 mai. L'Autorité belge de protection des données (auparavant : commission vie privée) a déjà affirmé que toutes les entreprises devront au moins disposer d'un plan clair d'ici cette date pour s'aligner sur les principes du RGPD et qu'elles devront poursuivre leurs efforts en ce sens par la suite. En effet, la protection des données personnelles demeurera un point d'attention permanent après le 25 mai.
Eubelius a identifié cinq obligations liées au RGPD, que toute entreprise devra avoir commencé à mettre en œuvre pour le 25 mai 2018:
1. Le registre des activités de traitement
Tout responsable du traitement ou sous-traitant doit consigner ses activités de traitement dans un registre. L'Autorité de protection des données est habilitée à réclamer ce registre à tout moment, c'est pourquoi il vaut mieux faire en sorte de disposer d'une ébauche de registre d'ici le 25 mai.
2. Le consentement
Le traitement des données personnelles repose sur différents fondements juridiques possibles, dont le consentement. Dans le cadre de certains traitements (par exemple le marketing direct), le consentement constituera souvent la seule base juridique possible. Le RGPD impose des conditions plus strictes à la remise du consentement. Désormais, celui-ci doit être donné de façon univoque, par exemple en demandant à l'intéressé de cocher une case ou d'effectuer une autre démarche active. Les consentements implicites appartiennent donc définitivement au passé. En outre, vous devez également être en mesure de prouver qu'une personne a donné son consentement. Celui-ci doit donc être bien documenté.
3. Privacy Policy
Le RGPD impose un devoir d'information renforcé chaque fois que votre entreprise traite les données personnelles de personnes physiques (par exemple lors de l'inscription de clients ou clients potentiels à des bulletins d'information, lors du traitement des données des collaborateurs, etc.). Remplir ce devoir passe idéalement par l'inclusion d'un privacy policy sur votre site web, l'établissement d'une politique applicable à vos collaborateurs, etc.
4. Les contrats passés avec les prestataires de services
Vous devez conclure un contrat portant obligatoirement sur un certain nombre de points avec les prestataires de services qui traitent des données personnelles dans le cadre de missions effectuées pour le compte de votre entreprise. Dresser la liste de ces prestataires de services et vérifier si tous les contrats comportent les clauses adéquates est une tâche considérable qui revêt beaucoup d'importance.
5. Le point de contact vie privée
Le RGPD a fait naître une nouvelle fonction, celle de délégué à la protection des données (« data protection officer »). La présence d'un tel fonctionnaire n'est pas obligatoire dans toutes les entreprises. Il est cependant recommandé d'établir un point de contact au sein de l'entreprise, auquel les questions/demandes relatives au traitement des données personnelles pourront être adressées à partir du 25 mai 2018.
Pour toute autre question ou demande de conseil concernant le RGPD, vous pouvez toujours contacter Pieter Callens et Anneleen Van de Meulebroucke.