Partager l'article :

Quels sont les réels dangers en cas de non-conformité avec le RGPD ?

Après avoir lu la première partie de notre dossier “Faut-il se mettre en ordre avec le RGPD ?“, vous avez certainement conclu que la probabilité de contrôles spontanés de l’Administration était, dans l’immédiat, assez faible.

De ce fait, probablement êtes-vous en train de penser :

“Mais, si je ne suis pas prêt de voir débarquer des inspecteurs de l’APD dans mon entreprise, pourquoi devrais-je me préoccuper de cette nouvelle règlementation sur la protection des données personnelles ?

Et effectivement, la question peut sembler légitime. Cependant, nous nous devons d’insister sur le fait que vous êtes obligé de vous en préoccuper. Par ailleurs, nous vous invitons vivement à lancer sans tarder le mouvement de mise en conformité de votre entreprise par rapport au RGPD.

En réalité, après analyse approfondie de cette réglementation, le cabinet-conseil Retis a identifié 5 dangers nettement plus importants qu’un contrôle spontané des Autorités :
 

1. En cas de hacking (ou de perte de données)

Le RGPD prévoit une nouveauté importante : l’obligation de répertorier en interne tout incident et de déclarer dans les 72h, en Belgique à l’APD, tous ceux qui impliquent un risque pour les droits et libertés de personnes physiques (par exemple : listing de membres).

De plus, si le risque est élevé (par exemple : la perte d’une clé USB contenant un fichier avec les logins ou mots de passe des utilisateurs de votre site web), vous êtes obligé d’avertir ces personnes directement. Et si cela demande trop d’efforts ou que vous ne disposez plus des coordonnées pour joindre ces personnes, vous êtes tenus d’effectuer une communication publique (par exemple via un communiqué de presse).

Le temps où ces incidents étaient passés sous silence afin d’éviter un impact négatif sur la réputation de l’entreprise est à présent révolu.

À noter que la déclaration à l’Autorité n’engendre pas nécessairement une amende, sauf, bien sûr, si des mesures insuffisantes (proportionnellement aux conséquences potentielles) avaient été prises pour se protéger. Pour le vérifier, l’Autorité va vraisemblablement effectuer un contrôle…

Étant donné que la probabilité d’un incident est assez élevée : hacking du serveur web, cambriolage, vol d’ordinateur portable, perte d’un disque dur de backup, un ancien collaborateur qui fait fuiter discrètement une information sur une faille de sécurité… vous comprenez l’importance de l’application du RGPD.
 

2. En cas d’envoi d’e-mailings sans consentement

Au risque de vous surprendre, il faut savoir que la réglementation précédente prévoyait déjà l’obligation de recueillir préalablement le consentement des destinataires avant de les intégrer à des campagnes d’e-mailing.

Mais, au final, peu d’entreprises s’en préoccupaient vraiment. Même celles qui en étaient soucieuses n’avaient pas pris l’habitude de conserver systématiquement la preuve de ce consentement ainsi que la date de celui-ci. Or, la charge de la preuve incombe à l’expéditeur.

En plus, beaucoup d’entreprises changeaient la finalité du traitement des données : ainsi une adresse e-mail récoltée, par exemple, sur un stand de salon pour recevoir un devis, lors de l’organisation d’un concours ou lors d’une opération de mécénat, était rajoutée à la base de données e-mailing. Certains y ajoutaient même tous les listings « tombés du camion », tels que la liste des membres de la Chambre de commerce, les liste des contacts sur Linkedin…

Bien entendu, toutes ces pratiques ne sont pas autorisées. Il y a donc un danger si des destinataires continuent à recevoir des e-mailings pour lesquels ils n’ont pas explicitement marqué leur consentement éclairé et libre.

Dans le cadre du RGPD, il est important de bien comprendre la notion de consentement “éclairé et libre”. Par exemple, il n’est ainsi pas autorisé de proposer un cadeau ou un avantage en échange de l’accord à recevoir un e-mailing promotionnel.

Gardez en tête que certains destinataires (tels les clients déçus, les étudiants en droit, les journalistes et évidemment les concurrents ou les fans de leurs marques) seront probablement plus enclins à porter plainte suite à la réception d’un e-mail non désiré.
 

