Paniek bij kmo’s rond Europese privacywet is niet terecht
Retour au sommaire
blog

La panique suscitée par la loi européenne relative à la vie privée parmi les PME n’est pas justifiée

La nouvelle loi européenne relative à la vie privée, en passe d'entrer en vigueur, crée une inquiétude croissante sur le marché. Les PME prennent de plus en plus conscience de son grand impact et craignent des amendes élevées si elles n’appliquent pas les règles à temps. Mais cette panique est-elle justifiée ? La mise en œuvre d'une nouvelle législation vise toujours un nouvel équilibre social. Ce qui demande du temps et nécessite de travailler par phases. Et c’est justement cela qui donne de la marge aux PME.

Le règlement européen GDPR (General Data Protection Regulation) entrera en vigueur en mai 2018. Il est destiné à protéger la vie privée des citoyens européens dans l'économie des données en pleine expansion. La loi a été adoptée en 2016, et elle entrera bientôt en vigueur. Mais cette échéance qui se rapproche crée la panique parmi les entreprises. La plupart d’entre elles ne seraient pas prêtes, et risquent ainsi des amendes pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires mondial annuel, selon le montant le plus élevé des deux.

Grand nettoyage

On ne va pas se mentir : l’impact du GDPR sera grand et large. Même si le règlement néglige les PME sur certains points, la pression règlementaire sera lourde pour toutes les entreprises qui possèdent ou traitent des données personnelles. Les grandes comme les petites entreprises devront demander plus souvent explicitement l'autorisation des consommateurs pour pouvoir utiliser leurs données. Elles devront leur donner l’occasion de retirer facilement cette autorisation aussi. Les entreprises vont donc devoir faire le point de leurs flux de données et risquent une amende (plus) élevée si elles ne signalent pas les fuites de données dans les 72 heures à l'instance de contrôle. Bref, cette nouvelle législation demandera des mesures administratives, techniques et organisationnelles importantes.

La question est : cette réorganisation n’était-elle pas de toute façon indispensable pour la plupart des entreprises ? Travailler efficacement nécessite une gestion up-to-date. Quelles données sont recueillies ? Qu’en fait-on ? Dans quel but et où est-ce documenté ? Les systèmes IT sont-ils suffisamment protégés ? Quelles données peuvent être supprimées, ou doivent l'être, d'un point de vue juridique ? Une entreprise qui veut assurer sa continuité veille à ce que tout cela soit en ordre. Ce n’est pas une tâche très amusante, mais elle est nécessaire. Un grand nettoyage, en quelque sorte.

La future loi relative à la vie privée exerce une pression, certes, mais celle-ci peut être utile pour les entreprises, et surtout les PME. Elle crée un sense of urgency au niveau de la direction, qui va libérer des moyens en conséquence. Mais voilà, ce sense of urgency, qui est pourtant très sain, crée une panique inutile parmi les entreprises. Si dans un an ou deux ce grand nettoyage n'a pas encore été effectué, alors oui, il faudra s’inquiéter à ce moment-là. Mais pour l’instant, il est encore trop tôt.

Équilibrer

Le GDPR s’appliquera dans 28 pays. La loi a laissé certains aspects ouverts, pour des raisons d’uniformité. Le fait qu’un groupe de travail européen soit actif pour en extraire certains éléments et les fixer dans des directives politiques en dit long. La nouvelle loi trace les grandes lignes, mais c’est ensuite aux tribunaux, entreprises et citoyens de les traduire dans la pratique. Ce qui demande un débat social, de la recherche et du temps.

Il y aura d’abord des affaires en justice, des trial cases et des jugements concernant les grands acteurs, qui permettront de déterminer l'interprétation concrète de la loi. Il est peu probable qu’à partir de mai 2018 les autorités pénalisent proactivement un webshop, une société de location ou un établissement horeca de taille moyenne.

Fuite de données

Mais en cas de grosse fuite de données, mettant en danger les données personnelles des citoyens, la taille de l’organisation n’aura aucune importance. Mais là encore, l’amende maximale ne sera pas nécessairement infligée. Le législateur européen et les autorités en charge des données personnelles veulent que les entreprises soient aussi prudentes que possible avec les données. Le mot clé du GDPR est « accountability » : un ‘responsable du traitement’ doit pouvoir démontrer à tout moment qu’il prend les mesures techniques et organisationnelles requises, garantissant le traitement des données tel qu'exigé par le GDPR. Le deuxième mot clé est « adéquat » : les mesures doivent être adéquates dans le contexte de l'entreprise et pour le traitement des données qui s'y effectue.

Mais même en prenant les bonnes mesures, aucune entreprise n’est à l’abri d’une fuite des données. Il est impossible d’isoler totalement l’entreprise du monde extérieur. En cas de problème, la Commission vie privée tiendra toujours compte des circonstances spécifiques. Si vous pouvez démontrer que votre entreprise a pris les mesures administratives, techniques et organisationnelles requises, préventivement et réactivement, cela jouera en votre faveur.

Nouveau chapitre

La mise en œuvre d’une nouvelle loi vise un équilibre entre différents acteurs. Un équilibre qui doit en découler concrètement. Pas seulement pour ceux qui doivent appliquer la loi, mais aussi pour le pouvoir judiciaire et les organes de contrôle. Contrairement à ce que peuvent faire croire les messages de panique dans les médias, la Commission vie privée n’est à mon avis pas un pouvoir punitif brutal prêt à infliger un maximum d’amendes à toutes les entreprises belges à partir de mai 2018. Oui, elle fera appliquer le GDPR, mais pas dans le but de recueillir un maximum d'argent. Plutôt pour donner forme à un nouvel équilibre social en matière de vie privée.

Nous sommes à la veille d’un nouveau chapitre dans notre gestion de la vie privée. Le squelette est en place, mais la chair se fait encore un peu attendre. Les PME peuvent-elles se reposer sur leurs lauriers ? Certainement pas ! Utilisez ce sense of urgency pour rendre votre entreprise future-proof. Mais ne cédez pas à la panique : ce n'est pas nécessaire.

Publications similaires