Data Protection : J-457 avant l’entrée en vigueur du Règlement !

Après l’inquiétude et les nombreuses questions qui ont jailli après l’approbation du Règlement général sur la protection des données (le GDPR) au printemps 2016, place à l’étude et à la mise en place de procédures adaptées aux nouvelles obligations pour les entreprises qui traitent des données personnelles. Pour rappel, l’application effective est attendue pour le 25 mai 2018.

Nathalie Ragheno, CENTRE DE COMPÉTENCE DROIT & ENTREPRISE
22 février 2017

Il reste donc 457 jours aux entreprises pour se mettre en conformité avec ce règlement complexe, long de 99 articles et assorti de sanctions lourdes en cas de manquement aux obligations qu’il prévoit. Si le texte du GDPR est définitif, certaines obligations et notions doivent encore en être précisées.

Pour apporter les précisions et les explications nécessaires, un groupe de travail européen, le Working Party 29, composé des représentants des différentes autorités de contrôle nationales, s’est attelé à cette tâche. Leurs travaux ont déjà abouti à la rédaction de trois guidelines, lignes directrices, qui ont fait l’objet d’une consultation publique en début d’année. Ces lignes directrices concernent le Data Protection Officer (DPO), l’autorité de contrôle compétente et la portabilité des données.

Il est, en effet, nécessaire, avant de nommer un DPO, de savoir quand il est obligatoire d’en désigner un, quelles sont les compétences requises pour être DPO et quelle est sa place au sein de l’entreprise. Il est également important, dans le cadre des traitements transfrontaliers – ce qui est souvent le cas pour des groupes d’entreprises installées dans plusieurs États –,  de savoir quelle autorité (Data Protection Authority) est compétente pour conseiller, contrôler ou sanctionner. Enfin, en ce qui concerne la portabilité des données, sujet totalement neuf dans le paysage de la protection des données, des explications s’avèrent indispensables. L’interprétation très extensive de ce nouveau droit dans les lignes directrices du WP29 n’a pas convaincu de nombreuses entreprises et secteurs d’entreprises. La FEB a dès lors réagi dans le cadre d’une consultation publique européenne, en soulignant qu’une telle définition de la portabilité des données entre entreprises risque de porter atteinte à la saine concurrence entre ces dernières et d’également entraîner des charges administratives disproportionnées.

D’autres articles du GDPR ainsi que certaines notions, telles que le traitement ‘à large échelle’ de données ou les traitements présentant ‘un risque élevé’, trop imprécises, doivent encore faire l’objet de lignes directrices dans le courant de cette année et ce, pour éviter notamment de laisser les entreprises dans une situation d’insécurité juridique.

En Belgique, la Commission de la protection de la vie privée, la Data Protection Authority belge, consulte, entre autres, sur le Data Protection Impact Assessment, cette analyse des risques que certaines entreprises ayant des traitements présentant un risque élevé pour les droits et libertés des personnes physiques devront réaliser a priori. La FEB a fait part à cette commission de ses remarques sur les difficultés liées à la mise en oeuvre des nouvelles obligations pour nombre d’entreprises issues de secteurs très différents.

FEB – La FEB rappelle aux entreprises que la mise en conformité par rapport aux obligations du GDPR est un travail de longue haleine, qui doit commencer dès aujourd’hui ! Tant que le WP29 n’a pas publié toutes ses lignes directrices, l’implémentation définitive et l’adaptation de toutes les procédures ne peuvent bien sûr être totalement finalisées. Mais il ne faut pas pour autant rester inactif. Vous pouvez déjà aller de l’avant en sensibilisant votre personnel à la protection des données et à ses enjeux, en inventoriant vos traitements ainsi que les données traitées et en analyant les mesures de sécurité déjà prises ou encore à prendre pour protéger ces données. Pour tout cela, il ne faut – certainement – pas attendre le 25 mai 2018 !


Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.

Newsletter FEB IMPACT

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.