La forte augmentation du nombre de dossiers relatifs à la protection de la vie privée devrait réveiller les entreprises

L’année dernière, 4.195 questions et réclamations ont été adressées à la Commission Vie privée. Ce qui représente une hausse de 46 pourcents par rapport à 2011. Une tendance préoccupante, d’autant plus que cette même Commission aura bientôt le pouvoir de punir les contrevenants. Les entreprises qui traitent des données doivent d’urgence élaborer une politique efficace de protection de la vie privée pour éviter les amendes et les pertes de réputation.

La Commission Vie privée doit encore clôturer son rapport annuel 2015, mais les chiffres provisoires, que Graydon a pu consulter, démontrent une forte hausse du nombre de dossiers. Si la Commission avait traité 3.826 dossiers en 2014, ce nombre a augmenté l’année dernière de près de 10 pourcents, passant à 4.195, soit plus de 11 par jour. Ces cinq dernières années, le nombre de demandes et de plaintes a même augmenté de près de moitié.

Ces chiffres illustrent une tendance importante : la prise de conscience et l'assertivité des parties dont les données sont traitées, les particuliers et les organisations, augmentent de jour en jour. Les personnes de toutes les couches de la société posent davantage de questions sur la protection de leur vie privée et prennent des mesures pour utiliser la législation existante à leur avantage.

Cette évolution exerce un impact direct sur les entreprises. Car aujourd’hui, presque toutes les entreprises sont confrontées au problème de la vie privée, parce qu'elles recueillent toutes des données personnelles d'une manière ou d'une autre : listes de clients, numéros de téléphone et adresses des clients, données en ligne des clients, toutes les données imaginables sur les cartes des clients,...

L’Europe arme la Commission Vie privée

Entre-temps, une évolution importante s'opère au niveau européen, qui aura un impact permanent sur la façon dont les entreprises devront gérer la protection de la vie privée. Après quatre ans de négociations, les parties ont atteint à la fin de l'année dernière un accord pour le nouveau règlement européen de la vie privée. L’approbation formelle du Parlement européen et du Conseil est attendue d’un moment à l’autre.

Le Règlement général sur la protection des données poursuit un double objectif : mettre un terme à la fragmentation des lois relatives à la vie privée en Europe et rendre les règles actuelles plus exécutoires.

Qu’est-ce qui va changer concrètement ? Les entreprises qui traitent des données ne seront plus obligées de le signaler à la Commission Vie privée, ceci afin de réduire la charge administrative. En revanche, les entreprises devront dorénavant élaborer une politique actualisée pour la vie privée, afin de respecter les règles sur tous les plans, en permanence (transparence, but légitime, délai raisonnable,..). Les entreprises devront donc en quelque sorte s’autoréguler, mais la Commission Vie privée pourra leur demander à tout moment des comptes concernant la politique, les procédures et la documentation.

Les entreprises employant plus de 250 collaborateurs devront recruter un Data Protection Officer, qui veillera à ce que le traitement des données s’effectue conformément aux règles applicables à la protection de la vie privée.

Enfin, les fuites de données seront soumises à une obligation de déclaration. En Belgique,  seules 13 fuites de ce type ont été signalées à la Commission Vie privée l’année dernière, ce qui ne représente probablement que le sommet de l’iceberg.

Des amendes énormes

Jusqu’à ce jour, un organe comme la Commission Vie privée ne pouvait pas punir les contrevenants. Elle pouvait avertir, suggérer, conseiller et interpeler, mais pour une sanction effective, elle devait transmettre le dossier au juge d'instruction, ce qui a été très peu le cas jusqu'à présent.

Le texte de compromis du nouveau Règlement général sur la protection des données  UE prévoit des amendes pouvant atteindre 4 pourcents du chiffre d'affaires mondial annuel, avec un maximum de 20 millions d'euros. Il semble en outre que la Belgique veuille jouer un rôle de pionnier dans le durcissement de la loi relative à la protection de la vie privée. Le Secrétaire d’État à la Protection de la vie privée, Bart Tommelein (Open VLD), a annoncé l'année dernière son intention de transformer la Commission Vie privée en régulateur, ayant la compétence d’infliger des amendes administratives.

Avantage concurrentiel

Une fois que le Règlement général sur la protection des données UE sera approuvé formellement, les États membres auront deux ans pour s’adapter aux nouvelles règles. Mais au lieu d’attendre cette période de transition, les entreprises ont intérêt à élaborer une politique de protection de la vie privée efficace.

Une première étape importante est de faire le point du traitement des données. Comment entrent les données ? Qui sont vos partenaires pour la fourniture et le traitement ? Où se situent les risques de fuites ?

Une fois que vous aurez une vision claire des processus de données dans votre entreprise, il sera temps de définir une stratégie. Allez-vous opter pour une simple conformité aux règles ? Ou choisir le statut de 'meilleur de la classe' ? Comme la prise de conscience en matière de vie privée et de cybersécurité augmente sans cesse, vous pouvez faire valoir une bonne politique en la matière comme un important avantage concurrentiel.

Conclusion ? Le nouveau Règlement général sur la protection des données UE ne s’applique pas seulement aux acteurs internationaux sur internet, comme Facebook et Google. Chaque entreprise ayant une base de données personnelles risquera des amendes si elle ne respecte pas les règles. Mettez les deux prochaines années à profit pour investir dans votre politique de protection de la vie privée et des données pour éviter la concurrence difficile des entreprises offrant davantage de sécurité en la matière, une perte de réputation ou des amendes élevées.