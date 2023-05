Et qu’en est-il, cinq ans plus tard ? “Le bilan est positif. Le RGPD est devenu une marque connue. Les entreprises ont intégré ses règles, elles savent que ce cadre existe, et c’est aussi le cas des particuliers. De là à dire que toutes les entreprises sont en conformité avec le RGPD, il y a de la marge…”

Un chantier continu

Une fois les bases de travail établies, avec la désignation de personnes responsables, la définition d’un cadre RGPD en interne et la mise en place de procédures adéquates, le travail des entreprises n’est-il pas terminé ? “Non, en fait, l’adéquation au RGPD est un exercice continu, il faut des documents mis à jour, il faut informer le personnel, savoir que faire en cas de fuite de données. C’est dans ce genre de situations que l’on peut découvrir les problèmes. Et puis, il faut le dire, les autorités compétentes vont souvent plus loin que ce que prescrit le texte”, reprend Stéphanie De Smedt.

Hugo Nieuwenhuyse, également avocat chez Loyens&Loeff, souligne que “la position des autorités est également différente selon le pays membre, chaque pays ayant une certaine latitude d’adaptation du texte du Règlement, ce qui est un véritable challenge pour les entreprises opérant en dehors de la Belgique”. Mais une fois encore l’avocat souligne la qualité de la démarche du législateur européen qui a d’ailleurs suscité la création de tels encadrements ailleurs dans le monde. “L’Union européenne a été la première au monde à mettre en place un tel cadre”.

Amendes à géométrie variable

On l’a vu ces derniers jours, le RGPD est à l’origine de décisions lourdes de sens pour les géants internationaux de l’économie numérique, avec cette semaine l’amende énorme infligée par l’Irlande au groupe Meta. Mercredi, chez nous, l’Autorité de la protection des données (APD) a également signé une décision lourde de sens à propos de la transmission de données financières de personnes par l’administration belge à son homologue américaine dans le cadre du traité Fatca… Des observateurs notent que les pays membres disposent au travers des autorités de protection des données de véritables taxateurs des multinationales spécialisées dans l’art d’éviter l’impôt…

“Il y a en effet dans le RGPD une manière d’exercer ces règles au travers des opérations dans l’Union, sur des opérateurs étrangers utilisés dans le cadre de sous-traitance, les entités belges étant censées responsabiliser leurs partenaires commerciaux”, reprend Hugo Nieuwenhuyse. Les sanctions évoquées sont-elles appliquées aux entreprises belges de plus petite stature ? “On vise les grands groupes, bien sûr, avec des sanctions chiffrées en millions d’euros, mais en Belgique, on parle de montants plus faibles, de 5 000 à 50 000 euros. Mais il y a aussi des sanctions techniques comme les ordres de cessation de traitement de données, la suppression de bases de données”, explique encore Stéphanie De Smedt. Dans son bilan présenté cette semaine, l’APD cite pour 2022 un total de sanctions de 738 900 euros et quelque 189 décisions.