Amendes dans le cadre du RGPD : le grand boum ?

Qu’en est-il en matière de RGPD en Belgique ?

Comme vous le savez probablement déjà, de lourdes amendes sont prévues dans les dispositions du RGPD. Ces amendes peuvent monter jusqu’à maximum 20 millions d’euros ou 4 p.c. du chiffre d’affaires réalisé au niveau mondial. La question est toutefois de savoir si ces amendes sont effectivement appliquées en ce moment. En Belgique, nous ne sommes provisoirement pas encore confrontés aux amendes, mais les choses peuvent naturellement changer. L’autorité de protection des données (APD) est en effet toujours en pleine réforme. Par ailleurs, la loi-cadre belge n’a été publiée au Moniteur belge que depuis peu, à savoir le 5 septembre. Il est donc parfaitement possible que le système d’amendes fasse encore l’objet d’un changement radical et que des amendes soient infligées ne fût-ce que pour servir d’exemples, ce que nous avons déjà pu constater dans nos pays voisins.

Situation actuelle dans nos pays voisins

Lorsque nous passons la frontière, nous voyons que la France n’y va pas avec le dos de la cuillère en matière d’amendes. Plusieurs entreprises se sont ainsi vu infliger des amendes salées l’été dernier. L’une de ces entreprises a reçu une amende de pas moins de 250.000 euros pour des problèmes de sécurité au niveau d’une boutique en ligne. Une autre organisation a été sanctionnée, parce qu’elle utilisait des données à caractère personnel à d’autres fins que celles qui étaient établies au départ. Par ailleurs, il ne s’agissait certainement pas toujours de grandes entreprises. Une ASBL française s’est également vu infliger une amende de 75.000 euros au mois de juin.

Chez nos voisins du Nord, on mettait en revanche principalement l’accent sur l’obligation de désigner un délégué à la protection des données (DPD). Les organisations publiques étant principalement visées. Mais le secteur médical n’a pas non plus été épargné. Depuis août 2018, les Pays-Bas ont entamé des contrôles par échantillonnage sur la présence du registre de traitement dans de nombreux secteurs. Pour ne citer que quelques exemples : l’industrie et la métallurgie, la construction, le commerce, l’horeca, le secteur des voyages, de la communication, des services financiers, des services d’affaires et des soins de santé. Selon nous, le document de traitement reste le document de base par excellence pour se mettre en règle en matière de RGPD.

Le Royaume-Uni et l’Allemagne ont, depuis longtemps déjà, une sérieuse réputation quant il s'agit d’appliquer rigoureusement les règlements. Il en va de même pour le RGPD. De nombreuses amendes y ont dès lors été infligées sans pardon. Il s’agit ici d’infractions telles que les piratages, qui n’ont pas été déclarés aux organismes de contrôle, la vente de données à des tiers, l’envoi de mails à des destinataires auxquels ils ne sont pas destinés et les pourriels.

Les amendes susmentionnées ont pour une grande part été appliquées pour des faits antérieurs à l’entrée en vigueur du RGPD. D’autres amendes sont attendues au début de 2019 et pourront éventuellement être plus élevées et plus fréquentes.

Avons-nous des raisons de nous tenir sur nos gardes en Belgique ?

Nul besoin de vous rappeler que la peur est mauvaise conseillère. Il n’est donc pas nécessaire d’envisager le RGPD avec crainte, toutefois sans perdre de vue la réglementation. Fort heureusement, la Belgique est encore un peu à la traîne en matière de sanction des infractions. Mais en 2018, le but était principalement de sensibiliser les entreprises et de continuer à développer l’autorité de contrôle. Nous pouvons donc nous attendre à ce que des mesures plus sévères soient prises, l’année prochaine, à l’égard des entreprises qui font fi des règles.

Nous partons dès lors du principe que 2019 sera principalement marquée par des réactions aux réclamations de tiers (tels que des concurrents, des clients mécontents et le personnel en service ou d’anciens membres du personnel) et d’entreprises qui ont été victimes de piratage. S’il apparaissait que vos efforts en tant qu’entreprise ont été insuffisants et que vous ne disposez pas des documents, des procédures et/ou de la sécurité adéquats, vous vous exposez à des amendes. Parallèlement aux amendes, d’autres risques sont évidemment en lien avec le RGPD. Pour ne citer que quelques exemples : la cessation obligatoire des activités, la perte de données pour cause de piratages ou d’atteinte à la réputation.

Qu’est-ce que Vandelanotte peut faire pour vous ?

Notre équipe de spécialistes se tient volontiers à votre service pour vous mettre en règle au niveau des aspects du RGPD absolument requis et les plus urgents. Sur le plan juridique, vous devez notamment disposer d’un registre des activités de traitement, d’une procédure en cas de fuites de données, de procédures de gestion des droits des personnes concernées et d’une déclaration de confidentialité vous permettant de communiquer en toute transparence votre politique en matière de RGPD au monde extérieur. En revanche, sur le plan informatique, il est par ailleurs important de développer une politique de sécurité suffisante. Nos spécialistes vous soutiendront volontiers à ce niveau. Nous vous conseillons en outre de désigner un délégué à la protection des données (DPD) (externe). Même s’il ne s’agit pas d’une obligation, le RGPD demande un suivi et une surveillance permanente.

Vous n’êtes pas encore convaincu(e) en matière de RGPD ou vous appréhendez les préparatifs ? Dans ce cas, tâchez de considérer le RGPD comme une opportunité d’accroître l’efficacité de vos processus et de la gestion des données. Un audit réalisé par notre équipe multidisciplinaire peut vous rassurer, tant actuellement qu’à l’avenir et aboutir aux recommandations utiles.