GDPR, un an plus tard : calme en Belgique, amendes dans les pays voisins

‘GDPR’ constitue sans aucun doute le mot à la mode de l’année écoulée. Onze mois se sont écoulés depuis l’entrée en vigueur du GDPR. Il est donc utile de réfléchir un instant aux conséquences pratiques de ce dernier.

Le GDPR a-t-il rendu les particuliers encore plus indifférents ou plus attentifs ? Est-il vrai que le GDPR constitue une exigence administrative supplémentaire sans autre effet pour les entreprises ? Ou, au contraire, le GDPR, est-il synonyme d’opportunité pour une meilleure communication avec le consommateur et de stimulant pour une stratégie de marketing différente et meilleure ? Comment les autorités européennes ont-elles géré l’application du GDPR ?

GDPR 1 jaar later

Le GDPR en Belgique après le 25 mai 2018

Depuis l’entrée en vigueur du GDPR, il n’a pas été question de chasse aux sorcières. Cela ne constitue pas vraiment une surprise dans la mesure où, dans de nombreux pays, l’autorité nationale de surveillance elle-même n’était pas suffisamment préparée à l’arrivée du GDPR. Par exemple, la mise en œuvre de certains aspects du GDPR en Belgique n’a été formalisée que dans la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitement des données à caractère personnel. L’autorité belge de protection des données a également clairement opté pour une approche douce. Elle a annoncé à plusieurs reprises que des avertissements seraient d’abord donnés lors des contrôles. Des amendes ne seraient imposées qu’après plusieurs avertissements. D’après nos informations, l’Autorité de protection des données n’a encore effectué aucun contrôle.

 

Des contrôles ont-ils été effectués en dehors de la Belgique ?

En Belgique, il n’y a pas encore de surveillance ou de contrôle actif. Dans d’autres pays, cependant, c’est déjà le cas :

  • Les Pays-Bas disposent d’un régulateur national en la personne de l’Autoriteit Persoonsgegevens (tout comme le Royaume-Uni avec l’ICO et la France avec la CNIL) qui est plus actif que ses organisations sœurs européennes. Dans un premier temps, plus de 400 organisations gouvernementales ont été contrôlées afin de savoir si elles avaient nommé un délégué à la protection des données (DPO). Comme ce n’était pas le cas, elles ont reçu un avertissement et un délai pour se conformer à l’obligation. Des amendes pouvaient suivre. Toutes les autorités concernées ont entre temps désigné un DPO. Depuis juillet 2018, des contrôles aléatoires ont également été effectués dans dix secteurs sur la présence d’un registre de traitement. En outre, depuis août 2018, l’Autoriteit Persoonsgegevens a également effectué des contrôles dans les hôpitaux et chez les prestataires de soins de santé pour détecter la présence obligatoire d’un DPO.
  • La CNIL, l’autorité nationale de contrôle en France, est également active en ce qui concerne les contrôles et l’application de la réglementation sur la protection de la vie privée. Elle a commencé à effectuer des contrôles aléatoires dans différents secteurs dès le lendemain du 25 mai 2018.
  • Au Royaume-Uni, l’ICO est l’un des superviseurs les plus actifs. Depuis l’entrée en vigueur du GDPR, plusieurs inspections dans différents secteurs et dans des entreprises de différentes tailles ont eu lieu.

 

Des amendes ont-elles déjà été imposées ?

L’une des particularités du GDPR réside dans la possibilité d’imposer des amendes aux contrevenants.  Cette possibilité a déjà été mise en œuvre. Depuis son entrée en vigueur, 91 amendes au total ont déjà été infligées.

  • Aux Pays-Bas, le 9 août 2018, l’Autoriteit Persoonsgegevens a imposé une astreinte de 48.000 EUR à une banque ayant octroyé le droit d’accès à un de ses clients beaucoup trop tard. La police nationale néerlandaise a été condamnée à une amende de 40.000 EUR pour ne pas avoir pris des mesures suffisantes pour résoudre un certain nombre de problèmes de sécurité majeurs. En novembre 2018, l’Autorité a infligé une amende de 600.000 EUR à Uber pour ne pas avoir informé l’Autorité et les personnes concernées dans le délai obligatoire de 72 heures après la découverte d’une fuite de données. Cette fuite a permis à des personnes non autorisées d’accéder aux données personnelles des clients et des conducteurs.
  • Au Royaume-Uni, le 8 octobre 2018, l’ICO a infligé à l’aéroport d’Heathrow une amende de 120.000£ à la suite d’une fuite de données sensibles via une clé USB abandonnée, trouvée accidentellement par un passant. L’aéroport d’Heathrow s’en tire à bon compte car cette affaire était encore traitée dans le cadre de l’ancienne loi de 1998 sur la protection des données. Celle-ci prévoyait une amende moins élevée que dans le nouveau système. Facebook s’en est aussi bien sorti : il a été condamné à une amende de 500.000£, soit le montant maximal prévu par l’ancienne loi, pour diverses infractions à la Loi sur la protection des données. Dans le cadre du GDPR, jusqu’à 4% du chiffre d’affaires peut être facturé. Facebook pourrait désormais se voir infliger des amendes allant jusqu’à 1,4 milliard EUR car son chiffre d’affaires annuel en 2017 s’élevait à 35 milliards EUR.
  • En France, le 21 janvier 2019, la CNIL a condamné Google à une amende record de 50 millions EUR pour traitement de données personnelles à des fins de marketing sans autorisation valable. Il s’agit de l’amende la plus élevée infligée jusqu’à présent dans le cadre du GDPR. Par ailleurs, la CNIL a également infligé des amendes aux entreprises confrontées à des problèmes de sécurité. Par exemple, un vendeur de lunettes a été condamné à une amende de 250.000 EUR pour des problèmes de sécurité répétés dans sa boutique en ligne. Une institution de logement social de Rennes a également fait l’objet une amende de 30.000 EUR pour l’utilisation de données personnelles à des fins autres que celles prévues.
  • En Autriche, les autorités ont infligé une amende de 4.800 EUR à un magasin dont les caméras de sécurité ont pris trop d’images accidentelles de passants.
  • En Allemagne, le 21 août 2018, le LfDI du Land de Bade-Wurtemberg a infligé une première amende de 20.000 EUR à Knuddels, la plus grande plate-forme de chat en ligne d’Allemagne, pour le stockage non-codé sur son serveur des adresses e-mail et des mots de passe des utilisateurs.

