Article

Les nouvelles prescriptions en matière de respect de la vie privée – pour toutes les entreprises et pas seulement pour les bits & bytes

L'Actualité des PME

De nos jours, rares sont les PME qui mènent une politique active et volontaire en matière de respect de la vie privée. Pourtant, toute entreprise qui traite des données à caractère personnel doit se conformer aux règles en la matière. Et elles sont plus nombreuses que ce qu’on pourrait croire à première vue. Puisque le terme « données à caractère personnel » renvoie à toute information concernant une personne physique identifiée ou identifiable, pratiquement toutes les entreprises devront respecter les prescriptions en matière de respect de la vie privée.

Le respect de la vie privée n’est donc pas seulement important pour les organisations dont le core business est le traitement de données ou pour les entreprises qui se concentrent sur l’e-commerce. Il est aussi incontournable pour la PME sans boutique en ligne. Car les PME tiennent aussi des listes de clients ou se servent de cartes de fidélité pour recueillir les noms, adresses et adresses e-mail, les numéros de téléphone et même les préférences de leurs clients.

De nombreuses entreprises envoient des newsletters électroniques à tous leurs contacts, même ceux qui ne leur ont jamais donné l’autorisation de le faire. L’achat et la vente de données de contact à des fins de marketing est aujourd’hui une pratique courante. Les PME enregistrent également toutes sortes de données concernant leurs travailleurs ou installent des caméras dans leurs locaux de production ou leurs entrepôts. Les systèmes de suivi et traçage dans les véhicules de société, les badges électroniques et autres méthodes de comptabilisation du temps ont fait leur entrée dans bon nombre de PME. Le respect de la vie privée s’en trouve également compromis.

Les données à caractère personnel sont de surcroît devenues du big business. De plus en plus d’entreprises suivent les habitudes de navigation des internautes, enregistrent leurs historiques d’achat, associent ceux-ci à des données récoltées sur les réseaux sociaux, prédisent sur cette base le comportement d’achat de clients potentiels et vendent ces précieuses données à des fins de marketing.

Ces évolutions vont à l’encontre de la législation en vigueur sur le respect de la vie privée, laquelle date du 8 décembre 1992 en Belgique et n’a plus été adaptée depuis lors aux problématiques actuelles en matière de respect de la vie privée. Il était notamment compliqué de sanctionner les infractions : souvent, les choses n’allaient pas beaucoup plus loin qu’un simple étalage de ces violations dans les médias. Les possibilités de sanctions étaient trop limitées et les victimes d’infractions au respect de la vie privée n’étaient guère protégées.

Tout cela a poussé l’Europe à passer à l’action et à créer un nouveau cadre réglementaire. Le 15 décembre 2015, l’Union européenne est arrivée à un accord à propos du texte définitif du nouveau règlement sur le respect de la vie privée, qui remplacera toutes les lois nationales à ce sujet d’ici l’été 2018. A la lumière des changements à venir, la protection des données à caractère personnel et la gestion correcte de ces données sont devenues extrêmement importantes. Les entreprises ont intérêt à se préparer dès maintenant à respecter les nouvelles règles.

Les principes qui président à la collecte et au traitement des données à caractère personnel sont la proportionnalité, la légitimité et la transparence. Les entreprises ne peuvent pas réclamer plus de données que celles nécessaires au but pour lequel elles sont recueillies, ces données ne peuvent pas être conservées plus longtemps que nécessaire, les données à caractère personnel ne peuvent être utilisées qu’aux fins qui ont été indiquées au préalable à la personne concernée et même, dans certains cas, uniquement si la personne concernée y a consenti expressément.

La nouvelle réglementation crée des obligations supplémentaires sur le plan du traitement des données à caractère personnel. Un responsable du respect de la vie privée doit ainsi être désigné au sein de l’entreprise, et le personnel qui est en contact avec des données à caractère personnel doit être formé à la gestion de celles-ci et sensibilisé à la nécessité de la protection de la vie privée de chacun. Chaque individu bénéficie aussi du « droit d’être oublié », une décision que l’entreprise est tenue de respecter.

Un élément important ici est que chaque entreprise est elle-même responsable du respect des prescriptions en matière de vie privée. En cas de fuite de données par exemple, l’entreprise concernée est responsable, même si elle a confié le traitement des données à un tiers.

Toute entreprise qui traite des données à caractère personnel doit pouvoir démontrer, documents à l’appui, qu’elle fait les efforts nécessaires en vue de la protection de la vie privée et qu’elle met tout en œuvre pour que les données à caractère personnel soient recueillies, traitées et utilisées correctement.

Pour ce faire, il faut avant tout et surtout cartographier les flux de données au sein de l’entreprise : comment les données à caractère personnel parviennent-elles à l’entreprise, où sont-elles conservées, qui y a accès, entre qui sont-elles échangées et combien de temps sont-elles gardées ? Sur la base de cet aperçu, il faut vérifier l’usage qui est fait de toutes ces données : sont-elles utilisées uniquement pour l’exécution de commandes ou le sont-elles aussi par la suite, pour du marketing direct ? Les données sont-elles vendues à des tiers ? Et surtout, les prescriptions en matière de protection de la vie privée sont-elles bien respectées dans tout cela ?

Une fois que l’entreprise a une image précise des flux de données et des éventuels risques en matière de respect de la vie privée dans ce cadre, il est possible de définir une stratégie avec des points d’action clairs et un plan concret pour implémenter effectivement les actions préconisées.

En outre, les entreprises peuvent aussi documenter leurs efforts en matière de respect de la vie privée à travers l’élaboration de codes de conduite internes, la formation du personnel et l’indispensable sensibilisation au respect de la vie privée, l’implémentation d’une procédure en cas de fuite de données, l’information de la personne concernée à propos de l’usage qui est fait de ses données à caractère personnel par le biais d’une privacy policy, la conclusion de contrats de confidentialité avec les prestataires de services externes qui ont accès à ces données, etc.

Le grand changement, c’est que des sanctions sévères sont désormais prévues en cas de non-respect des prescriptions en matière de protection de la vie privée. Des amendes administratives peuvent ainsi être infligées, lesquelles peuvent s’élever à 4% du chiffre d’affaires annuel mondial de l’entreprise en question. Les possibilités d’action ont par ailleurs été considérablement étendues pour les victimes. L’impact d’une réputation ternie par des atteintes à la vie privée n’est pas non plus à négliger : mieux vaut les éviter.

Cette fois, c’est clair : les prescriptions en matière de respect de la vie privée ne resteront pas lettre morte. L’époque où les PME pouvaient pratiquement ignorer la réglementation à ce propos est définitivement révolue. Les entreprises, et donc aussi les PME, ont intérêt à savoir où elles se situent à ce propos et quelles démarches elles doivent encore entreprendre afin de se conformer aux prescriptions en la matière.

Elke Debeer – Legal Department

Publié le 31/05/2016

Nederlandstalige versie
Did you find this useful?