Présenté en mai 2016 mais applicable et obligatoire dans tous les États européens depuis mai 2018, le règlement général sur la protection des données (GDPR) régit et protège chaque information qui permet d’identifier directement (nom, prénom) ou indirectement (numéro client, donnée biométrique, etc.) une personne. En d’autres termes, cette réglementation permet de défendre les personnes physiques au sujet du traitement des données personnelles et à leur libre circulation.
Cette décision européenne a eu beaucoup de conséquences quant à sa réelle application sur le terrain. Aujourd’hui, nous vous proposons de mieux comprendre l’application du règlement sur le territoire belge en prenant connaissance de l’organe de contrôle régulateur. Étant donné les applications à divers secteurs, concentrons-nous sur les domaines qui nous touchent : les marchés publics et les achats ainsi que sur la digitalisation de la protection des données. Et enfin, découvrez les sanctions plus ou moins lourdes qui sont applicables en cas de non-respect de la réglementation.
1. Autorité de protection des données
Étant donné l’application de cette décision à tous les États membres de l’Union Européenne, chaque pays doit mettre en place une autorité qui régule et applique à la lettre la réglementation.
En Belgique, il s’agit de l’Autorité de protection des données (APD) qui est responsable de l’encadrement et de l’application correcte du GDPR au niveau national. Depuis mai 2018, c’est également cette institution qui prend la relève à la place de la Commission de la protection de la vie privée dans le cadre de la loi datant du 3 décembre 2017.
La particularité de cette institution c’est qu’elle est, à la fois, guide et contrôleur. En effet, elle possède des missions afin d’informer les consommateurs et les acteurs de terrain mais elle a également pour mission de faire appliquer la règle.
2. Le GDPR et son application dans le cadre des marchés publics et des achats
Le règlement qui protège les données personnelles du consommateur rayonne dans tous les domaines d’activités. Concentrons-nous sur ceux qui nous portent : les marchés publics et les achats.
2.1. GDPR et marchés publics
Depuis l’entrée en vigueur de la réglementation beaucoup de nouvelles obligations sont imposées à tout individu qui manipule des données personnelles. Par individu, nous entendons dans ce cas un grand nombre d’acteurs : des entreprises internationales mais également des commerces de proximité (de par leur programme de fidélité) ou encore les pouvoirs locaux.
Cette dernière catégorie nous intéresse plus particulièrement dans le cadre de notre sujet. Effectivement du fait de leurs missions quotidiennes (état civil, marchés publics, …), les administrations publiques utilisent et ont accès à toute une série de données personnelles de leurs administrés.
Dans le cadre d’un marché public, il existe deux types de personnes qui traitent avec les données personnelles : les responsables du traitement et les sous-traitants (les responsables les mandatent pour effectuer le traitement des données à caractère personnel – aussi appelés adjudicataire -). Ce qui différencie le responsable du traitement du sous-traitant est que le responsable est celui qui définit les finalités, moyens du traitement des données et le sous-traitant est celui qui effectue la manipulation sur base des directives du responsable.
-
-
Obligations du responsable du traitement
-
Étant dans le cadre d’un marché public et depuis l’entrée en vigueur du GDPR, les pouvoirs locaux sont dans l’obligation de respecter la réglementation qui régit les marchés publics ainsi que le règlement légiférant sur la protection des données.
En premier lieu, le responsable du traitement doit sélectionner son sous-traitant avec le plus grand soin. En effet, il doit s’assurer que l’adjudicataire réponde à toutes les garanties nécessaires (connaissances, ressources disponibles, fiabilité, etc.) en ce qui concerne la mise en œuvre du traitement des données en respectant les règles du GDPR. De ce fait, une clause reprenant cette obligation doit être mentionnée dans le marché public.
Comme c’est généralement le sous-traitant qui effectue le traitement des données, les responsables sont dans l’obligation de fournir à ce dernier des instructions spécialement documentées. Ce document servira de preuve de conformité à la réglementation en cas d’une action en responsabilité.
De manière plus générale, les responsables du traitement doivent s’assurer d’être conformes au règlement européen.
-
-
Obligations du sous-traitant
-
Comme il doit respecter les instructions émises par les responsables de traitement, le sous-traitant n’a pas réellement d’obligations à part celles indiquées dans le document. Toutefois, il est tenu de respecter certaines normes (telles que le respect des obligations émises dans le document du responsable du traitement, l’obligation d’assistance, de conseil ou d’alerte ou encore l’application des normes de sécurité).