3. En cas de non suivi d’une demande de consultation de données

Pour faire court, vous devez savoir que le responsable du traitement de données doit donner une suite dans les 30 jours à une demande de consultation / rectification des données personnelles récoltées.

Par ailleurs, 2 nouveaux droits ont également été ajoutés par le GDPR :

  • Le droit à l’oubli (ou au retrait, à la carte, des consentements accordés par le passé)
  • Le droit à la portabilité (possibilité de récupérer ses données dans un format structuré facilement importable électroniquement chez un service concurrent)

Dans les faits, votre principal problème est de ne pas être en mesure de respecter ces obligations ou de devoir reconnaître que des données inappropriées avaient été stockées. Par exemple : que les prénoms des enfants des clients avaient été encodés dans le CRM pour que le commercial s’en souvienne lors des visites afin de demander de leurs nouvelles.
 

4. Attention aux données des (anciens) collaborateurs

Plus que des clients et prospects, le danger le plus important risque probablement de venir d’anciens collaborateurs qui auraient été remerciés, et qui demanderaient à recevoir la totalité de leur dossier personnel (ce qui comprend notamment les commentaires liés aux évaluations).

Les informations reçues pourraient être du pain béni pour un délégué syndical ou un avocat. Or des pratiques inappropriées apparaissent fréquemment dans les entreprises, telles que, par exemple, le fait de conserver plus longtemps que nécessaires une donnée sensible comme les certificats médicaux de justificatif d’absence. Les conséquences seraient encore pire si ceux-ci sont annotés de commentaires du style : « encore malade un lundi alors qu’on a vu une photo de lui sur sa page Facebook faire la fête le samedi soir ».
 

5. En cas de formulaires en ligne non conformes

Le site web est souvent le sommet émergé de l’iceberg en matière de mise en conformité au RGPD. Grâce à lui, un internaute peut porter plainte et une autorité peut aisément faire un contrôle à distance.

Ainsi, nous pouvons identifier 3 principales sources de problèmes :

  • Les formulaires : qu’ils servent à la création de compte ou à l’inscription à la newsletter, ceux-ci doivent obligatoirement comporter une information claire sur les finalités de la récolte des données en répondant aux grandes questions “Qui ?”, “Où ?” et “Pendant combien de temps ces données sont traitées ?”
  • La charte vie privée : pour être en ordre vis-à-vis du règlement, un lien pointant vers la charte doit apparaitre à chaque fois qu’une page récolte des données personnelles. Et ce n’est pas tout, dorénavant le RGPD impose un effort pédagogique pour que l’internaute comprenne bien les tenants et aboutissants liés à la récolte de données personnelles. De plus l’acceptation de cette charte doit obligatoirement être distincte de celle de conditions générales de vente. Des cases à cocher séparées doivent donc être prévues.
  • Les cookies : le consentement doit être recueilli pour les cookies de tracking qui stockent l’adresse IP (ex : Google Analytics en mode standard) ou de retargeting. Il est interdit d’empêcher l’accès à un site dans le cas où ce consentement n’est pas accordé. Enfin, ce consentement ne peut être accordé pour tout usage et sans limite de temps.

Plus de 9 sites internet sur 10 ne sont pas encore conformes en Belgique. En plus, de nombreuses agences web ne sont pas encore bien informées par rapport à cette réglementation. Cela a pour conséquence directe qu’elles délivrent de nouveaux sites non conformes, car souvent paramétrés par défaut suivant les règles en vigueur aux Etats-Unis.

Ces 4 menaces ne sont généralement pas celles auxquelles une entreprise pense spontanément lorsqu’il s’agit du Règlement Général sur la Protection des Données. Toutefois, elles constituent des risques suffisants pour ne pas attendre un contrôle spontané de l’Autorité, ou une action en justice (d’un concurrent, d’une association de consommateur…).
 

3e partie du dossier : Comment être en ordre par rapport au RGPD ?

 

Vous souhaitez y voir encore plus clair ?

Nous vous recommandons de suivre nos formations pratiques, en groupe de 8 personnes maximum, organisées régulièrement à Bruxelles et à Liège

Partager l'article :