gdpr

Article

Le GDPR s’impose en Belgique

Actualités, décembre 2018

La loi belge transposant le GDPR est entrée en vigueur le 5 septembre dernier (ci-après la ‘Loi’). Cette Loi comprend un certain nombre d’obligations et de garanties supplémentaires relativement au traitement des données à caractère personnel, venant renforcer le cadre règlementaire européen entré en vigueur quelques mois auparavant. En tant que dirigeant d’entreprise, cette Loi accroît le risque de voir votre responsabilité engagée, non seulement à l’égard de votre société, mais également vis-à-vis de votre responsabilité personnelle.

Sanctions pénales additionnelles

En plus de l’amende administrative que l’on connait sous le GDPR et qui s’élève entre 2 à 4 % du chiffre d’affaires annuel mondial, des sanctions pénales supplémentaires peuvent désormais également être infligées pour toute violation à la législation vie privée. Ces amendes oscillent ici entre 100 et 30.000 EUR. A cet égard, voici quelques exemples de violation à la législation vie privée:

  • transfert de données à caractère personnel dans un pays situé en dehors de l’Union Européenne sans s’être assuré que ce dernier disposait des garanties appropriées imposées par la Commission Européenne;
  • traitement des données à caractère personnelle à des fins de marketing direct sans consentement;
  • ignorer les droits des personnes concernées (que leur confère le GDPR)
  • forcer les personnes concernées à octroyer leur consentement;
  • le non-respect des mesures correctrices imposées par l’Autorité de Protection des Données (APD).

Une autre sanction supplémentaire consiste à publier le jugement suite à une violation de la Loi, dans un ou plusieurs journaux.

Responsabilité pénale personnelle

Une modification du Code pénal a permis de garantir que la société et les personnes physiques ayant commis les mêmes faits puissent être responsables pénalement côte à côte. Ainsi, une personne physique peut être condamnée au même titre que sa société, dans la mesure où tous les éléments de l’infraction sont réunis.

En vertu de la règle du décumul, les personnes physiques échappaient très souvent aux procédures pénales et les administrateurs pouvaient se retrancher derrière la personne morale. Cette possibilité est aujourd’hui abolie par l’amendement au Code pénal, qui entrera en vigueur dès le 30 juillet prochain.

Dès lors, avec l’entrée en vigueur de la Loi transposant le RGPD en Belgique, vous pouvez désormais encourir des sanctions pénales à titre personnel.

Quid du DPD?

Qu’en est-il de la responsabilité du Délégué à la Protection des Données (DPD)? Est-il également responsable des violations de la société vis-à-vis de la législation vie privée? La réponse est:
“En principe, non”
.

La responsabilité d’un DPD peut être assimilée à celle d’un employé ordinaire ou d’un indépendant. Cela dépend donc de son statut, à savoir s’il a été sollicité en qualité d’employé ou de prestataire de services indépendant.

Si ce dernier est employé, il peut être tenu responsable de dol, de sa faute lourde ou de sa faute légère habituelle. Si par contre il est indépendant, sa responsabilité pourra être modalisée contractuellement.

Publié le 12/12/2018
Mathilde Boucquiau, mboucquiau@deloitte.com

Did you find this useful?