2.2. Impact du règlement européen sur les achats
Depuis l’entrée en vigueur du GDPR en 2018, son application représente un important défi pour les acheteurs. En effet, cette réglementation doit s’insérer dans les processus achats. Mais cela a également permis aux acheteurs de se (re)placer au centre des procédures de contractualisation et de la relation fournisseur.
Le règlement s’exerce à chaque prestation nécessitant d’utiliser des données personnelles. Ce n’est plus seulement des entreprises que dépend le respect et la conformité au GDPR mais cela relève aussi de la compétence des fournisseurs à se conformer aux règles en vigueur. Concrètement, l’acheteur doit être capable de déterminer si oui ou non l’achat desdites prestations nécessite l’accès et/ou le traitement de données à caractères personnelles par le fournisseur qui sera choisi. De ce fait, la sélection du fournisseur est donc conduite par le fait qu’il puisse ou non se conformer au règlement européen.
La nécessité d’être conforme à la réglementation est donc incontournable ! Les autorités de chaque État ont édicté un processus en six étapes (aide précieuse à la conformité). Ces six étapes clés peuvent être suivies par le département Achats et assureront sa conformité au GDPR.
De plus, l’acheteur est dans l’obligation d’ajouter un formulaire de consentement (Data Processing Agreement) afin de prévenir les consommateurs finaux de l’utilisation de leurs données et d’ainsi récupérer leur consentement pour les utiliser à des fins commerciales. Ce formulaire est souvent digital et consiste, en réalité, à cocher des cases pour donner son accord.
3. Que dit la législation dans le cadre de la digitalisation de la protection des données ?
Suite à l’entrée en vigueur du GDPR, l’importance de traiter la data est devenue quelque chose d’incontournable. La collecte et le traitement des informations sont maintenant des enjeux cruciaux pour les entreprises et organisations. Parallèlement, les attentes des consommateurs en termes de protection ne cessent de croître.
De plus, l’arrivée de la réglementation a imposé aux entreprises de mieux protéger les données personnelles de leurs clients (mais aussi des salarié(e)s et partenaires) et de structurer davantage leur processus en les digitalisant via des plateformes ou solutions cloud intuitives et ergonomiques. La digitalisation permet au GDPR une coordination de quatre étapes importantes du règlement :
1- Cartographier les données au sein de l’entreprise
2- Piloter et suivre les actions
3- Centraliser les données de manière sécurisée
4- Suivre directement les demandes de désinscription des bases de données
La réglementation européenne a donc permis encore davantage l’essor de la digitalisation au sein des entreprises. C’est assez paradoxal étant donné que c’est un règlement qui normalement devrait contraindre les entreprises mais grâce à ce dernier la digitalisation s’accélère.
4. Quelles sanctions pour non-respect de la protection des données ?
Comme avec tout règlement, s’il est constaté qu’il n’est pas respecté des sanctions sont bien évidemment encourues. Dans le cadre du GDPR, ses sanctions peuvent émaner soit de l’organe de contrôle mis en place dans chaque État européen (en Belgique : l’APD) soit des juridictions nationales.
4.1. Sanctions prononcées par l’organe de contrôle
L’organe de contrôle du GDPR a recours à des sanctions dites administratives. D’un regard totalement extérieur, cela semble être la solution idéale. En effet la sanction étant prononcée par l’autorité régulatrice, cela signifie qu’elle connaît et est compétente en la matière et pourra, dès lors, appliquer les sanctions les plus justes possibles. De plus, cette autorité de contrôle pourra sanctionner les organisations assez rapidement (pas de lenteur judiciaire dans ce cas). Il est important de préciser que le gouvernement belge, dans le cadre de la loi Protection des Données, a choisi d’écarter les autorités publiques du régime d’amendes administratives, sauf les personnes morales de droit public offrant des biens et/ou services sur le marché.
Il existe deux types de sanctions qui peuvent être ordonnées par l’Autorité de protection des données depuis l’entrée en vigueur du règlement européen.
