Le RGPD désormais assorti d’accents ‘noirs, jaunes et rouges’

Le RGPD (Règlement général pour la protection des données, General Data Protection Regulation en anglais), vous connaissez, sans aucun doute ! Mais saviez-vous que notre royaume a adopté récemment ses propres dispositions en matière de protection des données personnelles ? Pour ce faire, le cadre fixé par le RGPD a bien entendu été respecté.

Nous vous proposons de découvrir les nouvelles dispositions, entrées en vigueur ce 5 septembre. Soyez rassuré, l’impact pour l’employeur ‘lambda’ est limité. Il faut surtout retenir que des sanctions pénales « noires, jaunes, rouges » sont mises en place.

Sanctions administratives

Pour rappel, les entreprises qui ne respectent pas le RGPD peuvent se voir infliger une lourde amende administrative, qui peut s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuelles mondial de l’entreprise.

La loi belge a prévu que les autorités publiques sont exclues du régime des amendes, sauf les personnes morales de droit public qui offrent des biens et services.

Sanctions pénales

De nouvelles sanctions pénales sont par ailleurs prévues par le législateur belge.  Ainsi, par exemple, une amende de 250 euros à 15.000 euros peut être infligée lorsque :

  • 1° les données à caractère personnel sont traitées sans base juridique, y compris les conditions relatives au consentement et au traitement ultérieur ;
  • 2° les données à caractère personnel sont traitées en violation des conditions imposées, par négligence grave ou avec intention malveillante ;
  • 3° le traitement ayant fait l’objet d’une objection est maintenu sans raisons juridiques impérieuses ;
  • 4° le transfert de données à caractère personnel à un destinataire dans un pays tiers ou à une organisation internationale est effectué en violation des garanties, conditions ou exceptions prévues, par négligence grave ou avec intention malveillante ;

et ainsi de suite…

La loi a aussi prévu des procédures pour éviter l’application de deux sanctions (administrative et pénale) pour une même infraction à la loi.

Données dites ‘sensibles’

Il s’agit des données à caractère personnel liées à la santé, à l’appartenance à un syndicat, au passé judiciaire, … Leur traitement est en principe interdit.

  • Une exception est prévue pour des motifs d’intérêt public. Dans ce cadre, la loi belge contient une disposition au bénéfice des associations et fondations pour la réalisation de leur objet social.
  • Pour rappel, le RGPD a aussi prévu une exception lorsque des obligations de droit du travail doivent être remplies. La loi belge n’ajoute rien à ce niveau.
  • Attention, aucune exception n’est prévue en Belgique pour le contrôle des accès via des données biométriques. L’employeur qui souhaite recourir à un système d’authentification via ces données reste donc dans une position délicate.
  • Traitement des données génétiques, biométriques et relatives à la santé : les conditions antérieures sont confirmées. Concrètement, il faut créer une liste des personnes ayant accès à ces données (avec une description précise de leur fonction), qui doit être mise à la disposition de l’Autorité de Protection des Données (APD), et veiller à que ces personnes soient soumises à une obligation de confidentialité.
  • Traitement des données liées au passé judiciaire : ce traitement reste interdit aux employeurs, même si la personne concernée donne son consentement (dans le cadre de la relation de travail, elle est en effet subordonnée à son employeur).

Délégué à la protection des données (DPO)

La loi belge ajoute deux hypothèses dans lesquelles un DPO doit être mis en place et précise ses missions.

Plaintes, actions en cessation et/ou dommages et intérêts

En Belgique, les personnes qui s’estiment lésées peuvent se faire représenter par une organisation ou association qui est active en matière de protection des données.

Champ d’application de la loi belge

Notre loi belge s’applique au traitement de données à caractère personnel :

  • Lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge ;
  • Lorsque les personnes concernées se trouvent sur le territoire belge, si le traitement est effectué par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire de l’Union européenne lorsque les activités de traitement sont liées :
    • 1° à l’offre de biens ou de services à ces personnes concernées sur le territoire belge
    • ou 2° au suivi de leur comportement qui a lieu sur le territoire belge.

Attention, lorsque le responsable du traitement est établi dans un Etat membre de l’Union européenne et fait appel à un sous-traitant établi sur le territoire belge, le droit de l’Etat membre en question s’applique au sous-traitant pour autant que le traitement a lieu sur le territoire de cet Etat membre.

Si vous avez loupé le coche : comment appliquer le RGPD dans l’entreprise avec l’aide de Securex ?

Un employeur peut introduire une politique de confidentialité pour les travailleurs occupés au sein de son entreprise. Une politique de confidentialité énumère les droits du travailleur et l’informe également du traitement des données à caractère personnel le concernant.  Une politique de confidentialité dans laquelle toutes ces informations sont clairement exposées permet en principe à l’employeur de satisfaire à son obligation d’information pour toute la durée du contrat de travail avec le travailleur. Dans ce cas, chaque traitement de données à caractère personnel ne doit pas faire l’objet d’un document distinct.

Nous avons rédigé un modèle de politique de confidentialité à votre intention. Vous recevrez en plus un registre de données gratuit qui vous permettra de faire d’une pierre deux coups et de satisfaire également à votre obligation générale de documentation !