Le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) entre en vigueur en Belgique ce 25 mai 2018.
De différents côtés on agite ce Règlement comme un épouvantail et différents organismes tentent d’en faire une occasion de services et de conseils grassement rétribués!
Sur le fond l’idée européenne est vertueuse dans la mesure où elle veut être une base à partir de laquelle on pourrait limiter, voire empêcher, les intrusions tout à fait abusives de nombreuses applications, principalement originaires des États-Unis, rendues possibles par les échanges numériques massifs et à haute vitesse sur toute la planète. Et surtout l’utilisation des données collectées comme matériau pour cibler et accrocher des “clients” en tous domaines.
Dans la pratique: pas de panique! Pour tous les traitements en cours au moment de l'application, un délai de 2 ans pour la mise en conformité est prévu par le RGPD.
Le principe de base est clair et simple: opt-in (je m'engage, je m'inscris) et plus "opt-out" (je me désengage, je me désinscris)! La personne à propos de laquelle on récolte de l’information doit toujours donner son consentement de façon claire, transparente et univoque même si les produits/services sont gratuits sur la collecte et le stockage d’une information touchant sa personne, et, pour chaque segment d’information, elle doit exprimer ce qui peut être conservé par un opérateur, ce qui peut être utilisé et, globalement, dans quel cadre. Et, comme aujourd’hui, elle peut demander les informations détenues pour les corriger ou en demander la suppression.
Facile à dire… mais pas évident du tout puisqu'on s'aperçoit que, par exemple, certains groupes bancaires européens, pratiquent encore aujourd'hui plutôt la formule "opt-out" que la formule "opt-in" imposée par le RGPD. En effet, les cases concernant l'usage des données et leur distribution éventuelle à des sous-traitants, ou leur utilisation commerciale sont déjà cochées dans les formulaires!
Combien d'utilisateurs iront-ils vérifier ces nouveaux paramètres?
L'information reçue précise "Suite à l'entrée en vigueur du RGPD… nous avons modifié notre Règlement… celui-ci est disponible sur notre site www. Pour pouvoir nous faire part de vos préférences en matière de communication commerciale, nous mettons également un nouvel écran à votre disposition…" et c'est précisément dans ce nouvel écran que les cases sont précochées, donc il s'agit bien pour le client, de "opt-out".
Pour NAM-IP, asbl, Yolande Juste, responsable du contrôle et de la conservation des données personnelles a bien étudié les exigences du RGPD et en reparlera dans une prochaine livraison. Ces exigences sont à appliquer avec “bon sens” d'autant que le Règlement est le même quelle que soit la taille de l'entreprise, de 2 employés ou de plusieurs centaines!
La mise en œuvre du RGPD doit comprendre: le mode de collecte de données personnalisées, la cartographie des fichiers qui en contiennent, la sécurisation de ces données, la tenue d'un registre de ces données, la nomination d’un responsable RGPD et vérification du respect des normes RGPD par d’éventuels sous-traitants.
Une Charte et des Formulaires seront disponibles sur notre site web!
Donc, une fois de plus: pas de panique! Pas de précipitation! Et un encouragement tout particulier aux responsables européens et nationaux à utiliser ce nouveau Règlement pour contrôler d’abord les entreprises qui vivent de la collecte et de la revente d'informations à caractère personnel plutôt que d’alourdir les obligations administratives des petites entreprise qui font le tissu humain de l’économie et de la vie associative!
R.-Ferdinand Poswick,
Administrateur-délégué