Ce type de sanction s’impute à l’ensemble des responsables du traitement ainsi que les sous-traitants (fournisseurs, etc.) qui tombent dans le champ d’application du GDPR. Il y a cependant une marge de manœuvre aux États européens quant aux amendes administratives infligées au responsable du traitement ou à un sous-traitant. Elles sont également considérées comme des sanctions pénales de par les montants exigés ainsi que leur finalité répressive.
Il existe trois catégories d’amendes administratives pouvant infliger des astreintes allant jusqu’à vingt millions d’euros ou quatre pourcents du chiffre d’affaires annuel international d’une organisation. À savoir que les catégories d’amendes sont cumulables en cas de plusieurs violations différentes (oubli de certaines obligations et violations des principes de bases du GDPR).
Suite à l’entrée en vigueur du règlement européen traitant de la protection des données, les autorités régulatrices en la matière peuvent également imposer des mesures correctrices contraignantes juridiquement. Toutefois, toutes les sanctions prévues dans la réglementation ne peuvent pas être appelées comme étant de véritables sanctions.
Il existe deux catégories de mesures correctrices. Tout d’abord, il y a celles qui peuvent être classées comme étant des injonctions (elles peuvent moduler le traitement en vigueur). Et il y a des mesures qui peuvent réellement être appelées des sanctions (elles sont restrictives).
Voici une liste non-exhaustive des injonctions et sanctions que peut infliger l’autorité de contrôle :
- rappel à l’ordre du responsable du traitement ou sous-traitant qui a violé les règles européennes
- ordonnancement de respecter les demandes effectuées par les consommateurs ou personnes concernées
- ordonnancement de se conformer au GDPR
- pouvoir d’empêcher, retirer ou faire enlever la certification GDPR
- …
Pour en savoir plus, nous vous invitons à lire la législation régissant le règlement européen sur la protection des données.
4.2. Sanctions pénales
En ce qui concerne les sanctions pénales, la réglementation européenne donne peu d’indications. En effet, l’évaluation des sanctions encourues et infligées par le juge reste une compétence propre à chaque État européen. Néanmoins, la législation européenne est très précise en ce qui concerne le cumul entre les sanctions pénales et administratives.
Plus concrètement, l’appréciation des évaluations des sanctions revient à chaque État membre signifie qu’ils sont les seuls à pouvoir décider de quelles sanctions sont juridiquement et pénalement applicables lorsque violation du GDPR il y a. La réglementation fixe uniquement un cadre léger : les sanctions doivent être effectives, proportionnées et dissuasives. Mais dans un optique de cohérence entre tous les États, la Commission Européenne a exigé, dès l’entrée en vigueur du règlement, que les membres lui fournissent une liste des sanctions qui seront appliquées en cas de non-respect. Le gouvernement belge a, donc, promulgué une loi dénommée Protection des Données afin d’établir un cadre pénal (non-respect d’une mesure correctrice provenant de l’APD, transmission des données personnelles hors de l’Espace Économique Européen sans prise de précautions appropriées, etc.).
Cela fait maintenant près de trois ans que le GDPR est entré en vigueur et a bouleversé la collecte de données pour les entreprises mais également rendu plus clair les droits des consommateurs en la matière. Grâce à cette législation, la plupart des citoyens européens sont maintenant sensibilisés à la confidentialité de leurs données ainsi qu’à leurs droits (droits à l’oubli, obligation de demande du consentement, etc.). Toutefois, malgré ce règlement, les cyber-attaques sont en croissance et la course à la donnée est toujours plus effrénée que jamais. Les politiques européens sont donc bien au courant que le GDPR n’a pas été la solution miracle tant espérée. Surtout depuis la crise du coronavirus et les confinements successifs qui ont vu des données logiquement confidentielles (les données médicales entre autres) être presque étalées sur la place publique.
Pour éviter tout problème et le risque d’être sanctionné, le mieux est d’utiliser des solutions qui respectent la législation européenne. Chez Ordiges, nous mettons un point d’honneur à se conformer au cadre légal belge et européen en vigueur. C’est pourquoi, chacune de nos solutions vous garantit d’être conforme au GDPR. Intéressé(e) ? Contactez-nous pour de plus amples informations.
Sources : APD, Cookiebot, Décision-Achats.fr, Test-Achats.be, Deloitte.com, UVCW.be, Ordiges.be, Gdprbelgium.be
Article rédigé par Ophélie Dehantschutter – Assistante Marketing & Communication
