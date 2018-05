Le nouveau règlement général sur la protection des données personnelles, le fameux RGDP, devra être appliqué dans toutes les entreprises européennes dès ce 25 mai. Ce nouveau règlement ne concerne pas seulement les géants du web comme Facebook ou Google, il concerne également toute personne qui traite des données personnelles en dehors du cadre de la vie privée. Un simple listing de clients d’un petit entrepreneur, ce sont bien des données à caractère personnel. Les PME, les ASBL, les clubs sportifs, les communes,… vont donc devoir s’adapter au RGPD.

La première question à se poser pour chaque entreprise est la suivante : traite-t-on au sein de mon entreprise des données à caractère personnel? Visiblement, c’est loin d’être clair dans de nombreuses boîtes : selon une enquête menée par Digital Wallonia, 57% des entreprises wallonnes interrogées à la fin du mois de février n’étaient même pas conscientes qu’elles traitaient des données à caractère personnel. "On est face à une matière qui pour le moment est une affaire de grandes entreprises qui ont dû prendre le problème à bras le corps dans les secteurs où la donnée est vraiment au cœur du business, mais pour les petites entreprises lambda, le personnel n’avait pas été informé parce que c’est vraiment quelque chose de particulier", constate Hélène Raimond de Digital Wallonia, l’Agence du Numérique.

Quelles données pour quel traitement?

Si une entreprise, une ASBL ou un club sportif traite des données personnelles, il faudra avant toute chose faire un inventaire des traitements de données à caractère personnel. "Parfois, une entreprise peut être surprise, constate Etienne Wery, avocat spécialisé dans les nouvelles technologies. Il y a un traitement des données clients, mais il peut y avoir aussi un traitement pour les données fournisseurs, d’autres liés au marketing, aux ressources humaines s’il y a des employés, aux contentieux, … Il peut y avoir dans une même entreprise des dizaines de traitements différents".

Une fois cet inventaire effectué, l’entreprise devra détailler le traitement qu’elle fait de ces différentes données. "Est-ce qu’elles conservent ces données à un endroit précis ou à plusieurs endroits ? Est-ce qu’elles s’en servent pour des opérations marketing ou uniquement pour envoyer certains documents dans le cadre de démarches administratives ? Elles doivent finalement se poser la question de quelles données personnelles pour quel traitement", explique Hélène Raimond.

Notez également que les entreprises sont responsables des traitements de leurs données par des tiers. Si un sous-traitant ou un fournisseur utilise des données personnelles récoltées par l’entreprise à des fins commerciales, l’entreprise en question est responsable de ce traitement. En plus de son inventaire des traitements, l’entreprise devra donc assurer une traçabilité des données qu’elle possède. "A partir du moment où on a une vision claire des données que l’on possède et de ce que l’on en fait, on peut prendre les mesures adéquates pour protéger ces données pour éviter qu’elles se retrouvent dans de mauvaises mains", conclue Hélène Raimond .

Des données en lien avec la finalité de l’entreprise

L’un des grands principes du RGPD repose sur la finalité : il faut savoir pourquoi l’entreprise récolte certaines données personnelles et le dire aux clients dont les données sont récoltées. De plus, il faut que les données récoltées soient liées avec la finalité de l’entreprise. "Si vous achetez une voiture chez Renault, on ne peut pas vous demander ce que vous aimez manger, explique Etienne Wery. Cela n’a pas de lien avec la finalité qui est d’acheter une voiture. Par contre, si vous prenez l’avion, la compagnie pourra vous le demander parce que c’est important de savoir si vous êtes allergique à certains produits pour le repas que l’on vous sert dans l’avion". Pour entrer dans les clous du règlement, chaque entreprise doit donc vérifier si les données personnelles qu’elle récolte auprès de ses clients sont bien en adéquation avec la finalité de l’entreprise.

Pour respecter le RGPD, les entreprises doivent également donner l’accès à chaque client à ses données personnelles. "Si quelqu’un traite des données vous concernant, vous avez le droit de lui demander quelles données il a à votre sujet, pourquoi les traite-t-il et ce qu’il en fait, continue Etienne Wery. Vous avez ensuite le droit de vous y opposer ou de modifier les éventuelles erreurs". Par contre, une entreprise n’a pas besoin du consentement des clients de manière systématique, mais seulement dans le cas d’une prospection de type marketing direct.

Gare aux offres clé sur porte

Depuis l’annonce de la mise en place du nouveau règlement européen, certains services ont vu le jour et proposent aux entreprises de gérer leur mise aux normes du RGPD. Mais cette mise aux normes dépend du type d’entreprise et du secteur dans lequel elle évolue, elle se fait donc au cas par cas. Digital Wallonia met donc les entreprises en garde face à ce genre d’offres. "On a un peu peur de ce qui sera proposé aux petites structures qui d’un côté ont peur des sanctions et de l’autre ne savent pas très bien ce dont il s’agit et ne sont donc pas très bien armées pour évaluer les offres qu’on va leur faire", conclue Hélène Raimond.