Le 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) est entré en vigueur. La loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et mise en œuvre du Règlement (UE) 2016/679 a complété le cadre législatif luxembourgeois en la matière.
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne et donne aux citoyens plus de contrôle sur leurs données personnelles.
Qui est concerné ?
Le RGPD vise tous les organismes et les entreprises (quelle que soit leur taille, leur lieu d’implantation et leur activité) dès lors qu’ils traitent de données à caractère personnel. Une donnée à caractère personnel étant toute information se rapportant à une personne physique identifiée ou identifiable, comme le nom, le numéro de téléphone, l’adresse mail ou postale ou encore le numéro de matricule sociale. Les personnes dont les données sont collectées sont les personnes concernées. Leurs droits doivent être respectés.
Qu’est-ce qui change ?
L’autorité de contrôle nationale, la CNPD, assure le respect des dispositions du RGPD. Les formalités auprès de la CNPD sont dorénavant moins lourdes pour les entreprises, mais ces dernières doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Un domaine particulièrement concerné par le respect des dispositions du RGPD est le droit du travail. Les droits des salariés sont renforcés (par exemple sur la question de géolocalisation des salariés ou encore de la vidéosurveillance…).
Audits RGPD
Les sanctions en cas de non-respect du RGPD peuvent être très importantes. Au-delà des sanctions judiciaires possibles (condamnations pénales, amendes pénales, dommages et intérêts), des amendes administratives pouvant aller jusqu’à 4 % du chiffre d’affaire mondial d’une entreprise ou 20 millions d’euros sont prévues. En dehors d’éventuelles sanctions, le déclenchement d’une procédure par la CNPD (cas fréquent du salarié licencié qui introduit une plainte à la CNPD) peut nuire à la réputation d’une entreprise et gaspiller du temps précieux : mieux vaut donc effectuer un audit et anticiper des ennuis…
Certes, le RGPD impose des obligations pour les entreprises (informer les personnes concernées de leurs droits, ne traiter que les informations strictement nécessaires à une finalité, tenir une documentation relative au traitement des données…), mais il présente aussi des avantages pour ces dernières. En s’y conformant, elles peuvent revoir leurs processus internes, devenir plus efficaces et améliorer leur image de marque.
Il n’est jamais trop tard pour se mettre en conformité.