NEWS

News Archive

Résolution pour la nouvelle année #1 : se familiariser avec le RGPD … et s’y conformer

janvier 10, 2018

Le 25 mai 2018, un nouveau règlement sur la protection des données sera d’application. Ce nouveau règlement (au nom très accrocheur) s’appelle plus précisément le Règlement général sur la protection des données (RGPD). Il peut sembler très technique et complexe, mais les membres du Forum européen de la Jeunesse devront s’y familiariser et faire le maximum pour s’y conformer – car s’ils ne le font pas les sanctions peuvent être sévères.

 

Le règlement abroge un ancien règlement de 1995 ! Vous reconnaîtrez que la manière dont nous gérons les données a changé drastiquement depuis lors. Vu que la question de la confidentialité et de la protection des données préoccupe grandement les citoyens de nos jours, l’Union européenne et ses Etats membres ont entamé les négociations en 2012 et adopté une nouvelle réforme de règles sur la protection des données. En 2016 cela a abouti à l’adoption d’une Directive et d’une réglementation sur la question. C’est cela qui compte véritablement pour les membres du Forum européen de la Jeunesse. Toutes les organisations membres (y compris nous-mêmes) traitons indubitablement tel ou tel type de données.

 

Le RGPD est une réglementation de l’UE, ce qui signifie qu’il sera d’applicabilité directe et qu’il aura un effet immédiat dans les 28 Etats membres actuels de l’UE. Toutefois, les Etats membres de l’UE ne sont pas les seuls concernés ; les Etats membres de l’Espace économique européen (EEE : UE & Liechtenstein, Islande et Norvège) devront eux aussi être au courant de ce règlement.

 

La plupart des pays européens disposent déjà de lois relatives à la protection des données qui établissent la définition d’une donnée et la manière dont elle doit être traitée. Le RGPD veut faciliter cette tâche et la rendre plus cohérente en ayant un seul règlement sur la protection des données valable à travers l’ensemble de l’UE (et au-delà).

 

Pour que vous saisissiez l’essentiel du RGPD, nous avons sélectionné trois points dans ce vaste règlement qui devraient vous pousser à réfléchir et à vous dire « Oh, il faut que je m’y mette ! ».

 

Qu’est-ce qu’une donnée ?

L’un des nombreux éléments que définit le RGPD de façon très large est le terme « donnée » : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après nommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » (Article 4)

 

Cela signifie que si, en tant qu’organisation, vous conservez ou traitez des données de noms et d’adresses email, vous devez vous assurer de vous conformer au règlement. Il vous faudra être encore plus prudent si vous conservez des données à des fins de profilage. Il pourrait par exemple s’agir de résultats d’enquêtes qui spécifient l’une ou l’autre information personnelle telle que le genre, l’âge, les opinions politiques, l’orientation sexuelle, l’identité de genre, les caractéristiques sexuelles, l’appartenance ethnique, la religion ou le handicap. Il est plus que probable que ces données soient interprétées comme étant des données sensibles, et si vous ne vous conformez pas au règlement les sanctions pourront être encore plus sévères.

 

Il reste encore énormément de questions en suspens par rapport à la définition des données. Le mieux est de vérifier auprès de vos autorités nationales de régulation pour garantir que vous sachiez exactement comment les données sont interprétées dans vos pays respectifs.

 

Il s’agit également de la manière dont vous vous comportez

Le fait de découvrir ce qu’est une donnée est une chose. Une autre chose est la façon dont vous traitez et vous comportez avec vos données. Cela signifie que vous devez analyser le moindre système que vous utilisez ainsi que la manière dont vous traitez les données au quotidien. Enormément de discussions ont eu lieu autour des opérateurs extérieurs d’exploitation des données comme MailChimp ou les applications dématérialisées. Une fois encore, renseignez-vous auprès des régulateurs nationaux de données pour savoir exactement comment ils interprètent les données traitées.

 

Le consentement est la clé

Un principe clé du RGPD est le consentement éclairé et explicite. Toutes les données doivent avoir un consentement enregistré, et ce consentement doit être positif (opt-in) et non une case pré-cochée dissimulée sur votre site web.

 

Mais… oops, quid de la liste de distribution pour l’envoi de la newsletter de votre organisation ? Avez-vous le consentement enregistré de TOUS les destinataires ? Si tel n’est pas le cas, vous devrez définitivement attendre d’envoyer votre newsletter du mois de mai avant d’avoir réglé ce point !

 

Le consentement s’applique également à d’autres types de données – notamment les données de profilage issues des résultats d’enquêtes mentionnés plus haut. Il y a également eu des discussions sur la prise de photos et de vidéos et s’il faut que vous ayez le consentement éclairé et explicite de toutes les personnes reconnaissables dans vos photos et vidéos.

 

Une fois encore, et pour ne pas dire encore et toujours, vérifiez auprès de vos régulateurs nationaux pour vous assurer que vous sachiez exactement comment cela est interprété dans votre pays.

 

Les sanctions

Les régulateurs nationaux de données ont le pouvoir de nommer et blâmer les organisations qui n’auront pas suivi le règlement, et ils peuvent infliger des amendes et entamer des poursuites pénales.

Si vous êtes signalé comme ayant commis de graves infractions, les sanctions seront très sévères : 2% et 4% du chiffre d’affaires annuel global total en fonction de la nature de l’infraction, ou 10 millions € (le montant le plus élevé étant retenu). Aïe !

 

Que faut-il faire ?

Si vous n’avez pas encore reçu de conseils, la meilleure chose à faire est de contacter vos régulateurs nationaux. Ils sont responsables de la mise en application du règlement dans votre pays. Cela signifie également que les vastes définitions du règlement seront plus que probablement interprétées différemment.

 

Si vous avez accès à des conseils juridiques en matière de lois/réglementations relatives à la protection des données nationales, il est évident que nous vous le recommandons vivement. Les trois points mentionnés ci-dessus ne sont que quelques-uns des éléments les plus importants de ce vaste règlement.

 

Bonne année 2018 !

 

N.B. Le Forum européen de la Jeunesse a entamé le processus d’investigation afin de savoir comment se conformer au règlement dans le contexte de la Belgique. Cela nous demande énormément de temps et nous ne sommes par conséquent pas en mesure de prodiguer des conseils aux organisations à titre individuel. C’est une affaire complexe qui dépend grandement du contexte national, de la structure, des systèmes et du comportement organisationnels.


European Youth Forum AISBL

Rue de l’Industrie 10, 1000 Brussels

Tel.: +32 2 793 75 20
Fax : +32 2 893 25 80
youthforum@youthforum.org

With the support of
The European Commission
The European Youth Foundation of the Council of Europe