Note d'information
Le RGDP est entré en vigueur le 25-05-2018. GDPR est l’abréviation de « General Data Protection Regulation » ( en français : RGDP - Règlement général sur la protection des données à caractère personnel ) . Il s’agit d’un nouveau Règlement européen visant à protéger la vie privée des personnes par le renforcement des règles en matière de traitement des données à caractère personnel ( Règlement UE 2016 / 679 du 27-04-2016 ).
Quel est l’objet du RGDP ?
Le RGDP réglemente la façon dont les données à caractère personnel doivent être traitées. Les données à caractère personnel sont tous les types de données susceptibles de mener à l’identification d’une personne déterminée. Un nom, une adresse, une date de naissance ou un numéro de registre national sont des exemples évidents de données à caractère personnel. Une adresse e-mail, un login, une photo ou le numéro d’immatriculation d’un véhicule ou l’adresse IP d’un ordinateur sont aussi des données à caractère personnel.
Le traitement d’une donnée à caractère personnel implique « que quelque chose se passe avec cette donnée et qu’elle soit utilisée pour un motif déterminé. » Le simple fait de prendre connaissance d’une donnée à caractère personnel ne constitue pas un traitement. En revanche, dès qu’une donnée à caractère personnel est stockée dans un classement numérique ou papier, ou lorsqu’elle est utilisée dans une communication, il est question de traitement.
Le Règlement de l’UE définit la notion de « traitement » par l’énumération suivante d’opérations : « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Le RGDP s’applique uniquement aux personnes physiques, pas aux personnes morales. Une personne physique est une personne en chair et en os. Les personnes morales telles qu’une SPRL ou une S.A. ne sont pas soumises à l’application du RGDP.
Quelles obligations le RGDP génère-t-il ?
Dès le 25-05-2018, le traitement des données à caractère personnel doit se faire dans le respect des règles instaurées par le RGDP. Ce dernier formule une série de principes que tout traitement de données à caractère personnel doit respecter :
- le traitement doit être licite et transparent et être effectué correctement ;
- il doit toujours être réalisé avec une finalité déterminée ;
- dans une communication, il convient de viser une « minimisation des données », c’est-à-dire l’utilisation du plus petit nombre de données possible pour atteindre une finalité déterminée ;
- les données traitées doivent être exactes et actuelles ;
- la durée de l’enregistrement de données à caractère personnel doit être limitée à ce qui est nécessaire pour atteindre une finalité déterminée ;
- les personnes qui procèdent au traitement doivent traiter les données à caractère personnel avec intégrité et dans le respect de la confidentialité.
Il convient en outre de viser le niveau de protection de ces données le plus élevé possible. Des mesures organisationnelles et techniques doivent être adoptées à cette fin, compte tenu de l’état actuel de la technologie.
Certaines entreprises sont obligées de créer et de tenir un registre des activités de traitement : il s’agit d’une description de tous les processus internes impliquant le traitement de données à caractère personnel.
Dans certains cas, un « Data Protection Officer » devra être nommé. C’est une personne ou instance interne ou externe qui contrôle le respect des règles du RGDP au sein d’une entreprise ou d’une organisation.
Le traitement des données à caractère personnel peut être confié à un partenaire externe, par exemple une entreprise qui confie l’administration de ses salaires à un secrétariat social. Ce dernier est alors considéré comme le « sous-traitant » qui accède, à la demande et sous la responsabilité finale de l’entreprise ( « le responsable du traitement » ) à un groupe déterminé de données à caractère personnel.
Le RGDP impose également une réflexion proactive sur les conséquences des processus de changement sur la protection de la vie privée. Lors des modifications importantes sur le plan organisationnel et technique, le DPO devra procéder à une analyse d’impact relative à la protection des données.
Quels sont les droits d’une personne dont les données sont traitées ?
Le RGDP accorde divers droits à la personne dont les données sont traitées. En Belgique, plusieurs de ces droits étaient déjà imposés par la législation nationale existante. Ce sont par exemple le droit d’accès aux données à caractère personnel traitées par une entreprise ou une organisation et le droit de faire corriger ces données lorsqu’elles ne correspondent plus à la réalité.
Le RGDP a en outre introduit une série de nouveaux droits. Ainsi à présent, une personne a le droit de faire arrêter un traitement ou de faire supprimer toutes les données ( le « droit à l’oubli » ) .
Le RGDP prévoit également la possibilité de la portabilité des données entre deux responsables du traitement, par exemple en cas de changement d’employeur.
La personne qui estime que ses droits sont violés peut ( éventuellement après un premier contact avec le responsable du traitement ) introduire une plainte auprès de la Commission vie privée ( site web – téléphone 02-274.48.00 – commission@privacycommission.be ).
Après l’entrée en vigueur du RGDP, l’Autorité de protection des données ( nouveau nom de la Commission vie privée ) jouit en outre, de compétences étendues pour contrôler le respect des règles du RGDP par les responsables du traitement et pour appliquer des sanctions en cas de violation.
Comment le groupe Actief aborde-t-il le RGDP ?
En tant que partenaire RH des entreprises, nous traitons chaque jour de grandes quantités de données à caractère personnel relatives à des candidats, des intérimaires, des travailleurs, des clients et des fournisseurs. Nous avons toujours accordé une grande importance à la discrétion dans l’utilisation des données à caractère personnel. Avec l’entrée en vigueur du RGDP, nous avons adopté des mesures complémentaires pour atteindre le niveau de sécurité le plus élevé pour les données à caractère personnel qui nous sont confiées.
- Vous trouverez la façon dont nous appliquons le RGDP dans la déclaration de confidentialité du groupe Actief.
- Si vous êtes une entreprise client et que vous souhaitez obtenir de plus amples informations sur le sujet, vous pouvez consulter nos conditions particulières RGDP.
Vous pouvez contacter le DPO d’Actief via dpo@actief.be.