Le RGPD souffle ses deux bougies

Ce 25 mai 2020, le RGPD fêtait – déjà – ses deux premières années. C’est donc le moment idéal pour faire le point sur ce que nous avons appris depuis son entrée en vigueur.

L’Autorité de Protection des Données – le calme avant la tempête

Ceux qui attendaient à une vague de sanctions dès l’entrée en vigueur du RGPD ont sans doute été déçus. Il a fallu un peu de patience avant que la (gestion de la) nouvelle Autorité de Protection des Données belge (« APD », ancienne « Commission vie privée ») ne se mette en marche. La Chambre contentieuse a rendu ses premières décisions dès janvier 2019.

Par conséquent, les entreprises et particulièrement les PME n’ont pas été directement convaincues de la nécessité de respecter la vie privée de leurs clients, collaborateurs, fournisseurs …

… mais depuis lors, les amendes vont crescendo

L’APD s’est réveillée et entend bien rattraper son retard. Elle a sanctionné des profils très variés notamment :

• deux bourgmestres et un candidat aux élections communales accusés d’avoir utilisé des données à caractère personnel à des fins inappropriées,
• un magasin d’alcool qui collectait trop de données à caractère personnel pour la création de ses cartes de fidélité,
• un site web pour une politique cookies ne respectant pas toutes les obligations légales,
• un organisme de soins infirmiers pour ne pas avoir respecté les droits des personnes concernées.

Parallèlement, rien que le mois dernier, l’APD est passée à la vitesse supérieure en infligeant trois amendes de 50.000 EUR respectivement à un fournisseur de télécommunication pour conflit d’intérêts relativement à la désignation de leur Délégué à la Protection des Données (« DPD » ou « DPO »), à une plateforme de réseaux sociaux pour l’application incorrecte des règles sur le consentement explicite, ainsi qu’à une compagnie d’assurance pour avoir justifié un traitement sur une base juridique incorrecte et le manque de transparence de sa politique de protection des données.

L’APD fait donc du respect de la protection des données à caractère personnel une priorité et personne n’est épargné.

En tant que PME, quels enseignements devez-vous en tirer ?

Nous synthétisons les éléments suivants :

• Soyez bon élève : gardez vos documents de conformité à jour (registre(s) de traitements de données, politiques de protection des données (tant interne qu’externe), convention de traitements de données, etc …) ;
• Faites du respect de la vie privée une valeur-clé de votre entreprise : la vie privée doit être une préoccupation majeure dans vos processus (commerciaux ou non) : quelles données peuvent être collectées, par quel biais, puis-je recontacter mes clients, à quelles conditions, …. Dans ce cadre, la sensibilisation de vos collaborateurs est une étape cruciale ;
• Conservez la confiance de vos clients : en respectant les règles relatives à la protection des données à caractère personnel, vous renforcez la confiance de vos clients. Vous pouvez manifester votre implication dans la protection de leurs données à caractère personnel notamment en communiquant de manière correcte et transparente (par exemple lorsqu’un client demande à exercer l’un de ses droits tel que se désabonner de votre Newsletter) ;
• Utilisez le respect de la vie privée comme atout commercial : tant dans un contexte B2B (par exemple face à des sociétés pour lesquelles le respect de la vie privée est une condition essentielle de collaboration) que dans un contexte B2C (notamment pour accroître la notoriété de la marque et la confiance des clients), démarquez-vous de vos concurrents grâce à votre gestion de ces questions.
• Politique de cybersécurité :
  • La sensibilisation de vos collaborateurs est, ici aussi, primordiale : à quoi mon collaborateur doit-il être vigilant (par exemple : mots de passe conformes, confidentialité, respect des accès, …) ; a-t-il conscience des mesures mises en place en cas de fuite de données (phishing, hacking, mauvais destinataire, …) ;  etc
  • Mesures techniques et organisationnelles : ces mesures sont importantes pour la confidentialité des données à caractère personnel de vos clients et collaborateurs, mais également pour la continuité de votre activité… Si vous ne mettez pas les mesures nécessaires en place, votre société se présentera comme une victime idéale pour le ransomware (logiciel de rançon prenant en otage des données à caractère personnel).

En conclusion, la protection des données à caractère personnel n’est pas que l’affaire des multinationales. Toutes les entreprises doivent s’y conformer, sous peine de lourdes sanctions. Saisissez cette opportunité : transformez cette contrainte en une force.

Vous avez des questions ? Vous ne savez pas par où commencer ? Nos experts RGPD sont disponibles pour vous guider. Contactez-les !