Protection des données à caractère personnel & PME: Comment appliquer le RGPD en 9 étapes concrètes ?

Par Alexiane Wyns

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) protège les informations privées des citoyens. Ce manuel vise à éclairer et guider les organisations dans la compréhension et l'application de ce règlement.

RGPD, 4 lettres qui changent le quotidien des entreprises et des associations. Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données protège les informations privées des citoyens. Cette protection entraîne une nouvelle façon d’organiser la collecte, le stockage et la cession de données. Toutes les organisations sont concernées tant le champ d’application est vaste. Sont visés, à titre d’exemple, les coordonnées des clients, l’envoi d’une lettre d’information en passant par le registre du personnel. Les objectifs de ce livre sont de vous guider, en 9 étapes concrètes, vers une mise en conformité complète et d’acquérir de nouveaux réflexes pour tout ce qui relève des données personnelles. Il en va du développement et de la survie de votre organisation.

Un guide complet pour aller facilement, en neuf étapes concrètes, vers une mise en conformité et acquérir de nouveaux réflexes afin de protéger au mieux les données à caractère personnel.

EXTRAIT

Un véritable effort de vulgarisation et de mise en contexte a été fourni afin de proposer au lecteur un contenu compréhensible. De nombreux exemples sont donnés dans l’ouvrage afin d’illustrer les concepts expliqués. Ce ne sont cependant pas des cas issus de la jurisprudence des cours et tribunaux.
Cet ouvrage s’insère dans la continuité du travail de vulgarisation que je propose au quotidien sur ma chaîne YouTube consacrée au droit belge de l’entreprise. Le nouveau règlement européen de protection des données à caractère personnel est devenu une thématique incontournable pour toutes les entreprises. En effet, à l’heure actuelle, l’immense majorité des entreprises collecte des données à caractère personnel. Dès qu’une entreprise située sur le territoire de l’Union européenne, a un employé ou un client particulier, elle devra se poser la question de son éventuelle obligation de se conformer à ce Règlement.
L’idée est donc de vous faire acquérir de nouveaux réflexes face à cette matière, puisqu’il s’agit principalement d’opérer un changement de mentalité et d’adopter une approche nouvelle face aux données collectées par les entreprises.
Le RGPD n’est pas une réglementation à laquelle le lecteur est amené à s’intéresser uniquement maintenant qu’il faut s’y préparer. Ce règlement va sans doute avoir un impact considérable sur le long terme et cela va donc nécessiter un effort constant de la part des entités collectant et traitant des données. Il ne suffira pas de se mettre en conformité en vue de l’entrée en application du 25 mai 2018 lors d’une opération « one shot ». C’est, au contraire, toute une série de nouveaux réflexes qu’il va falloir acquérir et appliquer au quotidien pour tout ce qui relève de la collecte et du traitement de données à caractère personnel.

• Langue: Français
• Éditeur: EdiPro
• Date de sortie: 25 avr. 2019
• ISBN: 9782512010364

Aperçu du livre

D/2018/8406/13

Chapitre 1 :

Introduction

Chère lectrice, Cher lecteur,

Si vous tenez ce livre entre les mains et que vous lisez ces lignes, c’est que vous avez compris l’importance de s’intéresser au nouveau règlement européen sur la protection des données à caractère personnel (RGPD ou en anglais GDPR). Je vous félicite de cette démarche puisque nombreuses sont encore actuellement les entreprises qui ne se sentent pas concernées par ce règlement européen, alors qu’en réalité il s’agit d’un règlement quasiment incontournable pour toutes les entreprises, les autorités et les organisations de tous types. L’étendue des mesures à implanter sera différente pour les uns et les autres mais le Règlement ne peut être écarté purement et simplement de votre quotidien.

1.1. Un contenu juridique,

une approche pratique

Lorsque la maison d’édition Edipro m’a contactée pour la rédaction de cet ouvrage, l’intention était avant tout de pouvoir proposer au lecteur un livre qui soit un outil pratique à destination des entreprises et des personnes responsables du traitement des données, et qui ne décourage pas les non-juristes. Je remercie la maison d’édition pour sa confiance et le défi de rendre cette matière complexe accessible au plus grand nombre d’entre vous.

