La protection des données personnelles joue un rôle croissant au sein des organisations. Ceci ne s’explique pas seulement par l’entrée en vigueur de la loi européenne (General Data Protection Regulation ou GDPR) du 25 mai 2018, qui imposera aux organisations européennes et non-européennes des règles strictes en matière de protection des données personnelles. En cas de contravention de cette nouvelle loi, les amendes pourront atteindre jusqu’à 4 % du chiffre d’affaire annuel mondial de l’organisation ou un montant de 20.000.000 EUR. 

Où en sont les organisations dans leurs politiques en matière de vie privée ?

Fin 2016, PwC et Law Square ont mené une enquête auprès des organisations belges. Les conclusions de cette enquête sont rendues publiques dans le cadre de la Journée européenne de la Protection des Données.

Il ressort clairement des résultats de l’enquête que la majorité des organisations belges est encore en train de se préparer au nouveau cadre légal européen ou du moins, doit encore s’y atteler. Bon nombre d’entre elles n’ont toujours pas effectué d’analyse de risques sur le traitement des données privées au sein de leur organisation. 40 % des organisations participantes n’ont même pas encore abordé la question d’un programme ou d’une stratégie en matière de protection de la vie privée. En outre, seuls 30 % des organisations ont déjà évalué leur niveau de conformité vis-à-vis de la législation belge actuelle dans ce domaine, sans parler du caractère régulier de ces évaluations.

L’enquête laisse par ailleurs apparaître que les collaborateurs des organisations ne sont actuellement pas formés ou le sont insuffisamment, au vu de l’importance et des risques qu’engendre la protection de la vie privée. Pour 45 % des organisations, le personnel n’a suivi aucune formation en la matière, au cours de ces douze derniers mois.

Il ressort également de l’enquête que les organisations sont à peine au courant de l’importance des labels de qualité et certifications en matière de protection des données personnelles. Or, ces outils peuvent apporter une contribution essentielle pour instaurer la confiance et prouver le respect des obligations de conformité imposées par le GDPR.

En guise de surprise positive toutefois, environ 67 % des répondants déclarent que le principe « privacy by design » est déjà appliqué. Lors du développement de nouveaux systèmes et de nouvelles procédures, on devrait donc déjà tenir compte de la protection des données personnelles. Il apparaît d’ailleurs que les organisations qui sont actives dans un secteur réglementé sont généralement mieux préparées à la nouvelle réglementation européenne. Ceci est vraisemblablement dû au fait qu’elles travaillent avec des procédures plus strictes et qu’elles ont acquis plus de maturité dans le domaine de la gestion des risques, des contrôles internes et de la protection des informations.