RGPD : L'Autorité de protection des données accompagne les entreprises

Lentement mais sûrement

Le RGPD fête ses trois ans d’entrée en vigueur. Un délai suffisant pour assimiler les règles et se déclarer en conformité pourrait-on penser. La réalité s’inscrit plutôt dans une conscientisation croissante mais il reste des étapes à franchir. “Les entreprises se conforment lentement mais sûrement. Nous traversons également une ère de recours massif au numérique et de nouveaux types de données sont apparus. Un processus continu qui génère de nombreuses questions. Nous sommes là pour y répondre”, souligne Aurélie Waeterinckx, porte-parole de l’Autorité de protection des données (APD).

Trop peu d’organisations ont recours au code de conduite pour démontrer le respect des obligations RGPD.

Aurélie Waeterinckx, woordvoerster van de Gegevensbescherminsautoriteit.

Émergence des DPO

Entre-temps, un nouveau métier est né : le DPO (Data Protection Officer) ou Délégué à la Protection des données. Souvent externe à l’organisation, ce véritable pilote de la mise en conformité est clé pour avancer. Tout commence par un audit des données personnelles traitées dans l’organisation, pour ensuite mettre en place les mesures correctives éventuelles. Selon la porte-parole, le DPO est un partenaire pour l’APD. “L’objectif commun est d’éviter les sanctions grâce à une bonne préparation en amont.”

Le code de conduite comme outil

Si l’entreprise doit s’adapter au règlement, le RGPD doit continuellement s’adapter à la révolution numérique et aux nouveaux usages liés à ces technologies. Pour Aurélie Waeterinckx, il y a des outils existants à exploiter : “Trop peu d’organisations ont recours au code de conduiteNouvelle fenêtre pour démontrer le respect des obligations RGPD. S’il ne garantit pas la conformité au règlement, il représente un atout dans l’évaluation de cette conformité. Ici aussi nous sommes là pour guider les entreprises.”

Le réflexe RGPD doit naître avant le démarrage d’un projet.

Aurélie Waeterinckx, porte-parole de l’APD

Médiation, sanctions et accompagnement

L’année 2020 a été synonyme d’une forte augmentation des plaintes (+290 %) et des notifications de fuites de données (+25 %). Dans le top trois des plaintes, on retrouve le marketing direct, le Covid-19 et le traitement des données par les villes et les communes. “La manière la plus rapide de rétablir ses droits reste la médiation. Cela représentait 89 dossiers en 2020. Au rayon des amendes et des sanctions, nous avons émis 83 décisions ayant abouti à 78 sanctions dont 19 amendes. L’objectif est de diminuer drastiquement ce résultat en accompagnant les organisations en amont”, rappelle la porte-parole, Aurélie.

Le réflexe RGPD

Mais quelles sont les principales erreurs sur lesquelles les entreprises trébuchent encore aujourd’hui ? Selon Aurélie, la pole position est occupée par le marketing sans consentement et le manque de transparence en général. Les utilisateurs ne sont pas (ou peu) informés du traitement réservé à leurs données personnelles. “Nous relevons aussi le manque d’importance attribué au DPO dans l’entreprise ou encore le manque de réflexion préalable. Le réflexe RGPD doit naître avant le démarrage d’un projet.”

Mieux vaut prévenir que guérir

L’espoir d’Aurélie Waeterinckx est d’un jour constater une conformité totale des entreprises. Pour y arriver, l'Autorité de protection des données actionne le plus d’outils possibles afin de sensibiliser et conseiller. Outre les 4.000 questions traitées en première ligne en 2020, le site internetNouvelle fenêtre est le premier vivier d’informations qui rassemble, entre autres, les publications des décisions. “Le moyen idéal de tirer des enseignements et se préparer soi-même.

Un abonnement à notre newsletter permet également une mise à jour rapide et pertinente.” L’APD n’oublie pas les PME grâce au projet ‘Boost’Nouvelle fenêtre (un support pratique spécifique) ni les DPO via DPO-ConnectNouvelle fenêtre : collecter, filtrer, organiser et partager les connaissances avec les professionnels de la protection de la vie privée en Belgique.