Les particuliers le découvrent mais dans les entreprises, on s’y prépare depuis des mois. Le Règlement général sur la protection des données (RGPD) entre en vigueur ce 25 mai 2018. Zoom sur cette nouvelle législation européenne qui concerne un demi-milliard de personnes. Et tous ceux qui les «suivent». Tour d’horizon.

C’est quoi l’idée?

Protéger les données personnelles des personnes physiques. Les pays européens avaient déjà des législations de protection des données à caractère personnel, uniformisées par une directive de 1995. Mais ces textes ne tenaient pas compte de l’évolution technologique, de l’essor des réseaux sociaux, des moteurs de recherche, des applications mobiles… Bref, il fallait actualiser et uniformiser la protection des données des particuliers. C’est le RGPD.

Qu’est-ce qu’une donnée à caractère personnel?

«Toute information se rapportant à une personne physique susceptible d’être identifiée, directement ou indirectement». C’est donc une notion très large qui peut recouvrir, un identifiant, un nom, une photo, une plaque d’immatriculation, une adresse postale, une adresse électronique, un numéro de téléphone, des données de localisation, etc.

Quelles règles, en pratique?

Le RGPD s’applique à chaque responsable du traitement de données, c’est-à-dire toute personne physique ou morale, autorité publique, tout service ou autre organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel.

De la transparence. Un langage clair et compréhensible doit être utilisé au moment d’informer le particulier de la manière dont ses données seront traitées. Pas question de jargon juridique en petits caractères !

SEUL. Le traitement doit être licite, les personnes doivent avoir consenti de manière Spécifique, Éclairée, Univoque et Libre (SEUL) au traitement de leurs données pour une finalité spécifique. Le consentement devra pouvoir être retiré aussi facilement qu’il a été donné.

Ces données ne peuvent être collectées que pour une finalité déterminée et strictement limitée aux données nécessaires au but recherché. Par exemple, si un consommateur s’enregistre sur le site d’une société de livraison à domicile, celle-ci peut réclamer une adresse mais pas la profession du client ou sa date de naissance.

Les données ne peuvent être conservées que pour une durée nécessaire au regard de la finalité poursuivie. Dans notre exemple, si l’entreprise arrête son activité de livraisons ou si la personne cesse d’être cliente, elle n’a plus de raison de conserver les adresses des personnes inscrites.

Les données doivent être exactes, sans quoi il faut mettre en œuvre toutes les mesures raisonnables pour les rectifier.

La sécurité des données doit être garantie.

Attention. Un nouveau droit est institué: la portabilité des données. Il permet de récupérer les données personnelles et de les transférer à un autre responsable du traitement, par exemple, un autre fournisseur de service.

Quid des enfants?

Le RGPD, c’est aussi une protection accrue des données personnelles des enfants. Le traitement des données d’un mineur de moins de 16 ans n’est possible qu’avec le consentement de la personne qui exerce l’autorité parentale sur celui-ci. Les responsables du traitement doivent fournir des efforts raisonnables pour vérifier l’âge de l’enfant.

Quelles sanctions?

Les entreprises, associations et autres doivent se mettre d’elles-mêmes en conformité avec le nouveau règlement. Faute de quoi de lourdes sanctions pourront s’appliquer: jusqu’à 20 millions d’euros d’amende, un montant qui pourra monter à 4% du chiffre d’affaires mondial pour les multinationales coupables d’un grave manquement.

Quel contrôle?

En Belgique, c’est l’Autorité de protection des données (APD) qui exercera le contrôle du bon respect du RGPD. Du moins, quand elle sera sur pied car, aux dernières nouvelles, cette instance qui doit remplacer la Commission de la protection de la vie privée (CPVP) ne sera pas prête à temps. Contrairement à la CPVP, qui n’a qu’une compétence d’avis, la future APD aura un pouvoir de sanction. À cette fin, elle sera dotée d’un service d’inspection et d’une chambre contentieuse, juridiction administrative habilitée à infliger des amendes.

Les entreprises et autres organisations doivent désigner un délégué à la protection des données. Cette personne sera l’interface entre le responsable de traitement des données, les personnes concernées et les autorités de contrôle.

Qui va payer?

Ces derniers mois, les entreprises ont travaillé d’arrache-pied pour se mettre en conformité avec le RGPD. Ce qui a évidemment un coût. Qui paiera l’addition? Dans la plupart des cas, ce coût sera répercuté sur la facture finale du consommateur…

« La mise en conformité au nouveau règlement pèsera en termes de ressources humaines, financières, d’organisation et d’informations sur les PME et les indépendants, en particulier pour les (très) petites entreprises. »