A l’occasion du 3e anniversaire du RGPD, nous revenons sur ces 3 années où nous avons accompagné plusieurs organismes dans la mise en conformité règlementaire.
On ne le dira plus, depuis le 25 mai 2018, les organismes doivent pouvoir garantir et prouver leur conformité en matière de protection des données personnelles.
Si les organismes le savent, beaucoup aiment à reporter le moment où ils se mettront en conformité ; pas le temps, pas le budget,… Le hic, et nous le constatons au quotidien, c’est que les droits des personnes, eux, sont bien connus et bien utilisés ! En effet, les 8 droits édictés sont au cœur même de la Réglementation. (https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/droits-des-citoyens)
Pour preuve, le nombre de notifications à l’Autorité de Protection ne cesse d’augmenter et les amendes s’en suivent également (parfois un simple avis ou réprimande). Après une période volontaire douce d’acclimatation, la volonté d’appliquer le Règlement s’est renforcée d’année en année depuis son entrée en vigueur. En 2018, on compte 19 amendes. 136 amendes en 2019 (et 937 notifications). Notons entre-autres ; (plus d’infos : https://www.timelex.eu/fr/blog/deux-ans-de-rgpd-un-apercu-de-lapplication-des-avertissements-et-des-amendes)
- Une PME a été condamnée à 15000€ d’amande pour ne pas avoir clôturé le compte mail d’un administrateur
- Amende administrative de 725000€ pour avoir utilisé les empreintes digitales afin de contrôler les heures de travail sans le consentement explicite et moyennant une base juridique incorrecte.
- 2000€ à un bourgmestre pour avoir violé le principe de limitation des finalités en répondant à une e-mail qui lui avait été envoyé pour fixer un rendez-vous avec la propagande électorale
Pour 2020, au- delà du cas Google (600000€), nous épinglerons ces 3 amendes de 50 000€ : Proximus (conflit d’intérêt impliquant son Data Protection Officer), DKV (informations peu claire aux personnes concernées sur la base légale et l’objectif du traitement) et Twoo.com (stockage d’information sans consentement). Au total 793 000€ d’amende en 2020 sur le territoire Belge.
La plupart des notifications qui arrivent à l’APD concernent
- non-respect des principes de base du traitement des données,
- un manque de transparence envers les personnes concernées,
- l’utilisation d’une base juridique erronée,
- absence de mesures de sécurité techniques et organisationnelles appropriées,
- l’absence de réponse, ou la réponse tardive, aux demandes des personnes concernées,
- le fait de ne pas signaler une fuite de données ou de ne pas la signaler à temps,
Nombre de structures pensent qu’adapter la charte vie privée et rédiger un semblant de registre fera l’affaire ! Il n’en est rien ! La matière n’est pas juste juridique, ou juste informatique… nous dirions qu’elle est holistique.
Chez E&V-Partners, nous constatons que la plupart des fuites de données sont d’origine humaine C’est précisément pour cette raison que nous entamons la mise en conformité chez nos clients d’une part par l’implémentation d’une charte de protection vie privée (pour toute personne concernée et intéressée) et d’autre part, par l’ensemble des matières RH. Nous épluchons le règlement de travail et annexes, les contrats et avenants. Et contrairement aux pratiques régulièrement rencontrées, il ne suffit pas de rajouter un paragraphe RGPD à votre règlement de travail pour le rendre conforme. Nous intégrons les zones de confidentialité, les secrets de fabrication, la classification des documents et des données, et les sanctions en cas de non-respect,… Toute sorte de précisions essentielles (et spécifiques) à notre client.
De cette manière nous nous assurons que chaque collaborateur est bien au fait de l’impact de chacune de ses actions, sur ce qu’il peut faire, dire, divulguer ou pas. Que ce soit au sein des bureaux, ou en télétravail (oui, nous avons aussi un accompagnement spécifique pour cela). Nous tenons également à organiser des sensibilisations internes afin de verbaliser et informer chacune des personnes intéressées, de manière pragmatique et vivante.
Ce point de départ RH / Charte permet d’encadrer la suite de la mise en conformité (avec les sous-traitants, les registres, les procédures obligatoires et tout le volet technique qui doit en découler)
Enfin, il est intéressant de savoir que l’APD a prévu de surveiller particulièrement (d’ici 2025) ;
- secteurs prioritaires : le gouvernement, télécommunications et médias, marketing direct, éducation et PME,
- les instruments prioritaires du RGPD tels que le rôle du Délégué à la Protection des Données, la légitimité du traitement et les droits des citoyens
- les questions de société telles que les photos et les appareils photo, la protection des données en ligne comme les cookies et les traqueurs, et les données sensibles comme les données de santé.
Nous voilà prévenus
