Envue

La loi belge n’est guère contraignante, mais l’Europe se montrera beaucoup plus stricte

  • Share

Actuellement, la législation belge sur la protection des données personnelles est encore peu contraignante. Ce sont surtout les risques liés à leur réputation qui incitent les entreprises à adopter une politique en la matière. Mais un règlement européen beaucoup plus strict va bientôt entrer en vigueur. Et prévenir coûtera alors beaucoup moins cher que guérir.

« La base légale de la protection de la sphère personnelle réside dans une loi du 8 décembre 1992 relative à la protection de la vie privée. Cette législation dans sa forme actuelle est notamment basée sur la directive européenne du 24 octobre 1995. Sa transposition dans le droit belge s’avère beaucoup moins sévère que chez nos voisins, surtout en matière de justiciabilité. Les amendes sont particulièrement basses, et son application n’est presque jamais contrôlée de manière active. Les organisations doivent surtout veiller à ce que l’absence d’une politique de protection de la vie privée ne nuise pas à leur réputation. La loi fixe bien quelques principes, notamment sur la manière dont les données personnelles doivent être traitées. Leur traitement n’est possible que s’il est fait de manière loyale et licite, mais aussi s’il est lié à un objectif donné. Une organisation peut collecter suffisamment de données, mais pas plus que nécessaire pour l’objectif spécifique qu’elle vise. Et le principe de transparence exige que l’on informe la personne concernée sur l’utilisation de ces données », explique An Meheus, avocate chez HVG.

« Le règlement européen qui va bientôt entrer en vigueur aura cependant un effet direct sur tous les Etats membres. La Belgique ne pourra pas en donner d’interprétation propre, plus souple. En principe, la proposition de règlement du 25 janvier 2012 prendra effet d’ici deux ans. Et elle impose des normes beaucoup plus sévères. Ainsi les entreprises de plus de 250 collaborateurs seront-elles tenues de désigner un « Data Privacy Officer ». Les autorisations relatives à l’utilisation de données, qui sont encore très implicites aujourd’hui, deviendront beaucoup plus explicites. Les nouvelles règles auront également une plus grande force exécutoire. Toute fuite de données personnelles devra si possible être signalée à la commission de protection de la vie privée dans les 24 heures. Les contrevenants seront également passibles d’amendes qui pourront atteindre 450.000 euros par infraction, voire 2% du chiffre d’affaires annuel dans certains cas. La commission de protection de la vie privée pourra intervenir de manière beaucoup plus active et on s’attend à ce qu’elle en profite pour effectuer des contrôles à l’improviste dans les entreprises, par exemple », poursuit An Meheus.

Prendre les choses en mains

L’avocat conseille aux dirigeants d’entreprises d’appliquer d’ores et déjà une politique stricte de protection de la vie privée et de bien documenter le traitement des données personnelles en établissant des politiques adéquates (documents stratégiques). Il est également crucial de sensibiliser chaque membre de l’entreprise. « N’allez pas trop loin dans l’attribution d’autorisations d’accès aux données personnelles, et ne les maintenez pas pendant une durée inutile. Veillez également à la transparence en informant clairement les personnes de ce qu’il advient de leurs données sur les sites et les documents d’achats. Pour les collaborateurs, vous le ferez par le biais du contrat de travail.

N’oubliez pas que chacun a le droit de contrôler et de corriger ses données personnelles. Les données personnelles sont dispersées dans toute l’entreprise et il est difficile d’en obtenir une vue globale. Pourtant, c’est essentiel. Des modifications importantes vont intervenir et elles auront un impact non négligeable sur les entreprises. Cela vaut d’ailleurs également pour les organisations publiques ou les ASBL ; y compris pour les hôpitaux, confrontés à des données personnelles sensibles qui font l’objet de règles encore plus strictes. »