Données personnelles : risquez-vous une amende de 20 millions d’euro ?

Toute organisation (publique ou privée), même  petite, qui collecte des données concernant des personnes physiques identifiables – internautes, clients, employés ou collaborateurs – est concernée. Le point sur les mesures à mettre en œuvre.

Depuis le 15 décembre 2015, le contenu du règlement général européen sur la protection des données est finalisé. Ce règlement sera directement applicable dans les 28 pays de l’UE mais, compte tenu de l’étendue des modifications, le législateur a prévu une période de transition de deux ans avant son entrée en vigueur.

À quoi devez-vous faire attention?

Dorénavant, les organisations seront notamment tenues :

  • de nommer un délégué à la protection des données. Ceci s’applique au secteur public et aux entreprises qui, à grande échelle, effectuent des traitements exigeant un suivi régulier et systématique ou impliquant des données sensibles ;
  • d’élaborer un registre des activités de traitements qui établit quelles données personnelles sont collectées, pour quelles finalités et qui y a accès. Sont exclues de cette obligation les organisations de moins de 250 salariés, qui ne traitent des données personnelles que de manière occasionnelle, sans risque au regard des droits et libertés des personnes concernées et qui ne traitent pas de données sensibles ;
  • de mettre en place une politique vie privée afin d’assurer que, lors d’un traitement de données personnelles, la vie privée et la sécurité des données soient garanties dès le départ ;
  • d’établir un plan de réponse pour pouvoir réagir de manière appropriée en cas de perte de données personnelles ou d’utilisation non autorisée par des tiers. Attention : la Commission de la protection de la vie privée (CPVP) devra dorénavant être informée dans un délai de 72 heures en cas de violation de données ;
  • de déterminer, avant le recours à des technologies nouvelles, quels impacts des traitements de données à risque pourraient avoir sur la vie privée, et comment y remédier ;
  • de respecter les obligations légales en matière de contrats conclus avec des sous-traitants ;
  • d’informer les personnes concernées pleinement et correctement sur l’enregistrement de leurs données personnelles ;
  • d’accorder aux personnes concernées plus de contrôle sur leurs données personnelles au moment de la collecte et des droits renforcés par la suite.

 

Quels risques pour votre organisation?

Dorénavant, les personnes concernées peuvent se retourner à la fois contre le responsable du traitement et le sous-traitant, à qui incombe désormais la charge de la preuve.

De plus, la nouvelle législation confère à la CPVP un nouveau pouvoir : celui d’imposer une limitation temporaire ou définitive, voire une interdiction du traitement, ainsi que des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

Comment vous préparer?

Bien que la période de transition soit de deux ans, nous vous conseillons vivement de ne pas attendre pour vous préparer. Notamment en :

  • développant un plan d’action contenant les mesures nécessaires pour adapter votre organisation à la nouvelle législation ;
  • nommant, le cas échéant, un délégué à la protection des données (interne ou externe) ;
  • établissant un registre des activités de traitements de votre organisation ;
  • élaborant des contrats de sous-traitance et des moyens de sécurisation des transferts de données personnelles hors Espace Economique Européen adaptés à vos besoins ;
  • mettant sur pied votre politique interne en matière de protection des données personnelles, en conformité avec la nouvelle législation ;
  • concevant une notice vie privée à laquelle vous pouvez référer dans le cadre de votre présence sur Internet ;
  • adaptant aux nouvelles exigences légales la manière dont vous collectez des données personnelles,  que ce soit via des questionnaires, cookies ou entreprises externes.

Ces mesures nécessitent un certain temps de préparation. C’est pourquoi il est important de réagir dès à présent et de prendre les mesures nécessaires pour préparer votre organisation aux changements à venir et ainsi éviter des sanctions.

Envie d’en savoir plus ?

Rendez-vous chez BECI le 19 mai pour un workshop sur le sujet.

Un outil d’autoévaluation du niveau de conformité vous sera envoyé préalablement. À la suite du workshop, des consultations juridiques individuelles gratuites vous seront proposées en nos locaux. Découvrez le programme complet.

Nos experts vous guideront dans les plans d’actions à mettre en oeuvre et répondront à toutes vos questions.

 

Cet article vous est proposé par Sabine Mersch, du cabinet Legal Consulting & Management, le 03.05.2016.

Vous pouvez également contribuer au contenu de notre site et vous placer comme référence auprès de nos internautes. Faites-nous part de votre expertise, de vos idées fraîches et de votre vision. Nous publierons directement votre texte, s'il répond aux besoins des entreprises bruxelloises et qu'il nous est fourni en français et néerlandais.

Vous souhaitez partager votre expertise auprès de milliers d'entrepreneurs ?  Envoyez-nous votre proposition de contenu à newsletter@beci.be.