Le règlement général sur la protection des données, en abrégé le « RGPD », a été adopté par le Parlement européen et le Conseil du 27 avril 2016 et est applicable en Belgique (ainsi que partout dans l’Union européenne) à partir du 25 mai 2018. Le règlement s’applique à toutes les entreprises privées ou publiques de l’Union européenne proposant des biens et services sur le marché communautaire. Le RGPD a une double fonction: d’une part, le renforcement des droits des personnes et, d’autre part, l’auto-contrôle ou la responsabilisation des entreprises lors du traitement des données. Ce règlement est, dès lors, très vaste, et fait l’objet de diverses discussions tous les jours. Mais que couvre-t-il précisément ?

Que sont les données personnelles ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Cette identification se réalise par l’intermédiaire de son nom, son numéro d’identification, ses données de localisation, ou plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale. À titre d’information, le RGPD protège certaines données, considérées comme sensibles, de manière plus poussée.

Le consentement de la personne physique pour l’obtention des données est primordial. Cet accord peut être exprimé de différentes manières : il peut prendre la forme d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Il peut également se manifester par la décision de cocher une case lors de la consultation d’un site internet (dans le cas où des cases seraient cochées par défaut, il n’y a pas de consentement cependant). Les entreprises doivent clairement expliquer les raisons pour lesquelles elles utilisent ces données et chaque personne physique dispose toujours d’un droit d’accès, de rectification et de suppression de ses données.

Traitement des données personnelles

Le traitement vise toute opération de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation, de modification, de consultation, d’utilisation, ou de communication des informations d’une personne physique.

Concrètement, une personne peut directement transmettre ses informations, via la création d’un profil sur le site d’une entreprise ou au moyen d’un échange de courriels.  L’entreprise peut aussi elle-même récolter ces données de manière plus discrète via les cookies, le moteur de recherche, ou le navigateur internet de la personne physique.

La récolte des données peut avoir lieu lors de la passation d’un contrat de vente ou de prestation de services, en ligne ou en présentiel. Chaque entreprise doit elle-même mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la conformité de son traitement avec le cadre légal. Il s’agit du principe d’accountability. Ces mesures varient : il s’agit de la formation du personnel sur les aspects liés à la protection des données, la sécurisation de certains locaux où sont stockées des données, de la tenue d’une documentation interne qui reprend toutes les informations pertinentes sur les traitements que l’entreprise effectue…

Il convient de préciser qu’une entreprise peut transmettre la base de données de son personnel ou de sa clientèle à un autre entreprise localisée dans un état membre de l’Union européenne. Cela se justifie par le fait que la législation européenne est uniforme : les données personnelles bénéficient du même niveau de protection partout dans l’Union européenne.

L’aspect le plus apparent d’utilisation des données personnelles est sans doute la diffusion de publicités spécifiques. À l’aide des données personnelles et des études qui y sont associées, une entreprise peut également envisager de vendre sur un marché déterminé son nouveau produit. Mais même à l’égard d’entreprises qui n’envisagent pas ce type d’activités, la protection des données personnelles reste importante puisque dès qu’il y a échange avec une personne physique, la récolte des données est pour ainsi dire inévitable.  Il convient de faire preuve de prudence, car les entreprises doivent être en mesure de prouver qu’elles respectent et appliquent correctement le RGPD.