L’institution en charge du contrôle de la réglementation dite RGPD est la Commission de la Vie Privée, dans sa nouvelle configuration puisqu’elle est appelée à devenir l’Autorité de Protection des Données (APD) au 25 mai prochain. Un cas de figure fréquent, en fait… Même si ceci ne doit pas entraver la marche en avant de nos entreprises en matière de protection des données et de la vie privée, cela pose des questions quant à la pertinence de prendre des mesures non réfléchies.
L’entretien du Président de la Commission Vie Privée, Willem Debeuckelaere, avec Data News confirme les difficultés rencontrées par les autorités en vue de se préparer à la mise en application de la nouvelle législation européenne. « Nous ne sommes absolument pas prêts. En Europe, nous nous situons certes dans le peloton de tête dans la mesure où nous nous sommes préparés le mieux possible. Reste que nous affirmons qu’il est insensé d’introduire une telle modification fondamentale sur 2 ans. »
Il critique l’application des réglementations qui est confiée aux autorités locales. « L’objectif était de travailler par étapes, sachant que les autorités nationales devaient d’abord se restructurer avant d’analyser le texte du RGPD, une véritable brique. En fait, la Commission européenne s’est moquée de nous. En effet, elle devait d’abord nous aider dans des domaines comme la certification, alors qu’elle ne commencera en fait qu’en mai prochain. Nous disons que tout doit être prêt en 2 ans (2016-2018), alors que le premier soutien effectif n’arrivera qu’en mai de cette année. Surtout pour les petites entreprises et les indépendants qui se retrouvent bien démunis. Un programme devait être mis en place pour aider certains secteurs. Eh bien, fin janvier, nous pouvions introduire une proposition qui devait être examinée dans les semaines ou les mois suivants avant que des moyens financiers ne soient dégagés. Or il faudra attendre l’automne 2018. »
Le Président explique par ailleurs que la nouvelle autorité n’interviendra sans doute pas dans les entreprises: « Les dispositions qui existent seront contrôlées, mais sans procéder à des visites, pour regarder ce qui ne va pas. Si nous constatons que certaines organisations ne respectent pas la loi, nous devrons intervenir. Ceci étant, l’une des interprétations erronées les plus fréquentes est que toute entreprise doit désormais nommer un délégué à la protection des données (DPO). Certes, les choses ne sont pas vraiment claires. Dans les administrations publiques, c’est obligatoire. Un responsable du traitement doit être désigné. Mais nous estimons que c’est surtout nécessaire lorsque le traitement de données personnelles constitue le coeur de métier. Dans ce cas, un DPO est certainement requis. De même, la nature et la taille de l’organisation jouent un rôle. Un petit cabinet d’avocats ne doit pas nommer un DPO, à l’inverse d’une association professionnelle comme le barreau. Tout comme un cabinet de 60 avocats pourra peut-être avoir besoin d’un DPO. »
Malentendu autour de la notion de consentement.
« Il y a beaucoup de bruit autour de la notion de consentement. Il semble qu’une fois l’autorisation accordée, tout est permis. C’est une grave erreur ! Les articles 5 et 6 du RGPD concernent le traitement de données personnelles et le consentement. Si le consentement est obtenu, il doit toujours l’être aux conditions suivantes : le traitement des données doit être proportionnel et honnête, la transparence doit être de mise et les données doivent disparaître dès qu’elles ne sont plus nécessaires. Il est faux de croire que le consentement permet de faire tout et n’importe quoi. »
« Il y a une deuxième idée reçue : s’il existe une relation contractuelle, il est permis de traiter des données à caractère personnel. Si je prends un abonnement à une publication, vous avez évidemment besoin de mon adresse et de mes données de paiement, et ceci ne nécessite pas de consentement spécifique. D’un côté, on fait du consentement une sorte de passe-partout comme s’il fallait un consentement partout et pour tout. La situation est pourtant claire : le consentement est nécessaire pour pouvoir traiter des données personnelles, mais ce traitement doit être conforme à l’article 5 du RGPD. »
Evoquant les mesures prioritaires à prendre aujourd’hui, Willem Debeuckelaere insiste sur la constitution d’un registre adhoc: « L’entreprise doit procéder à un inventaire et établir un registre de fonctionnement. Toute entreprise devrait déjà l’avoir fait. Autrefois, certains domaines étaient certes exemptés, comme la gestion du personnel. Mais en principe, toute entreprise doit disposer d’un tel registre. C’est une question de responsabilité à assumer. Prenez l’analyse de risque : les processus que vous mettez en oeuvre impliquent-ils un risque ? Dans la pratique, il ne devrait pas y avoir de gros problème. En Belgique, on ne recense pas tellement de violations à la vie privée. Si cela arrive, c’est plutôt dans le chef de gros acteurs et c’est lié à l’utilisation de certains logiciels. »
Source : Data News