Edipro m’a contactée après avoir découvert mes vidéos YouTube¹ de vulgarisation juridique consacrée au droit belge de l’entreprise au sens large. Comprendre le droit me semble d’une importance capitale lorsque l’on gère une entreprise, surtout actuellement dans un monde de plus en plus régulé et qui évolue plus rapidement de jours en jours. C’est ce que je partage sur YouTube en tentant de vulgariser le droit et en essayant de faire en sorte que les personnes qui regardent les vidéos, qui lisent les articles, qui lisent maintenant ce livre puissent s’approprier les concepts et puissent se familiariser avec des notions vraiment incontournables, qu’elles aient ensuite la possibilité de les intégrer dans la vie économique de leur entreprise pour tenter d’éviter de courir des risques inutiles et éviter de subir les conséquences – parfois dramatiques – d’un manque d’information ou de pratiques contraires à la loi. Je m’inscris profondément dans une démarche préventive, où le droit est un outil au service de l’entreprise et non l’inverse.

C’est donc avec grand plaisir que j’ai accepté la proposition d’Edipro de rédiger ce livre et de partager ce savoir avec vous. J’espère avoir été à la hauteur du défi lancé de vous proposer un ouvrage pratique. D’expérience, beaucoup d’entrepreneurs et d’indépendants se sentent peu outillés et accompagnés au quotidien par rapport à ce nouveau règlement. S’atteler à la mise en conformité peut donc vite sembler une tâche insurmontable à accomplir.

Avec ce livre, j’espère avant tout vous aider à dédramatiser la situation et vous guider étape par étape vers une bonne compréhension de cette nouvelle règlementation afin que vous puissiez acquérir de nouveaux réflexes par rapport à la collecte au traitement des données. L’entrée en vigueur du Règlement me fait penser à un enfant que l’on pousserait dans une piscine en lui disant « nage maintenant ». Cela fait évidemment peur et c’est impressionnant. Considérez ce livre comme votre bouée de sauvetage, utilisez-le au quotidien lorsque vous avez un doute ou développez un nouveau projet. Vous n’avez pas vraiment le choix que d’apprendre à nager dans cet univers économique numérisé et en pleine mutation. où la vie privée et les données à caractère personnel restent des valeurs fondamentales. Le Règlement vient les défendre en renforçant les mécanismes de protection de ces données et les responsabilités des acteurs économiques traitant ces données.

1.2. Les objectifs de cet ouvrage

Pour comprendre les objectifs poursuivis par cet ouvrage, il est plus facile de commencer par vous décrire ce que ce livre n’est pas. Ce n’est pas un ouvrage doctrinal destiné à des professionnels du droit, ce n’est pas non plus un syllabus destiné aux facultés de droit, ce n’est pas un recueil de jurisprudence, ce n’est pas une analyse exhaustive de la matière relative à la protection des données.

Ce livre a avant tout été écrit afin de répondre à une demande concrète : rendre la compréhension du Règlement accessible à des non-juristes et les guider afin d’appréhender la façon dont ce texte va se concrétiser dans la pratique. Un véritable effort de vulgarisation et de mise en contexte a été fourni afin de proposer au lecteur un contenu compréhensible. De nombreux exemples sont donnés dans l’ouvrage afin d’illustrer les concepts expliqués. Ce ne sont cependant pas des cas issus de la jurisprudence des cours et tribunaux.

Cet ouvrage s’insère dans la continuité du travail de vulgarisation que je propose au quotidien sur ma chaîne YouTube consacrée au droit belge de l’entreprise. Le nouveau règlement européen de protection des données à caractère personnel est devenu une thématique incontournable pour toutes les entreprises. En effet, à l’heure actuelle, l’immense majorité des entreprises collecte des données à caractère personnel. Dès qu’une entreprise située sur le territoire de l’Union européenne, a un employé ou un client particulier, elle devra se poser la question de son éventuelle obligation de se conformer à ce Règlement.

