Bien que le RGPD soit déjà entré en vigueur le 25 mai 2016, il ne sera applicable qu’à partir du vendredi 25 mai 2018. Concrètement, cela signifie que nous débuterons le week-end avec une nouvelle législation sur la protection des données, et que l’ancienne législation à ce sujet ne sera plus applicable.

Ca y est ! Après que le RGPD soit déjà entré en vigueur le 25 mai 2016 - et que vous ayez probablement reçu une surcharge d’informations à ce propos ces derniers temps - celui-ci sera enfin applicable ce jour, vendredi 25 mai 2018 ! En Belgique, il remplacera la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

1. Une législation belge spécifique ?

Le délai de deux ans entre l’entrée en vigueur et l’applicabilité effective du RGPD a, d’un part, été prévu pour donner la possibilité aux Etats membres d’adapter leur législation nationale.

Ainsi, il est notamment prévu dans le RGPD que les Etats membres pouvaient, par une loi ou une convention collective de travail, prévoir des modalités relatives au traitement des données à caractère personnel des travailleurs dans le cadre des relations de travail. Il peut plus précisément s’agir de règles dans le cadre du recrutement, de l’exécution du contrat de travail (en ce  compris le respect des obligations fixées par la loi ou des conventions collectives), de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection de la propriété de l’employeur ou du client, ou encore de règles en vue de l’exercice et de la jouissance des droits et avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail. Le RGPD prévoit également différentes « clauses ouvertes » en dehors du volet RH, qui peuvent être clarifiées, exécutées ou complétées par les Etats membres.

Tout comme la plupart des Etats européens, la Belgique aura encore, outre le RGPD, une loi belge distincte relative à la protection des données à caractère personnel des personnes physiques. A l’heure actuelle, il est néanmoins uniquement question d’un avant-projet de loi à ce sujet, et il n’y a donc pas encore de législation finalisée. La question est dès lors de savoir quand la législation définitive à ce sujet peut être attendue, mais l’on peut toutefois supposer que cette législation concernant le traitement de données à caractère personnel entrera rétroactivement en vigueur au 25 mai 2018.

2. Conséquences pour les responsables du traitement ?

Le délai de deux ans a, d’autre part, également été prévu afin de laisser la possibilité aux entreprises de mettre leurs activités de traitement en ordre et de les encadrer de manière adéquate pour le 25 mai 2018.

Toutes les activités de traitement devraient donc, au niveau du responsable du traitement, être conformes au RGPD pour aujourd’hui, même si elles étaient dans le passé conformes à la loi du 8 décembre 1992.

A cet égard, il convient de tenir compte du pouvoir de sanction étendu de l’Autorité de Protection des Données (le nouveau nom de la Commission Vie Privée à partir d’aujourd’hui), en ce compris la possibilité d’imposer des amendes administratives élevées - jusqu’à 20.000.000 EUR ou 4% du chiffre d’affaires mondial. L’Autorité de Protection des Données a toutefois déjà annoncé qu’elle ne recourrait pas directement à ces amendes astronomiques, mais qu’elle interviendrait en premier lieu plutôt pour conseiller et réguler, en imposant une régularisation, un avertissement ou une réprimande.

Plus particulièrement, les responsables du traitement doivent - notamment et sans être exhaustif - avoir concrètement mis en ordre ce qui suit :

• Pour chaque activité de traitement, il convient de déterminer la base juridique correcte. S’il est fait appel au consentement, celui-ci doit satisfaire aux conditions strictes du RGPD, à savoir être libre, éclairé, spécifique, univoque et rétractable.
   
• A partir d’aujourd’hui, la plupart des responsables de traitement et des sous-traitants doivent tenir un registre de toutes les activités de traitement qui ont lieu sous leur responsabilité. L’Autorité de Protection des Données pourra toujours demander ce registre en vue d’assurer le contrôle des activités de traitement. Pour ce faire, il convient d’avoir examiné quelles données à caractère personnel sont traitées par le responsable du traitement, d’où elles proviennent, avec qui ces données sont partagées, à quelle base juridique il est possible de faire appel pour le traitement, si les mesures de sécurité sont à jour, etc.
   
• Certains responsables de traitement devront avoir désigné un délégué à la protection des données.
   
• Les responsables de traitement devront avoir fourni aux personnes concernées les bonnes informations concernant le traitement de leurs données à caractère personnel, ainsi qu’avoir adapté leurs conventions avec leurs sous-traitants. Il est également possible que des polices existantes aient dû être adaptées, ou que de nouvelles polices aient dû être adoptées.

• Les confirmations qui avaient été octroyées par l’ancienne Commission Vie Privée concernant la transmission de données à caractère personnel à des pays tiers sans niveau de protection adéquat sur la base de garanties adéquates, telles que des dispositions contractuelles, restent en vigueur jusqu’à ce qu’elles soient éventuellement modifiées, remplacées ou retirées.
   

Et vous ? Êtes-vous prêt ?