Le RGPD : menace ou opportunité ? Episode 1

Maître Laurent Winkin, avocat au barreau de Liège

Le Règlement Général sur la Protection des Données (RGPD), à savoir le règlement européen 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, est désormais applicable depuis ce 25 mai.

Nombre d’entreprises (responsables du traitement et/ou sous-traitants au sens du RGPD) sont cependant loin d’être en conformité avec ce dernier.

Certaines ne sont même nulle part…

La présente brève contribution a pour seul objectif de les conscientiser sur la nécessité de mettre l’ouvrage sur le métier.

Il est en effet radicalement impossible d’espérer plus en quelques lignes.

Ces dernières dépassant en outre largement le format habituel des brèves de l’entreprise, elles seront distillées en trois «épisodes».

Le présent épisode concernera principalement les concepts-clés et les grands principes du RGPD.

 

1. CONTEXTE

L’objectif principal du RGPD est de protéger la vie privée de tout individu en tenant compte des innovations phénoménales de ces dernières années.

Le corollaire de cette première préoccupation est la nécessité pour les entreprises de toutes tailles de tout faire pour se mettre en conformité avec le RGPD à bref délai.

Cela leur permettra en outre de préserver et même de développer leur image sur le marché et d’installer une relation de confiance accrue avec leurs clients.

 

2. CONCEPTS-CLE

Le RGPD s’applique au traitement de données à caractère personnel effectué dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant dont l’établissement est situé sur le territoire de l’Union Européenne, que le traitement ait lieu ou non dans l’Union.

Il s’applique également au traitement des données à caractère personnel relatives à des personnes physiques concernées se trouvant sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées

1. à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes

ou

2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union Européenne.

La notion de traitement recouvre toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel.

A cet égard, outre les CRM et ERP classiques, on soulignera que la simple utilisation d’une boîte Outlook est constitutive de traitement au sens du RGPD.

La donnée à caractère personnel est quant à elle toute information se rapportant à une personne physique identifiée ou identifiable.

Est réputé être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

A titre d’exemples de données personnelles, on signalera les données d’identification classiques telles que nom, titre, adresse (privée ou professionnelle), adresses antérieures, numéros de téléphone, particularités financières, numéros de comptes bancaires, types d’assurances; les caractéristiques personnelles telles que âge, sexe, date de naissance, lieu de naissance, nationalité les données physiques telles que la taille et le poids les données concernant la santé telles qu’un dossier médical, un rapport médical, … des photos.

Sauf exception telle que le consentement de la personne concernée, il est important de souligner qu’une interdiction de principe pèse sur le traitement des données à caractère personnel dites sensibles, qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le responsable du traitement est quant à lui la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Toute entreprise quelle qu’elle soit sera toujours à un moment donné responsable du traitement des données personnelles de ses employés et des données personnelles de ses clients / fournisseurs personnes physiques identifiées ou identifiables.

Enfin, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

3. GrandS principeS

1. Licéité, loyauté, transparence

Avant tout traitement de données à caractère personnel, il est impératif de s’assurer que ce traitement peut se fonder sur l’une des six bases juridiques prévues par le RGPD, à savoir le consentement, l’exécution d’un contrat, une obligation légale, la sauvegarde d’intérêts vitaux, une mission d’intérêt public ou un intérêt légitime.

Le principe de loyauté et de transparence impose quant à lui que la personne concernée a le droit de connaître les tenants et aboutissants du traitement de ses données à caractère personnel. Le responsable du traitement est tenu de fournir ces informations de manière claire et compréhensible, sous une forme adaptée au public auquel il s’adresse.

2. Limitation des finalités

Le responsable du traitement doit déterminer dès le départ l’objectif pour lequel les données sont traitées. Tout traitement ultérieur doit être compatible avec cet objectif initial.

3. Minimisation des données

Le responsable du traitement ne peut pas traiter plus de données que ce qui est strictement nécessaire pour réaliser l’objectif qu’il poursuit.

4. Exactitude

Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

5. Limitation de la conservation

Les données ne peuvent être conservées que pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, ce qui implique que toute entreprise responsable du traitement est tenue d’effacer les données une fois les finalités accomplies.

Le RGPD ne fixe pas de délai particulier. Il incombe donc à chaque responsable de traitement de déterminer la durée de concertation pour chaque type de traitement de données à caractère personnel qu’il opère.

6. Intégrité et confidentialité des données

L’entreprise qui traite des données est tenue de mettre en place des mesures techniques et organisationnelles appropriées afin de prévenir l’accès non autorisé à celles-ci, ainsi que leur perte, leur destruction ou leur endommagement.

 

Suite au prochain épisode…