Plus que 45 jours…

Le 25 mai prochain, le Règlement Général européen de Protection des Données à caractère personnel (RGPD) entrera en vigueur. Il a été publié il y a plus de deux ans et, malgré les annonces et l’avalanche de séminaires, conférences et forums sur le sujet, ce n’est qu’il y a six mois que la majorité des entreprises s’est réveillée. Peu seront prêtes !

En quoi cela vous concerne-t-il ?

En tout, car il s’agit de vos informations, de tout ce qui est collecté à gauche et à droite associé à votre nom : vos adresses, une photo, vos habitudes… Vous avez certainement entendu parler de ce détournement de données sur les comptes Facebook de dizaines de millions de gens par Cambridge Analytica, une entreprise britannique.

Avez-vous appris que c’est parce que 8 belges ont répondu à un questionnaire psychologique que, par leurs contacts et les contacts de leurs contacts, près de 70.000 comptes belges ont été ainsi ‘lessivés’ ?

Nous sommes fichés partout et nous ne faisons pas assez attention. Nous recevons pourtant de nombreux emails publicitaires que nous n’avons jamais demandés…

Que nous apporte ce RGPD ?

Pas beaucoup plus, en fait, que ce que précisaient les lois nationales qui seront maintenant harmonisées.

Vous avez le droit de savoir quelles données sont collectées à votre sujet. Si cette collecte ne sert pas

  • à la sauvegarde de vos intérêts vitaux (par un médecin par exemple)
  • pour exécuter les obligations légales ou les intérêts légitime de celui qui les collecte (par exemple votre employeur ou votre fournisseur de services)
  • parce que vos données sont manifestement publiques
  • ainsi que deux ou trois motivations bien claires et évidentes, comme le fonctionnement des institutions publiques,

vous avez le droit de vous opposer au traitement des données.

Si vous acceptez, ce devra être de façon volontaire et claire, après avoir été informé. Si vous ne signez pas cette Déclaration de Consentement, le traitement est illégal.

Ainsi, les clauses génériques et floues qui donnent, par simple ‘clic’ sur un bouton, une autorisation tacite de communiquer vos données à des tiers (partenaires, repreneurs ou successeurs, etc.) pour réaliser leurs objectifs qui ne sont pas exprimés, sont illégales.
Il ne faut donc pas les accepter ou vous ne devrez vous en prendre qu’à vous-mêmes…

Les réseaux sociaux et de nombreuses applications sur votre smartphone collectent, stockent et manipulent vos données personnelles sans vous le dire. Ils sont dans l’illégalité.

Le RGPD impose aussi de communiquer les coordonnées du Responsable du Traitement auquel vous pourrez vous adresser pour :

  • vous opposer au traitement de données que vous jugerez superflues
  • supprimer ou corriger ce qui est incorrect ou dépassé
  • de vous faire oublier.

Le Responsable du Traitement doit vous répondre dans un délai de un mois et vous prouver qu’il a répondu à votre demande.

Qui est concerné ?

… Toute entreprise, organisation ou groupement, quelles que soient sa taille et ses objectifs qui collecte des informations sur des personnes directement ou indirectement identifiables : l’école de vos enfants, les clubs sportifs, les magasins pour les cartes de fidélité, les commerçants auxquels vous vous adressez pour un service ou des biens quelconques.

Vous travaillez en entreprise et communiquez des données personnelles à des tiers pour qu’ils les traitent à votre place (un comptable, un secrétariat social, etc.) ? Ce sont des sous-traitants et vous êtes solidairement responsables de la protection des données. Il faut donc que le contrat qui vous lie vous donne l’assurance que le sous-traitant a pris toutes les mesures juridiques, organisationnelles et techniques pour protéger les données.

En tant que sous-traitant, ou indépendant, il vous revient d’appliquer les obligations du RGPD pour tous les traitements de données à caractère personnel : collecte, stockage, exploitation et échange. Les premières étapes sont la désignation du Responsable du Traitement,  l’établissement du Registre des Traitements (Article 30) et la sauvegarde des Déclarations de Consentement que vous aurez fait signer.

… Sans oublier que, selon leur ampleur, les incidents touchant les données doivent être signalés à l’autorité de contrôle dans les 72 heures.

Plus que 45 jours, serez-vous prêt ?

 

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *