Règlement Général sur la Protection des Données

Mettez en œuvre un plan d’action en 7 étapes à l'aide des outils suivants :

  • Modèle d’inventaire et de registre des traitements
  • Modèles de formulaire d’information et de consentement de collecte de données
  • Modèle d’analyse d’impact
  • Modèle d’information concernant les données à caractère personnel des travailleurs
  • Modèle de clauses auxquelles il faut être attentif dans le cadre du respect de la législation par les sous-traitants

Présentation

Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais, pour General Data Protection Regulation) est le nouveau cadre européen organisant le traitement et la circulation des données à caractère personnel pour les résidents de ses 28 pays membres. Il est entré en vigueur le 25 mai 2018.

Il comporte deux volets : un volet destiné aux citoyens et un volet destiné aux entreprises et organisations.

Pour les citoyens, le RGPD instaure ou conforte un certain nombre de protections qui leur permettent de mieux contrôler les données personnelles qui sont ou ont été collectées à leur sujet :

  • Droit d’accéder aux données
  • Droit à la rectification des données
  • Droit à l’effacement des données
  • Droit à la limitation du traitement des données
  • Droit à la portabilité des données (droit de recevoir des données d’une entité et de les transmettre à une autre)
  • Droit d’opposition au traitement des données

Pour les entreprises et organisations qui traitent des données à caractère personnel, peu importe leur taille ou forme juridique (société, association, etc.), le RGPD impose, outre le respect de ces droits, de nouvelles règles pour la collecte et le traitement des données tout en laissant une marge de manœuvre au législateur belge à certains égards pour édicter des règles complémentaires ou créer certaines exceptions.

La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, publiée au Moniteur belge le 5 septembre 2018, complète dès lors la réglementation européenne déjà en vigueur. Elle ne répète ou n’infirme nullement les règles déjà reprises dans le texte européen.

Cette nouvelle loi belge remplace en revanche intégralement notre ancienne loi sur le même sujet du 8 décembre 1992.

Cependant, une série de notions non définies par le RGPD doivent encore faire l’objet d’interprétations jurisprudentielles (p.ex. : que faut-il entendre par « à grande échelle » ?).

Ce contenu sera élaboré par l’Agence pour la Protection des Données dans le cadre de recommandations générales (rôle consultatif) ou de décisions sur base de plaintes individuelles par des personnes s’estimant lésées par la gestion de leurs données personnelles par une entreprise ou organisation (rôle d’autorité jurisprudentielle).

La date du 25 mai 2018 doit donc être vue comme un point de départ dans un processus constant d’adaptation des pratiques des sociétés et associations aux exigences du RGPD. Il sera important de pouvoir démontrer que votre association travaille sur la matière du RGPD ; qu’elle a pris les principales mesures et couvert les plus gros risques ; ou, à tout le moins, qu’elle y a réfléchi et a élaboré un plan pour s’y atteler.

Toutes les questions posées dans le cadre du RGPD n’ayant pas encore reçu de réponse des autorités compétentes, nous vous soumettons néanmoins déjà un plan d’action à suivre pour mettre en oeuvre l’adaptation de votre association aux obligations du RGPD.

Le plan d’action que nous vous soumettons peut être amené à évoluer en fonction de l’évolution de la législation belge ou européenne, des recommandations générales de l’Agence sur la Protection des Données et du G29 (groupe de travail européen composé des commissions de la vie privée de chaque pays membre), et de la jurisprudence.

Ces outils ont été développés par la CESSoC en collaboration avec les Fédérations membres sur base d’outils mis en ligne par d’autres acteurs de la transposition du RGPD dans la pratique des sociétés et associations (Commission de la protection de la vie privée, CNIL, cabinets d’avocats, secrétariats sociaux,...). Ils ont pour but d’aider les associations à gérer correctement les données personnelles et à se mettre en conformité graduellement avec cette nouvelle législation tout en tenant compte des spécificités du secteur socioculturel et sportif.