PromZ.be 04-2017

40 promobiss 4/2017 L égislation péen et du Conseil du 24 octobre 1995) date de 1995. Autre- ment dit à une époque où l’on parlait à peine d’internet et encore moins de réseaux sociaux et big data. Il paraît donc logique que les règles soient modifiées de manière à s’aligner sur les évolutions. C hangements Qu’est-ce qui changera exactement à partir de mai 2018 ? Les bases de la directive existante sont conservées, mais de nouvelles dispositions, plus strictes, sont ajoutées. Le règlement offre davantage de transparence pour les citoyens, les personnes concernées, tant en B2C qu’en B2B. Pour les entreprises, il devient plus compliqué d’appliquer les règles. Parmi les principaux changements, le consommateur doit être davantage informé sur la provenance de ses données et l’usage qui en sera fait. Pour l’instant, une déclaration du privacy en six lignes suffit, mais dès 2018, les entreprises devront y ajouter six autres lignes. Cela ne cause aucun problème pour les sites web et l’e-mailing : le site dispose de toute la place nécessaire et l’e-mail peut simplement prévoir un lien renvoyant à la politique de confidentia- lité. Les choses se compliquent pour les médias de dm « conventionnels », tels le mailing direct et le téléphone, ou encore pour une action d’épargne on-pack où la place et le temps sont comptés. Les entreprises doivent également indiquer pendant com- bien de temps les données seront conservées. Le but est qu’elles ne gardent les données des consommateurs que le temps strictement nécessaire, mais ce délai peut varier d’une finalité à l’autre. D roits Le consommateur ou « personne concernée », se voit attribuer des droits supplémentaires. Aux droits existants (droit d’accès, de rectification et d’opposition) s’ajoutent le droit à l’oubli, le droit à la portabilité des données et le droit à la limitation du traitement. Pour les entreprises et organisations qui traitent des don- nées (et quelle entreprise ne le fait pas à l’heure actuelle ? Même un club sportif dispose d’un fichier d’adresses…), une série d’obligations ont été renforcées. L’une d’elles découle du principe de responsabilité (accountability). Une entreprise devra pouvoir prouver qu’elle respecte le règlement. Cette accountability sera même étendue aux responsables du traitement des données comme une entreprise IT, un call-center ou, dans le cas de product media personnalisés (gobelets, T-shirts, casquettes), l’imprimerie à qui l’on envoie un fichier pour la mission en question. Les autorités se montrent plutôt tolérantes envers ces derniers par rapport à la directive existante, mais dans le futur, ils seront responsables de leurs infrac- tions en vertu du nouveau règlement. À cela s’ajoute encore le principe de solidarité. Les entreprises qui ne se conforment pas aux dispositions du règlement risquent de se voir imposer des sanctions par le tribunal. Les amendes pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise. L e data protection manager Une nouveauté est reprise dans le règlement, à savoir que les entreprises doivent s’adjoindre les services d’un data protectionmanager. À ce propos, le Conseil européen précise que « Le règlement prévoit éga- lement la désignation d’un délégué à la protection des données (DPD) dans chaque institution. Le DPD a pour mission de veiller, de manière indépendante, à ce que son institution applique correctement les règles relatives à la protection des données. Il est également chargé de tenir un registre des opéra- tions de traitement des données à caractère person- nel effectuées par son institution. Le DPD soumet en outre au contrôleur européen de la protection des données les opérations de traitement de données susceptibles de présenter des risques au regard des droits et libertés des personnes concernées. » Il faut savoir en outre que ce fonctionnaire doit être externe. En effet, s’il est désigné en interne, il y a conflit d’intérêts et cette personne ne peut donc pas fonctionner de façon indépendante. Il est probable que des institutions indépendantes comme Vincotte par exemple, reprendront ces activités dans leur offre. ko r t > Verordening. Inmei 2018 treedt de nieuwe Europese verordening omtrent dataproctectie (GDPR) in voege. Bedrijven zien hun privacyverplichtingen toenemen. > Meer info. Eén van de grote veranderingen is dat er méér informatie aan de consument gegeven moet worden over hoe men aan data is gekomen en wat men met die data zal doen. > Verantwoordelijkheid. Een van de nieuwe verplich- tingen komt voort uit het principe van verantwoorde- lijkheid. Een bedrijf zal moeten bewijzen dat het de verordening naleeft. Dat wordt doorgetrokken naar de verwerkers van de data of in het geval van geper- sonaliseerde product media de drukkerij die voor die opdracht een bestand krijgt toegestuurd.