Une nouvelle année, et un nouveau sujet pour nos contributions dJtalks ! Une série de blogs dans lesquels nous vous en disons un peu plus sur le tristement célèbre GDPR. Car soyons réalistes : quelle partie de notre vie quotidienne n’est pas concernée d’une manière ou d’une autre par ce règlement sur la vie privée ? Et en même temps : nos connaissances vont-elles plus loin qu’une vague notion de « consentement » et de « droit de suppression » ? Quelque chose à garder à l’esprit. Nous nous construisons tranquillement.
Comment tout a commencé
Depuis le 25 mai 2018, le GDPR est applicable dans tous les États membres de l’Union européenne. Pour information : en français, il s’agit du règlement général sur la protection des données (RGPD), mais dans cette série de blogs, nous utiliserons toujours l’acronyme anglais GDPR.
Avant la création du GDPR, il existait déjà un cadre juridique autour de la protection des données, mais ces règles étaient trop dispersées et variaient d’un État membre à l’autre. Avec le GDPR, les mêmes règles doivent désormais être respectées par tous ceux qui, au sein de l’UE, traitent des données à caractère personnel.
Le GDPR a donc mis beaucoup de choses en mouvement. Tout à coup, les entreprises ont pris conscience qu’elles devaient faire tout leur possible le plus tôt possible pour être en règle avec toutes ces nouvelles obligations et règles que la GDPR établit. Bien sûr, ils avaient une bonne raison de le faire. Après tout, des amendes administratives allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel global leur pèsent.
On est toujours à la recherche de la bonne voie
Cependant, la première vague d’efforts a été plutôt formaliste. En partie à cause d’un manque de clarté dans l’interprétation, et renforcé par l’opportunisme tant à l’intérieur qu’à l’extérieur de l’entreprise, les documents politiques, les registres et les formulaires ont été ratissés en masse. Cependant, cela ne comptait pas sur les régulateurs qui, souvent de manière militante, sous l’impulsion d’un lobby bruyant de la vie privée, ont commencé à démolir le mur de papier et nous ont donné à tous un coup de pied dans la conscience de la vie privée.
Ainsi, bien que l’entrée en vigueur du GDPR ait maintenant plus de deux ans et demi de retard, il est clair qu’il y a une deuxième vague, et que nous sommes tous confrontés au défi de prendre réellement à cœur les attentes des individus en matière de protection de la vie privée, qu’elles soient encouragées par des groupes d’action et les condamnations sévères des régulateurs ou non.
À quoi s’attendre
Mais comment faire, appliquer correctement les principes de base du GDPR ? Comment adoptez-vous le respect de la vie privée dans vos actions quotidiennes ?
Ces principes de base ne sont certainement pas encore suffisamment connus. Afin d’éviter de marcher dans les sables mouvants, il est donc important d’expliquer d’abord les concepts clés et les principes les plus importants. Quand parle-t-on d’un responsable du traitement des données, et qu’est-ce qu’un sous-traitant ? Et que sont les données personnelles et les données sensibles ? Ce sont des concepts fondamentaux qui sont très déterminants pour ce que nous pouvons ou ne pouvons pas faire. Des principes tels que la détermination préalable de l’impact sur la vie privée et le traitement correct des droits de la personne concernée : cela implique bien plus qu’une simple documentation sur papier !
Après avoir tracé les lignes, dans la deuxième partie de la série de blogs, nous les colorierons à l’aide d’exemples pratiques : comment traiter une violation de données ? Et le marketing direct est-il encore possible ? Sans parler du fait que nous devrions envoyer des données en dehors de l’Europe pour cela, car cela pose problème, n’est-ce pas ? Mais pouvons-nous toujours utiliser des cookies sur notre site web, ou sont-ils quand même nécessaires ?
Vous venez avec nous ?
Avec cette série de blogs, lesJuristes souhaite conseiller votre organisation et l’aider à mieux comprendre la nature des données personnelles que vous traitez. Vous pouvez ensuite l’appliquer lorsque vous naviguez dans les complexités juridiques et réglementaires du GDPR.
Si vous avez besoin de solutions pratiques plus adaptées, vous pouvez toujours nous contacter à l’adresse hallo@dejuristen.be.
Rédigé par Larissa De Keyser, Trainee lesJuristes, et Kris Seyen, Partner lesJuristes