General Data Protection Regulation : une (vraie) actualité ?, par

uba academy
General Data Protection Regulation :
une (vraie) actualité ?, par Agnès Maqua
et Nicolas Hamblenne (Koan Lorenz)
Big Data, tracking, targeting, profiling, géolocalisation… Autant de concepts de grande actualité avec une origine
commune : les données personnelles. La protection de celles-ci se verra sensiblement renforcée par l’adoption
prévue du nouveau règlement européen, le General Data Protection Regulation (GDPR), comme nous l'expliquent
Agnès Maqua et Nicolas Hamblenne, respectivement Partner et Associate du cabinet d'avocats Koan Lorenz.
Par ailleurs, certains Etats membres pourraient
suivre l’exemple des Pays-Bas et adopter des dispositions nationales anticipant l’application du GDPR.
Il n’est d’ailleurs pas exclu que la Belgique en fasse
de même sous l’impulsion de la Commission Vie
Privée.
Le champ d’application du GDPR est si large qu’un
nombre limité de questions suffit pour savoir si vous
êtes (réellement) concernés.
Êtes-vous un responsable de traitement ? C’est-àdire une personne physique ou morale qui détermine les finalités et les moyens du traitement de
données à caractère personnel.
… ou un sous-traitant ? C’est-à-dire une personne
physique ou morale qui traite des données à caractère personnel pour le compte du responsable du
traitement.
De manière générale, le GDPR accroît sensiblement la responsabilité des entreprises qui seront désormais soumises à des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaire global. Parmi les dispositions essentielles, figurent notamment l’exigence d’un délégué à la protection des données
personnelles pour certaines entreprises, la notification obligatoire de toute fuite
de données personnelles, l’obligation d’analyses d’impact, l’obtention plus stricte
du consentement des personnes concernées, etc.
Un accord politique est intervenu le 15 décembre dernier. Le texte de cet accord est
en cours de traduction dans les 24 langues officielles de l’Europe. Il sera ensuite
publié dans le Journal Officiel de l’Union Européenne. Le GDPR entrera en vigueur
20 jours après cette publication. Néanmoins, les entreprises bénéficieront d’une
période transitoire de deux ans leur laissant le temps de s’adapter aux nouvelles
exigences.
Est-ce à dire que vous pouvez faire abstraction de ces nouvelles dispositions relatives à la protection des données d’ici là ? Pas exactement.
Malgré l’applicabilité prévue pour mi-2018, il est essentiel d’anticiper les divers
changements annoncés. En effet, le respect des nouvelles dispositions passera
nécessairement par de nombreuses mesures à mettre en œuvre au sein de votre
entreprise.
I
I
I
6 2016 19 FÉVRIER 126
Effectuez-vous un traitement de données personnelles ? C’est-à-dire toute opération appliquée à des
informations concernant une personne physique
identifiée ou identifiable par référence à un ou plusieurs éléments spécifiques.
Dès lors que vous possédez la qualité de responsable de traitement ou de sous-traitant et que vous
traitez des données à caractères personnel, vous
êtes concernés par la réforme.
Concernés ! Que devez-vous faire dès aujourd’hui ?
Réalisez un audit des données à caractère personnel que vous traitez au sein de votre entreprise. A
l’appui de cet audit, identifiez la nature des données
récoltées, leur mode de traitement, leur durée de
rétention, les modalités et motifs de leur collecte…
Adaptez votre politique de protection des données
en conséquence. Adoptez une attitude responsable
et proactive au sein de votre entreprise au travers
de séances de sensibilisation et de formation de vos
équipes.
www.koanlorenz.com