L’idée est donc de vous faire acquérir de nouveaux réflexes face à cette matière, puisqu’il s’agit principalement d’opérer un changement de mentalité et d’adopter une approche nouvelle face aux données collectées par les entreprises.

Le RGPD n’est pas une réglementation à laquelle le lecteur est amené à s’intéresser uniquement maintenant qu’il faut s’y préparer. Ce règlement va sans doute avoir un impact considérable sur le long terme et cela va donc nécessiter un effort constant de la part des entités collectant et traitant des données. Il ne suffira pas de se mettre en conformité en vue de l’entrée en application du 25 mai 2018 lors d’une opération « one shot ». C’est, au contraire, toute une série de nouveaux réflexes qu’il va falloir acquérir et appliquer au quotidien pour tout ce qui relève de la collecte et du traitement de données à caractère personnel.

L’objectif de cet ouvrage est donc de vous guider, pas à pas, vers l’acquisition de ces nouveaux réflexes et de ces nouveaux points de repère à implanter au sein de votre organisation.

1.3. Le contenu et ses limites

Ce manuel a été conçu en 9 étapes concrètes, de la plus générale à la plus spécifique. Nous allons commencer par des étapes simples pour aboutir en fin d’ouvrage à une mise en conformité la plus complète possible :

Etape 1 : Apprivoisez les enjeux du Règlement

Etape 2 : Recensez les données que vous collectez actuellement

Etape 3 : Anticipez pour éviter les sanctions

Etape 4 : Adaptez votre façon de collecter les données

Etape 5 : Apprenez à traiter les données conformément au Règlement

Etape 6 : Respectez les droits des personnes concernées

Etape 7 : Exécutez vos obligations

Etape 8 : Organisez vos relations contractuelles

Etape 9 : Implantez les nouveautés du Règlement

Après avoir replacé le Règlement dans son contexte économique et juridique, nous allons examiner la situation actuelle de votre organisation au regard de la collecte et du traitement des données à caractère personnel. Il est en effet essentiel d’avoir une vision à la fois globale et précise des activités de votre entreprise à ce jour avant de passer en revue ce qu’il y aurait lieu de faire afin de se conformer au Règlement. C’est une première étape incontournable.

Ensuite, nous verrons ensemble quelles sont les sanctions possibles en cas de non-respect du Règlement et de quelle manière ces sanctions seront mises en œuvre. Le but de cette partie est de vous faire prendre conscience des enjeux et des risques juridiques que peut représenter une violation du règlement.

Ayant pris conscience des enjeux et des risques, vous serez plus enclin à en apprendre davantage sur les mécanismes à mettre en place au sein de votre entreprise pour vous conformer au nouveau Règlement. L’on verra alors dans les chapitres qui suivent comment collecter et traiter les données à caractère personnel conformément aux dispositions du Règlement.

Dans les chapitres suivants, nous examinerons en quoi le Règlement renforce les droits octroyés aux personnes dont les données à caractère personnel sont collectées, et quelles sont les obligations qui en découlent pour les responsables du traitement. Nous mettrons également en évidence quelques relations contractuelles importantes qui devront être revues compte tenu de l’entrée en application du Règlement.

Enfin, nous terminerons par détailler les nouvelles pratiques que le Règlement impose dans la vie quotidienne des entreprises et organisations, à savoir la tenue d’un registre des activités de traitement, la nomination d’un délégué à la protection des données, etc. Ces pratiques ne s’imposent pas à tous les acteurs de la même manière et nous verrons ensemble dans quelle mersure cela vous concerne.

Ce livre est destiné en priorité aux entreprises et aux indépendants. L’angle adopté est donc celui d’une entreprise qui doit se mettre en conformité avec les dispositions du Règlement. L’application de ce Règlement aux autorités publiques et aux organismes publics n’est pas spécifiquement couverte dans le présent ouvrage. Nous n’avons pas non plus tenu compte du point de vue de la personne concernée dont les données sont collectées et traitées. Nous abordons la question des droits de ces personnes du point de vue des entreprises, responsables du traitement.

