Pourquoi les nouvelles règles GDPR sur la protection des données privées importent pour les asbl

La presse en a fait largement état ces derniers mois: le droit européen de la protection des renseignements personnels change à partir de l’année prochaine et les nouvelles règles sont bien plus strictes que les actuelles. Pourtant bon nombre d’organisations, notamment dans les secteurs non liés à internet et plus particulièrement dans le secteur non marchand, sont encore dans le flou à propos de l’impact sur leur organisation.

Nouvelle réglementation européenne pour la protection de la vie privée?

À la fin de l’année dernière l’UE a définitivement approuvé la General Data Protection Regulation (GDPR, ou en français RGPD – Règlement général sur la protection des données). Ce règlement doit à partir de mai 2018 définir de manière uniforme dans toute l’Union européenne les règles que les entreprises et les organisations doivent prendre en compte lorsqu’elles conservent ou utilisent des données à caractère personnel. Ce GDPR remplace la législation nationale des États membres qui date essentiellement du début des années nonante et qui n’est donc plus adaptée depuis longtemps à la réalité digitale du vingt-et-unième siècle.

Qu’en est-il donc de ce GDPR?

L’économie du vingt-et-unième siècle fonctionne sur base de données. Les données de la clientèle, les bases de données marketing avec les profils de clients potentiels (ou par exemple de donateurs), « big data » sont devenus le corps de l’activité de nombre d’entreprises et d’organismes. Cela a causé une prolifération d’applications pour le traitement de ces données, en laissant trop souvent de côté l’intérêt du citoyen ou du consommateur.

Afin de bien canaliser cette « économie fondée sur les données », l’UE a élaboré cette General Data Protection Regulation.

Ce règlement se décompose en plusieurs parties, dont deux sont d’une importance directe pour à peu près toutes les entreprises et toutes les organisations, qu’ils soient principalement actifs en ligne ou plutôt dans des activités classiques hors ligne.

Une première série de règles précise de quelle manière des données à caractère personnel peuvent être collectées. On y indique notamment dans quels cas un opt-in est nécessaire, comment sont protégés les mineurs et de quelle manière les données peuvent être transmises à des tiers. On y retrouve aussi des règles strictes concernant le profilage de clients ou de prospects. Bon nombre de ces règles existaient déjà auparavant, mais elles deviennent nettement plus strictes à partir de 2018.

Une deuxième série de règles est par contre vraiment innovante. Elles traitent de procédures internes et d’organisation. Toute organisation se voit ainsi obligée d’effectuer un « Privacy Impact Assessment », une sorte d’audit sécuritaire par lequel l’organisation doit examiner la manière dont elle traite les données et quels sont les risques de perte ou de vol des données. Sur base de cette analyse il faudra établir un plan d’action pour écarter les risques. Pas mal d’organisations se verront contraintes d’engager un « Data Protection Officer », une sorte de conseiller en prévention pour la vie privée. Il pourra s’agir d’un consultant externe disponible quelques heures par semaine ou par mois.

Le règlement contient encore plusieurs autres nouveautés, comme par exemple une obligation de notification des fuites de données: lorsque des données se perdent ou sont volées, les autorités et les personnes concernées doivent en être informées dans les 72 heures.

Cela me concerne-t-il également en tant qu’ASBL?

Ce qu’il est important de savoir c’est que l’UE n’a pas limité ces nouvelles règles aux seuls acteurs commerciaux de l’internet. On a consciemment opté de faire valoir ces nouvelles règles pour tous ceux qui traitent des données (à l’exception bien sûr des personnes physiques qui conservent des contacts à des fins privées). Cela signifie que ces règles seront également valables pour les moyennes et les petites entreprises et -ce qui vous importe le plus- également pour les ASBL et même les associations de fait, même si celles-ci n’ont aucun but lucratif ou aucun comportement commercial.

Étant donné que la règlementation ne fait pas de différence entre les grandes et les petites entreprises, ni entre les entreprises avec but lucratif et les ASBL, il faudra que, même dans le secteur non marchand, chaque ASBL et chaque association se mette en conformité d’ici mai 2018. Votre ASBL gère assurément des données concernant les membres, donateurs, clients, membres du personnel, membres du C.A., … La mission est dans bon nombre de cas encore plus ardue que pour les organismes commerciaux, parce que dans le secteur non marchand on rassemble et traite très souvent des données que la règlementation considère comme des « données sensibles » et qui pour cette raison nécessitent une protection particulière. Il s’agit par exemple de données médicales, de préférences politiques ou sexuelles, de la race, de convictions religieuses, d’origine, affiliation syndicale, etc.

Qu’y a-t-il lieu de faire en préparation à la GDPR?

Il est avant tout important de savoir que mai 2018 est une date butoir. La règlementation entre en vigueur à cette date et aucune période de transition n’est prévue pour pouvoir encore se mettre en règle. Dès mai 2018 les organismes peuvent donc se voir infliger des amendes (particulièrement élevées). Par ailleurs, à partir de ce moment-là mais sans doute déjà bien avant, les partenaires et fournisseurs demanderont aux organisations de démontrer qu’elles sont conformes au GDPR. Une des obligations de la nouvelle règlementation est de ne travailler qu’avec des fournisseurs ou partenaires « sûrs » et de partout et toujours prévoir des contrats écrits avec les garanties nécessaires. Il est donc très important de se mettre au travail à temps.

À partir de l’année prochaine les organisations doivent également tenir compte de l’obligation de tenir un registre des données, de l’obligation de notification en cas de fuites de données, de la nécessité de désigner un Data Protection Officer si elles remplissent les conditions pour cela, …

Ce qu’il faut exactement dépend d’un organisme à l’autre. En grandes lignes il faudra prévoir une ‘vérification relative à la protection de la vie privée’ et une ‘évaluation de l’impact sur la protection des données’, avec indication de quelles données sont utilisées au sein de l’organisme, d’où elles proviennent, qui y a accès, quels sont les partenaires ou sous-traitants qui reçoivent ces données (p.ex. organisme de marketing en ligne, société d’hébergement de données, pouvoirs publics, autres ASBL), etc. pour parvenir de cette manière à une estimation du risque pour la sécurité.

Cette évaluation pourra alors servir de base pour effectuer les adaptations nécessaires sur trois niveaux: prévoir une protection supplémentaire d’ordre technique, adapter des processus au sein de l’organisation et adapter les contrats avec les fournisseurs, les contrats de travail, les règlements du travail, l’accès de bénévoles à l’information, « Bring Your Own Device policies », etc.

Beaucoup d’organisations devront également corriger la manière dont les données sont récoltées et conservées. Les règles sont en effet devenues nettement plus strictes en ce qui concerne les opt-ins, l’information aux personnes concernées, le traitement des données de mineurs, la cession à des tiers, …

Beaucoup d’organisations risquent de constater que cela leur occasionnera plus de travail que prévu initialement. Donc … ne tardez pas à vous y mettre!