Une année de RGPD : ce que cela a (n’a pas) donné

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur avec un parcours préalable assez intense. De nombreuses actions s'imposaient et, si nous avions cru les bruits qui couraient, pratiquement toutes les entreprises auraient d’ores et déjà écopé d’une amende. Une année plus tard, il n’en est rien ou si peu.

Les conséquences sont donc limitées grâce à l’importante contribution de l’Autorité de Protection des Données (en abrégé APD). L’APD - dont les pouvoirs ont d’emblée été élargis notamment en lui conférant la compétence d'appliquer les règles du RGPD - a remplacé la Commission de protection de la vie privée. Les onze premiers mois, l’APD n’avait en effet que peu de pouvoir. Il a fallu attendre la fin avril 2019 et la nomination d’un nouveau comité directeur pour pouvoir enfin compter sur du changement.

Entre-temps, le Président David Stevens a déjà annoncé que la période où l'on pouvait se la couler douce et ne pas se soucier du RGPD était terminée. Nous ne savons pas encore comment cela fonctionnera au juste, mais si nous regardons ce qui se passe chez nos voisins du Nord et du Sud, nous avons intérêt à être bien préparés.

Situation dans nos pays voisins

En juin 2018, les Pays-Bas ont immédiatement entamé des contrôles spécifiques. La présence d’un Délégué à la Protection des Données (DPD) a été contrôlée dans quelque 400 organismes publics. Les organismes qui n’avaient pas encore nommé un DPD ont d’emblée reçu un avertissement officiel dans leur boîte aux lettres. Dans le secteur privé, des contrôles aléatoires ont été réalisés quant à la présence d’un registre des activités de traitement. Il s'agit en effet d’une obligation pour (quasi) toutes les entreprises. Entre-temps, les contrôles portent également sur l’existence d’un contrat de sous-traitance dans les entreprises.

La France a elle aussi, dès le départ, procédé activement à des contrôles. Son attention n’a donc fait que s’intensifier au cours de l’année écoulée. En 2018, la France a effectué plus de 300 contrôles auprès d’entreprises très diversifiées, non seulement sur place mais aussi en ligne. Au niveau des sites Web par exemple, on a vérifié si des mesures de sécurité suffisantes avaient été prises et si celles-ci respectaient l'obligation d’information. Les entreprises françaises ne sont donc pas toujours prévenues à l’avance d’un contrôle éventuel.

Amendes

Onze États membres ont entre-temps distribué des amendes. C’est la France qui a infligé l’amende la plus lourde. Google s’est ainsi vue infliger une amende de quelque 50.000.000 euros. Mais Uber a également écopé d’une amende tant en France et aux Pays-Bas qu’au Royaume-Uni pour avoir omis de signaler des fuites de données.

Les amendes ne se sont néanmoins pas limitées aux « grands ». La banque néerlandaise InsingerGilissen s’est par exemple vue infliger une astreinte de 48.000 euros pour avoir répondu tardivement à une demande d’accès aux données. À son tour, l’Optical Center français a écopé d’une amende de 250.000 euros pour une faille de sécurité dans les données de ses clients sur sa boutique en ligne. D’autres amendes ont été infligées pour l’usage de données personnelles à d'autres fins que les finalités prévues ou pour l’utilisation d’empreintes digitales sans autorisation. Au Portugal, un hôpital a écopé d’une amende, parce que ses médecins avaient accès à tous les dossiers médicaux au sein de l’établissement.

Il est clair que les autorités de contrôle n’hésitent aucunement à infliger des amendes aux entreprises. Pour ce faire, il ne doit en outre pas nécessairement être question de piratages ou de fuites de données gigantesques. Le secteur et la qualité de l’entreprise n’ont donc aucune espèce d'importance.

Qu’en est-il maintenant ?

Comme la réforme de l’APD est toute récente, il faudra encore attendre un peu pour savoir quels points d’attention figureront au programme. Mais, nous pouvons nous attendre à ce que l’accent soit mis avec la même intensité en Belgique que dans nos pays voisins.

Au cours de l’année prochaine, l’Autorité des Données Personnelles (ADP) néerlandaise se concentrera sur les organismes publics et plus particulièrement sur l’échange de données à caractère personnel avec l’un d’eux. Une attention accrue sera également accordée à la sécurité des données dans les établissements de soins et à leur fondement légal dans le cadre du traitement des données à caractère personnel. Enfin, l’accent sera également mis sur les fuites de données non signalées et les fuites de données qui ont été occasionnées par une faille de sécurité par exemple.

Ceux qui ne s’en sont pas encore acquittés l’année dernière doivent donc vraiment œuvrer à leur politique RGPD. Dans ce cadre, il est important d’établir notamment un registre des activités de traitement. Par ailleurs, il est conseillé d’examiner de près la sécurité des données à caractère personnel traitées. 

Vous avez besoin d’aide ? N’hésitez surtout pas à contacter l’un de nos spécialistes en matière de RGPD à l’adresse e-mail cyber@vdl.be. Il sera ravi de voir où vous en êtes sur ce plan et où il y a lieu d’apporter des adaptations.