11 Sep Le RGDP et le registre des activités de traitement
Le nouveau règlement européen sur la protection des données (abrévié GDPR en anglais et RGPD en français) entrera en vigueur le 25 mai 2018. Ce règlement apporte de nombreux changements directement applicables en droit belge. Les entreprises sont soumises à des obligations importantes dans un souci de transparence et de protection accrue des données personnelles, et il est temps d’initier les procédures de mise en conformité d’ici 2018.
Une des nouvelles obligations imposées par le règlement européen consiste, entre autres, en la tenue d’un registre des activités de traitement. Toutes les entreprises qui traitent les données personnelles sont pour l’instant obligées (sauf certaines exceptions) de soumettre une déclaration préalable à la Commission pour la Protection de la Vie Privée (CPVP). A partir du 25 mai 2018, cette obligation de déclaration est supprimée, mais les entreprises devront alors tenir un registre qui doit pouvoir être mis à disposition de la CPVP à première demande en cas de contrôle.
Cette obligation est mise à charge non seulement du responsable de traitement, mais également du sous-traitant, ce qui est une nouveauté. Le champ d’application de la protection des données a donc été fortement élargi et un grand nombre d’entreprises est désormais concerné. On pensera évidemment à toutes les entreprises actives dans le secteur informatique mais pas seulement. Quasiment toutes les entreprises sont amenées à traiter des données à caractère personnel, ne fût-ce que pour la gestion de leur affaires et de leur personnel.
Concrètement, les informations relatives au traitement qui doivent figurer dans ce registre sont les suivantes : dans quel but les données sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation comment les données sont-elles sécurisées, où sont-elles localisées/transférées…
Le 14 juin 2017, la CPVP a issu une recommandation (FR / NL ) pour clarifier certains points et guider la mise en conformité. La tenue d’un tel registre est importante dans la mesure où des sanctions, notamment financières, peuvent être infligées en cas de défaut de tenue du registre. Ces sanctions ne sont pas négligeables dans la mesure où elles peuvent s’élever dans certains cas jusqu’à 10.000.000€ ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
D’une manière ou d’une autre, vous êtes probablement concerné par le nouveau règlement. L’équipe de Cairn Legal a mis en place un programme et développé des outils pour vous accompagner dans votre mise en conformité. N’hésitez pas à contacter Me Guillaume RUE (guillaume.rue@cairnlegal.be) pour plus d’informations.
Avec nos salutations distinguées.
L’équipe Cairn Legal
Avocats Associés Frédéric de Patoul | Pierre Philippe Harmel | Frank Weinand | Didier Chaval | Bernard Vandenkerckhove | Carl Vander Espt | Guillaume Rue
Avocats Dorothée Cardon de Lichtbuer | Julie Docquier | Virginie Schoonheyt | Bojana Salovic | Bertrand Margraff | Frédéric Paque