RGPD : ce qui va changer pour vous le 25 mai

Depuis plusieurs semaines, vous recevez sans doute, comme chaque Belge, des demandes d’adhésion à des nouvelles conditions d’utilisation. Cela peut prendre la forme d’appels téléphoniques, d’e-mails provenant de magasins de chaussures, de société de téléphonie, de grandes surfaces ou encore un message Facebook. Ça vous emm… même sans doute un peu. 

Mais c’est pour la bonne cause. C’est que, ces dernières années, vos données personnelles ont été siphonnées par ces mêmes sociétés au travers des cartes de fidélité (qu’elles soient virtuelles ou non), de commandes lors d’achat en ligne ou de créations de comptes sur le web. Or, le 25 mai prochain, le RGPD (Réglement général sur la protection des données, ou GDPR en anglais) entre en vigueur pour mieux protéger ces informations du traitement qu’en font les entreprises et leur appliquer une politique de transparence. Ce nouveau règlement concerne autant les Facebook, Twitter, Instagram et autres que les entreprises traitant des données sensibles (hôpitaux, banques….), ou même les acteurs sans but commercial comme les ASBL, les clubs de sport ou les écoles. 

Ce qui change pour vous

Pour les autorités européennes, le temps était venu de responsabiliser les acteurs et de mettre fin à certaines dérives: on ne peut transmettre n’importe comment les données bancaires ou paramédicales par exemple. Aujourd’hui, le citoyen n’est pas toujours pleinement informé de ce que fait telle ou telle société de son adresse e-mail, de ses habitudes d’achat ou des données de la composition de son ménage. Le 25 mai, le droit à l’effacement entre en vigueur pour chaque citoyen. Les entreprises auront un délai pour supprimer les données qu’elles possèdent sur une personne. Si elles décident de les garder, elles devront prouver qu’elles ont obtenu le consentement de la personne. Enfin, le citoyen possédera aussi le droit à la portabilité de ces données: il pourra demander à une entreprise de les transférer à une autre entreprise. 

Qui est concerné ?

Tous les secteurs d’activité sont touchés. Les ONG, par exemple, possèdent des informations sensibles concernant les donateurs et les bénéficiaires (dates de naissance, versement…). Quant à Facebook et consorts, elles devront permettre à leurs utilisateurs d’accéder à toutes les informations qu’elles possèdent sur eux. Notez cet effet collatéral pas anodin: WhatsApp sera désormais interdit aux moins de 16 ans suite à l’entrée en vigueur de la RGPD. 

Dans la vie quotidienne, les clubs sportifs, les comités des fêtes, les écoles et les associations d’anciens élèves devront aussi s’y plier aussi. Même les communes et les CPAS sont concernés. À Namur, le bureau économique de la province, le BEP, les conscientise: “Les Communes gèrent un grand nombre de données, que ce soit dans le cadre de leur mission de base (état civil, population, enrôlement des taxes…), de la gestion de leur propre personnel, de l’organisation de services à la population, de la communication vers le citoyen.” 
Enfin, ce contrôle touche inévitablement le domaine de la santé. Les institutions hospitalières seront désormais attentives au traitement des données de santé, administratives, financières, sociales des patients mais aussi de leur travailleur. Sans oublier les données des data centers realtives à des applications mobiles d’e-santé dans le cloud. De leur côté, les établissements bancaires et les assurances ont demandé depuis plusieurs semaines des consentements explicites à leur client.

Ce qui change pour les sociétés

Pour les entreprises, cette nouvelle réglementation impliquera l’engagement ou la nomination d’une personne responsable de leur protection. “Les sociétés possèdent de nombreuses données sur les membres de leur personnel: nom, prénom, sexe, âge, adresse, mais aussi CV de candidats, les évaluations, des certificats médicaux, des lettres d’avertissement, des photos sur l’intranet…Elles n’en ont pas toujours conscience elles-mêmes”, explique-t-on chez Acerta, le groupe spécialisé dans les ressources humaines. Pour de nombreuses sociétés, la relation avec le client va devoir évoluer comme dans le marketing: les e-mailings vont nécessiter quelques adaptations (vérifier le contenu de la page “charte vie privée”, contrôler les différents formulaires en ligne, veiller à ce que le consentement soit recueilli de façon libre, via une case qui ne peut être précochée…). 

Fini, grâce au RGPD, le temps où les sociétés abusaient de concours, par exemple, pour soutirer des données privées. Même si du côté de la Belgian association of Marketing, on espère un assouplissement ou au moins une discussion avec les autorités compétentes: “Dans le marketing direct, nous devons conserver des clients et en recruter de nouveaux. Si la législation RGPD était appliquée de façon trop stricte cela ne serait plus possible.” En attendant, tous les acteurs doivent se mettre aux normes avant le 25 mai sous peine de sanction. En cas de défaut de consentement, celles-ci pourraient atteindre près de 4% du chiffre d’affaires.