Partager l'article :

Suis-je concerné par le RGPD ?

Si vous vous posez encore cette question, la réponse est simple :
OUI, vous êtes très certainement concernés par le RGPD, et ce, même si vous êtes dirigeant(e) d’une PME.

Pour faire court, seuls les indépendants qui n’ont aucun membre du personnel, pas de site web et que des clients irréguliers (ou que des clients situés en dehors de l’Europe) peuvent y échapper. Ce qui veut dire que plus de 99 % des entreprises sont concernées.

Le Règlement Général européen sur la Protection des Données personnelles (RGPD, GDPR en anglais) est sans doute, parmi les réglementations européennes récentes, celle qui touche le plus largement les activités professionnelles. Même les activités associatives (mouvements de jeunesse, services-clubs…) sont touchées.
 

Qu’est-ce qu’une donnée à caractère personnel ?

Pour se mettre en conformité vis-à-vis du règlement, il est important de bien comprendre ce qu’est une donnée personnelle.
Est considéré comme une donnée personnelle toute information qui permet d’identifier directement ou indirectement (par recoupement) une personne physique.

Concrètement, le nom et prénom, l’adresse e-mail, l’adresse IP de connexion à Internet, les logins et mots de passe, un historique d’achat, une évaluation du personnel, un message vocal,… sont des exemples de données personnelles concernées par le RGPD.

Enfin, sachez qu’une attention toute particulière devra être accordée aux données personnelles dites “sensibles” : données médicales (ex : certificat médical), informations sur les orientations sexuelles / politiques / philosophiques, données biométriques, informations judiciaires…
 

Quels sont les traitements concernés par le RGPD ?

Les traitements réalisés par voie informatique sont bien entendu visés par cette nouvelle règlementation. Par exemple, lorsque vous récoltez des données personnelles auprès des internautes sur votre site web, auprès des visiteurs de votre entreprise ou encore auprès de votre personnel.

Ensuite, il faut savoir que le RGPD ne concerne pas uniquement les traitement par voie informatique. Ainsi un répertoire téléphonique sous format papier ou des fiches d’évaluation du personnel entrent également dans le champ d’application.
 

Qu’est-ce que je risque si je ne suis pas en ordre ?

Le GDPR prévoit un plafond d’amendes administratives particulièrement élevé : 20 millions d’Euros (et pour les très grandes structures, cela peut être étendu à 4% du chiffre d’affaires mondial), cela indépendamment de condamnations judiciaires éventuelles pour réparer un préjudice subi par un tiers. Les coûts liés à la violation de ces nouvelles règles de protection des données personnelles peuvent donc être potentiellement très élevés.

Beaucoup d’articles mettent en exergue ces montants et incitent à vous dépêcher à commander tels conseils juridiques et/ou telles solutions technologiques pour être le plus vite en ordre et, ainsi, éviter une telle amende.

Les pouvoirs publics ne vont évidemment pas démentir, puisque la réglementation prévoit bien ces amendes. Mais ne cédez pas à la panique. Celle-ci serait d’ailleurs mauvaise conseillère, en faisant croire à tort qu’en ouvrant votre portefeuille vous pourrez dormir sur vos deux oreilles.

En effet, ce n’est pas uniquement en changeant tel texte sur votre site web ou en investissant dans tel logiciel que vous pourrez considérer être en ordre et en être quitte (voir “Que faire pour être en ordre par rapport au GDPR ?“).
 

Les contrôles spontanés des Autorités ne sont pas le danger n°1 !

Encore une fois, rassurez-vous :
Il est fort peu probable que vous vous retrouviez demain avec un contrôle et une amende importante à la clé.

Pour preuve, citons les raisons suivantes :

  • Ce n’est pas dans un futur immédiat que les autorités administratives (en Belgique, l’APD, Autorité de Protection des Données) sortiront leur carnet pour infliger de telles amendes, surtout si vous dirigez une petite structure et que vous ne réalisez ni le traitement de données sensibles ni de “profiling” commercial à grande échelle.
  •  

  • C’est rarement évoqué, alors que cela pourrait éviter le climat de panique actuel dans les petites structures : le Règlement prévoit toute une série d’autres leviers à disposition des Autorités pour inciter au respect de la réglementation. En effet, celles-ci peuvent :
    1. D’abord adresser un avertissement
    2. Puis un rappel à l’ordre
    3. Ou encore, en cas d’urgence, une obligation de suspension d’un traitement de données litigieux

    Il faut très vraisemblablement s’attendre à ce que les autorités utilisent avant tout ces différents moyens, surtout dans les premiers mois, et n’appliquent pas directement des amendes si l’entreprise concernée montre de la bonne volonté à régulariser la situation.

    En France, la CNIL tient un discours s’inscrivant pleinement dans cet esprit positif d’aider les PME à progresser dans la mise en ordre, et annonce une approche « punitive » que pour ceux qui n’ont toujours rien entamé comme démarches de mise en ordre alors que la réglementation a été votée en avril 2016.

  •  

  • Les montants repris ci-dessus sont des maximums. Le Règlement prévoit que l’amende soit modulée en fonction du niveau de non-responsabilité et du niveau de (mauvaise) collaboration avec les Autorités. On ne peut imaginer celles-ci appliquer une amende disproportionnée, de nature à mettre en péril une société qui ferait pourtant preuve de bonne volonté.
  •  

  • Le législateur n’a pas prévu le budget pour qu’une armée d’inspecteurs contrôlent une à une les structures concernées (toutes les sociétés, une majorité d’indépendants, toutes les organismes publics, beaucoup d’ASBL et certaines associations de fait comme les mouvements de jeunesse). Rien qu’en Belgique, cela ferait plus de 500 000 contrôles à effectuer. Même en vitesse de croisière, cela semble bien peu faisable. Les recrutements de spécialistes sont en cours. Alors autant dire qu’en 2018, les contrôles pro-actifs seront rares.

 

2e partie du dossier : Que risque l’entreprise en cas de non conformité au RGPD (GDPR) ?

 

Vous souhaitez y voir encore plus clair concernant le RGPD ?

Nous vous recommandons de suivre nos formations pratiques, en groupe de 8 personnes maximum, organisées régulièrement à Bruxelles et à Liège

Partager l'article :