RGPD : plus question de ne pas être en règle

25 mai 2018. Une date que beaucoup n’oublieront pas de sitôt. En effet, elle marque le début de « l’ère RGPD », avec l’entrée en vigueur de cette fameuse directive européenne sur le traitement des données à caractère personnel. Désormais, chaque entreprise doit disposer d’un DPO (Data Protection Officer), de procédures pour garantir la sécurité des données et d’un registre des activités de traitement des données personnelles.

« Dans les mois qui ont précédé mais aussi suivi ce moment, beaucoup se demandaient si les choses allaient vraiment changer. On sait désormais à quoi s’en tenir, car le RGPD n’est pas du vent. Le gouvernement veille à son application stricte. » Telle est l’analyse de Jan Decorte, Associate Partner d’EY Law et membre du Legal Experts Group (LEG) au sein de BAM.

Ceux qui enfreignent les règles relatives à l’utilisation et au traitement des données à caractère personnel s’exposent à de lourdes amendes, qui peuvent aller jusqu’à 5 % du chiffre d’affaires mondial de l’entreprise. Ainsi, en Europe, British Airways s’est vu infliger une amende de 250 millions d’euros, tandis que la chaîne d’hôtels Marriott a dû débourser 110 millions et Google 50 millions...

3 x 50.000 euros

Mais l’Autorité de protection des données est aussi désormais bien active en Belgique, après avoir connu un démarrage difficile dans les premiers mois du RGPD (le gouvernement s’étant montré incapable de désigner à temps tous les responsables de l’organe de contrôle). Jusqu’à présent, trois amendes de 50.000 euros ont été imposées à Proximus, DKV et au site de rencontres en ligne Twoo.    

À cela s’ajoutent évidemment les effets – non chiffrables – sur la réputation des entreprises sanctionnées. Car la confiance est un levier de plus en plus crucial. Le traitement correct des données des clients et consommateurs peut donc procurer un avantage concurrentiel. « Ce serait une erreur de ne voir que le côté négatif du RGPD, conclut Jan Decorte. Il peut aussi se convertir en un sérieux atout. »

Il va sans dire qu’il faut aussi veiller pour cela à protéger les données contre les cyberattaques. Selon Charlotte De Raef, Partner chez KOAN, cette activité devrait générer pas moins de 133 milliards de dollars de revenus en 2022. Ici aussi, l’Union européenne dispose d’une directive (NIS), qui souligne l’importance de ces mesures.

Les cookies, un point d’attention particulier

Un volet à part du RGPD porte sur la gestion des cookies. Selon Bart Van de Brande, avocat chez Sirius Legal et membre du LEG, quelque 80 à 90 % des sites Web européens ne sont pas conformes au RGPD et à la loi sur les cookies, qui date de 2012. « Près de la moitié des "contrevenants" cochent les cases à l’avance (par exemple pour recevoir un bulletin d’information ou des offres commerciales). Et dans près de 7 % des cas, on n’offre pas la possibilité de se désinscrire. »

« Dans ce domaine aussi, l’Autorité de protection des données intervient de plus en plus souvent, constate Bart Van de Brande. Elle a notamment infligé une amende de 15.000 euros à Jubel.be et de 30.000 euros à la compagnie aérienne Vueling. C’est surtout la première sanction qui est frappante. Le site utilisait un outil automatique pour les cookies (appelé cookiebot, NDLR), mais il ne s’y prenait pas correctement. »

La discussion sur les cookies revête une importance particulière, car elle concerne aussi la sauvegarde de données dans Google Analytics. Ici encore, une autorisation est requise, et c’est précisément là que le bât blesse. Bart Van de Brande explique : « De nombreux consommateurs ne donnent pas leur consentement et se sanctionnent donc eux-mêmes. En effet, les données sur le comportement de navigation contribuent à améliorer les sites Web et à les rendre plus adaptés aux besoins de l’internaute. BAM travaille sur une déclaration commune pour le secteur. S’il fallait demander la permission pour fournir les données de tracking à Google Analytics, cela ferait perdre de 30 à 70 % du trafic. Les sites ne seraient plus en mesure de se faire une idée correcte de la façon dont les internautes les utilisent. »

La récréation est terminée

« Il n’est donc plus question de traîner pour se mettre en règle avec le RGPD », concluait le webinaire. Gerrit Vandendriessche, Partner chez Altius et également membre de la LEG, a donné trois autres conseils pour éviter d’avoir maille à partir avec l’Autorité de protection des données dans notre pays. Tout d’abord, répondez toujours aux questions des personnes concernées. Cela vous évitera souvent une réclamation. Ensuite, si l’autorité vous demande des explications, prêtez votre entière collaboration. Enfin, veillez à rectifier l’erreur commise avant même qu’une sentence ne soit rendue. Cela aura un impact positif sur l’amende. »

Le plus important, bien sûr, est qu’il vaut toujours mieux prévenir que guérir. Ne pas se mettre en règle implique de sérieux risques. Ou pour reprendre la formule utilisée pendant le webinaire : « La récréation est terminée. »

Vous trouverez ici une liste des principales sanctions imposées par les Autorités de protection des données en Europe (dressée par EY Law).

A propos de cet article:

Date de publication: 8 juillet 2020

Editeur: Bart Lombaerts