Enfin, il est également utile de préciser que le Règlement n’est qu’un texte parmi beaucoup d’autres dans la constellation juridique en matière de droit de la vie privée. Nous ne pouvons étendre notre analyse à d’autres textes normatifs, bien que ceux-ci ne puissent pas être écartés en pratique. A titre d’exemples, nous pensons notamment à la législation applicable en matière de vidéosurveillance, ou au respect du droit à l’image, etc.

1.4. Comment lire ce livre ?

Ce livre est conçu sous la forme d’un manuel pour vous aider à vous y retrouver dans cette réglementation et pour vous donner des clés de lecture au quotidien. Nous vous invitons à faire une première lecture complète de l’ouvrage et puis de revenir aux chapitres qui vous concernent directement. Un maximum d’outils pratiques ont été ajoutés afin de vous guider au quotidien.

Utilisez les listes récapitulatives et les nombreux exemples pour faire le parallèle avec vos activités.

Les termes définis par le Règlement sont mis en évidence au cours des différents chapitres. Les exemples sont également clairement identifiables. Ils sont toutefois hypothétiques et ne servent qu’à illustrer le propos. Ils ne sont pas à confondre avec des décisions jurisprudentielles.

Une liste des ressources utiles a également été ajoutée en fin d’ouvrage. Il s’agit de ressources disponibles gratuitement en ligne et publiées par les services publics officiels qui font des efforts considérables pour fournir un maximum d’outils pratiques aux entreprises. Je vous recommande vivement de les utiliser en complément à cet ouvrage.

Enfin, quelques précisions de vocabulaire vous seront utiles à la bonne compréhension de l’ouvrage. Lorsqu’il est fait référence au « Règlement », il s’agit du règlement européen sur la protection des données². Si un autre règlement est mentionné, le nom complet de cet autre règlement sera précisé dans le texte. Lorsque l’on évoque la « personne concernée », il s’agit de la personne dont les données à caractère personnel sont collectées. Ce terme sera plus précisément défini dans l’ouvrage mais voici déjà l’idée générale. Lorsque le terme « entreprise » est utilisé, il faut le comprendre au sens de la définition qui en est donnée dans le Règlement.

Définition du Règlement³ :

---

1 Chaîne YouTube « Alexiane Wyns – avocat » : https://www.youtube.com/channel/UCo0V-PX29fAUvM2lVeOjYcQ

2 Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), J.O.U.E., 4 mai 2016, ci-après en abrégé le « RGPD ».

3 Art. 4, al. 18 du RGPD.

Chapitre 2 :

Etape 1 : apprivoisez les

enjeux du Règlement

Le Règlement semble prendre un bon nombre d’acteurs économiques de court, forcés de se mettre en conformité dans une urgence plus ou moins relative. Toutefois, le Règlement n’est pas vraiment révolutionnaire en matière de protection des données. Il s’agit plutôt d’une mise à jour complète de la matière, déjà actuellement encadrée par des dispositions de droit européen et de droit national dans chaque Etat membre de l’Union européenne.

En Belgique, les acteurs concernés par le Règlement sont déjà actuellement censés se conformer à la loi belge de 1992⁴, notamment modifiée par la directive européenne de 1995⁵. Nous vous proposons un bref rappel des grands principes avant de vous expliquer en quoi ce régime est devenu imparfait face, notamment, au développement de l’économie numérique. Nous vous présenterons aussi un aperçu des nouveaux enjeux du Règlement, ainsi que les nouvelles opportunités qui émergent à l’aube de l’entrée en application de ce Règlement.

Pour commencer, nous évoquerons brièvement le lien entre la protection des données à caractère personnel et le droit fondamental qu’est la protection de la vie privée, non pas pour le plaisir de vous partager quelques considérations théoriques, mais