De nombreuses autres autorités nationales, ainsi que les autorités belges, n’ont pas encore pris de mesures et ne prévoient aucun contrôle. Toutefois, les exemples ci-dessus montrent clairement que ce n’est qu’une question de temps et que les autorités seront également sévères à l’égard de ceux qui sont négligents avec les données personnelles ou qui n’apprennent pas de leurs erreurs.

 

Plaintes

A côté des contrôles effectués par les autorités nationales, les personnes concernées peuvent également introduire une réclamation auprès de celles-ci. La tendance européenne dans ce domaine diffère également d’un pays à l’autre. Le tableau ci-dessous met ces différences en évidence.

Nombre de réclamations émanant de personnes concernées (25 mai 2018 – 28 janvier 2019) :

GDPR plaintes

Concrètement, le plus grand risque peut venir de vos propres partenaires et clients. En effet, ceux-ci pourraient vous interroger sur la conformité de votre entreprises au GDPR. En cas de réponse négative, elles pourraient s’abstenir de collaborer avec vous.

 

Le GDPR a-t-il déjà changé quelque chose en Belgique ?

Bien que l’autorité belge de protection des données n’ait pas encore infligé d’amendes, il semble que le GDPR ait déjà un effet à court terme. Les nouvelles règles incitent de nombreuses PME à prendre davantage conscience du traitement des données à caractère personnel. La création d’un registre de traitement entraîne souvent la découverte d’un plus grand nombre de données personnelles que prévu initialement. De nouvelles politiques de protection de la vie privée ont été élaborées. Celles-ci tiennent compte des finalités spécifiques du traitement des données.  Des accords de traitement ont été conclus dans le cadre de relations entre responsable du traitement et sous-traitant. Ceux-ci ont permis d’avoir un aperçu de la quantité de données à caractère personnel échangées et traitées.

Certaines entreprises ont revu leurs directives de sécurité pour s’assurer que les données personnelles collectées ne se retrouvent pas entre de mauvaises mains. Les amendes infligées à l’étranger à la suite d’atteintes à la protection des données montrent qu’il s’agit certainement d’un élément-clé.

Pour les citoyens de l’UE, il y a plus de clarté. Leurs droits ont été définis et étendus : les données à caractère personnel peuvent être consultées, adaptées et des plaintes peuvent être déposées.

Le GDPR incite de nombreuses entreprises à adapter leur stratégie marketing. Les préférences personnelles du client, l’historique d’achat du client, une relation meilleure et plus pertinente avec le client garantissent une place centrale des données personnelles dans l’entreprise.

Les données personnelles constituent une nouvelle mine d’or, à condition qu’elles soient traitées avec soin et dans le respect de la nouvelle réglementation. Après tout, il existe un réel risque d’atteinte à la réputation des entreprises en raison d’une mauvaise utilisation.

 

Action ?

Dans un premier temps, de nombreuses entreprises ont adopté une attitude plutôt attentiste à l’égard du GDPR. De plus en plus d’entreprises prennent aujourd’hui les mesures nécessaires pour s’y conformer et l’exigeront de plus en plus de leurs partenaires et clients. Il reste nécessaire pour chaque entreprise de mettre en place le GPDR le plus rapidement possible. Tôt ou tard, toutes les entreprises devront de toute façon se mettre au travail.

 

Comment se mettre au travail avec vos lecteurs ?

La protection des données personnelles n’est pas seulement une question de respect du GDPR mais aussi, et surtout, une question de relation de confiance avec vos partenaires et vos lecteurs. Les données personnelles collectées et traitées correctement constituent une valeur ajoutée importante pour les éditeurs. Les lecteurs seront de plus en plus conscients de la valeur de leurs données personnelles.  A l’avenir, il est prédit que la valeur financière des données sera transférée au consommateur.  Il est donc très important de préserver la relation avec le consommateur. Il en va de même pour les relations avec vos partenaires.  La mise en œuvre d’une politique transparente du GDPR y contribuera, et ce, par le biais de divers documents explicatifs, du registre de traitement, des accords de traitement, de la gestion correcte des fuites de données, etc.

Si vous avez des questions sur le GDPR, n’hésitez pas à prendre contact avec notre Legal Advisor, Clément Chaumont.

Cet article a été réalisé en collaboration avec Willem-Jan Cosemans de KOAN Law Firm