2017
25 mai 2017 : Plus qu'un an avant l'application effective du Règlement général sur la protection des données (RGPD) - L'Autorité : "Montrer les dents, sans mordre pour autant !"
Le Règlement général sur la protection des données, également connu sous l'abréviation GDPR, est entré en vigueur le 24 mai 2016, mais son application effective est prévue le 25 mai 2018 : dans un an donc.
Les organisations et entreprises doivent mettre ce temps restant à profit pour préparer l'application de ce nouveau règlement en matière de vie privée. Il reste encore de nombreux points d'interrogation au sujet de ce règlement imminent, ce qui engendre frustration et inquiétude dans les milieux professionnels et associatifs. Car la nouvelle compétence de l'Autorité d'infliger des amendes sera alors une réalité. L'Autorité est consciente de ces préoccupations et elle envoie un message rassurant : "les amendes ne seront destinées qu'aux mauvais élèves de la classe".
Bonne volonté
Au cours de l'année écoulée, l'Autorité a déjà répondu à plus de 250 demandes de précisions et d'explications au sujet du nouveau règlement en matière de vie privée. Et ce n'est pas près de s'arrêter. Dans tous les secteurs, on est de plus en plus conscient du fait qu'à l'ère du numérique, la protection des données doit être prise au sérieux. La l’Autorité de protection des données constate que chacun veut apporter sa pierre à l'édifice : de la petite PME à la grande multinationale. Tous viennent frapper à la porte du centre de connaissances pour demander comment mettre leur politique de protection des données en conformité avec la nouvelle réglementation. "Nous nous réjouissons de constater qu'il y a une telle volonté de faire de la protection des données une priorité. Cela s'inscrit parfaitement dans l'idée du principe de responsabilité tel qu'édicté par le règlement."
Car la protection des données n'est pas seulement l'affaire de quelques privilégiés. Tout le monde a des avantages à tirer de règles et de conventions claires. Et c'est précisément sur cette clarté que l'Autorité travaille sans relâche. Elle a publié sur son site Internet un bloc thématique ainsi qu'une page de FAQ pour expliquer le RGPD et répondre aux questions fréquemment posées. Elle a mis à disposition des entreprises et des organisations un plan par étapes afin de les guider dans les préparatifs à effectuer. Et le site Internet est régulièrement complété par des recommandations et lignes de conduite permettant de mieux comprendre certaines obligations et notions du RGPD. "Au cours de l'année précédente, nous sommes allés donner plus de 180 séances d'information sur le RGPD à tous ceux qui le souhaitaient. Et en retour, nous avons pris connaissance des préoccupations des secteurs concernés."
Mauvais élèves
Les responsables du traitement ne doivent dès lors pas redouter d'emblée les lourdes sanctions ou les amendes record. L'Autorité veut dans un premier temps faire de la sensibilisation et conclure des conventions claires avec les secteurs. Ensuite, la pratique apportera plus de clarté à partir de mai 2018. Pour l'Autorité également, la manière dont il convient d'interpréter et de mettre en œuvre certaines obligations du RGPD est encore assez obscure. "Nous avons jusqu'à présent toujours privilégié la voie de la médiation, ce qui s'est révélé très efficace. Nous entendons poursuivre cette méthode en premier lieu. Ce n'est que si un responsable du traitement fait la sourde oreille et refuse formellement de se mettre en règle que nous recourrons aux amendes."
À cette fin, l'Autorité demande toutefois au législateur de lui conférer une véritable compétence d'inspection et de contrôle. Cette demande est formulée dans son avis d'initiative relatif au projet de loi réformant L'Autorité de protection des données. "En cas de nécessité, nous voulons pouvoir exercer pleinement notre mission d'inspection pour promouvoir le respect du RGPD sur le terrain. Mais nous tenons à souligner que les amendes seront uniquement destinées aux mauvais élèves de la classe. Nous montrerons alors les dents, mais sans mordre pour autant !".
Directives supplémentaires
Des directives seront encore publiées dans les mois qui viennent au sujet notamment du registre des traitements de données, de la certification, du profilage, du consentement, de la transparence, de l'obligation de notification en cas de fuite de données et du transfert international de données. Ces directives résultent d'une concertation conjointe avec tous les contrôleurs européens au sein de l'organe consultatif européen, le Groupe de protection des données Article 29. Cette coopération prend du temps mais il faut veiller avant tout à ce que le RGPD soit appliqué partout de la même manière.
Les entreprises et organisations sont donc invitées à suivre de près le site Internet de l'Autorité.
Vous pouvez désormais également nous suivre sur Twitter. Suivez-nous via @CBPL_CPVP.