Delphine Garnier, Manager Arendt Regulatory & Consulting. (Photo; Arendt)

Delphine Garnier, Manager Arendt Regulatory & Consulting. (Photo; Arendt)

À l’aube de son quatrième anniversaire, le règlement général sur la protection des données (RGPD) continue de faire parler de lui. Retour sur les évolutions et les tendances à suivre en matière de protection des données à caractère personnel dont les organisations devraient tenir compte en 2022, selon Delphine Garnier, Manager Arendt Regulatory & Consulting.

Avec la mise en place du RGPD, l'Union européenne (UE) a donné un exemple incroyable au reste du monde en formulant un cadre harmonisé au sein de l’ensemble des Etats membres concernant la manière dont les organisations collectent, stockent et transmettent les données à caractère personnel.

De nombreuses entreprises, organismes publics ou privés, associations, ont dû reconsidérer (ou envisager pour la première fois) leurs pratiques en matière de protection des données à caractère personnel.

La protection des données devient mondiale

En tant que première initiative d’ampleur vers l’harmonisation des obligations en matière de protection des données à caractère personnel, le RGPD inspire les législations dans le monde entier :  de la loi générale brésilienne sur la protection des données personnelles au projet de loi chinois sur la protection des données personnelles, à l’approbation aux États-Unis, pour la Californie et la Virginie d’une législation s'inspirant du RGPD pour n'en citer que quelques-uns.

Aujourd'hui, plus de 130 pays (sur les 194 que compte le globe) se sont déjà engagés dans la formulation, ou la reformulation, d’une législation sur la protection des données à caractère personnel afin de permettre que les citoyens et leurs données bénéficient de protections plus rigoureuses et d’un meilleur contrôle. Il semblerait que ce soit désormais une évidence pour beaucoup d’entreprises dans le monde de faire des affaires tout en se conformant aux principes RGPD – y compris pour les acteurs luxembourgeois, en particulier ceux engagés dans des relations d’affaires à l’international.

Hausse des amendes RGPD en 2021

Après deux années de transition, 2021 a été marquée par une nette augmentation du nombre de sanctions liées au RGPD dans l'ensemble de l'UE. Les sanctions ne visent pas uniquement les GAFA (Google, Apple, Facebook, Amazon) ou les grands groupes, mais bien l’ensemble des organisations publiques et privées, quels que soient leur taille ou leur secteur d’activité. Au Grand-Duché de Luxembourg, la Commission Nationale pour la protection des données (« CNPD ») est l’autorité de contrôle en matière de protection des données à caractère personnel. Cette dernière a rendu publiques ses décisions et sanctions administratives, 48 ayant été publiées sur une base anonyme en 2021 pour des montants allant de 1.000 à 18.000 euros. S’il s’agissait de sanctions plutôt « clémentes » à ce stade, rappelons qu’en vertu de l’article 83 du RGPD, les amendes peuvent s’élever dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

La période d’apprentissage étant très probablement révolue du point de vue des autorités de contrôle en matière de RGPD, nul doute qu’une hausse des amendes liées est à prévoir.

Le b.a.-ba de la conformité

Un site internet est la première vitrine sur laquelle la CNPD peut se pencher pour apprécier le niveau de conformité des traitements de données par une entité vis-à-vis du RGPD.

A cet égard, pour respecter les droits des utilisateurs en matière de protection des données à caractère personnel et ainsi éviter le risque d’amendes, il convient en particulier de s’assurer que les éléments suivants sont en place :

-       Une notice d’information conforme au RGPD : elle fournit aux utilisateurs les informations dont ils ont besoin pour exercer avec succès leurs droits sur les données.

-       Une bannière cookie adéquate : en vertu du RGPD, le consentement doit être « librement donné, éclairé et sans ambiguïté ». Les internautes doivent consentir préalablement au dépôt de certains cookies (ou traceurs) effectué par un site web sur leur terminal.

Rappelons également, pour les organisations, l’obligation de tenue d’un registre des activités de traitements des données, de mise en place de politiques internes et de notices externes (par exemple à l’attention des clients, membres du conseil d’administration), et de gestion des transferts vers les contreparties externes, locales ou à l’étranger (documentation contractuelle et contrôle de la bonne mise en place des dispositions prévues).

Défis de mise en conformité pour 2022 

Alors que les entreprises stockent de plus en plus de données sur des systèmes reposant sur une infrastructure informatique en nuage (« cloud »), et que les initiatives de digitalisation se développent tous azimuts, le défi de la protection des données devient irrémédiablement plus complexe. Les consommateurs vont exiger une plus grande transparence sur l'utilisation de leurs données numériques et sur la manière dont les entreprises appliquent les contrôles de sécurité – au point d’en faire un critère du processus décisionnel dans leur comportement d’achat.

Dans ce contexte de transformation digitale globalisée, la qualité de la protection des données pourra dès lors apparaître comme un facteur de différenciation plus qu’une contrainte règlementaire.

Que vous soyez une société de gestion, un fonds d'investissement, une banque, une entreprise commerciale ou industrielle, n’attendez plus pour demander un conseil réglementaire afin d’évaluer votre niveau actuel de conformité au RGPD et combler les lacunes identifiées. Arendt Regulatory & Consulting est à votre disposition pour vous accompagner et ainsi répondre aux exigences imposées par le règlement.

Contact :  .

Ecrit par , Manager Arendt Regulatory & Consulting.