Le GDPR est maintenant en place depuis 5 ans et depuis 3 ans, depuis mai 2018, son contenu a également été effectivement appliqué par le gouvernement.Même après tout ce temps, nous constatons chaque jour que les chefs d'entreprise trouvent les règles autour de la protection des données peu claires, vagues et difficiles à comprendre, et notre expérience montre que beaucoup de chefs d'entreprise bien intentionnés abandonnent en raison d'un manque de compréhension de ce que l'on attend exactement d'eux. Ainsi, l'ensemble des prémisses du GDPR est essentiellement une porte ouverte à l'incertitude et aux risques futurs : les entreprises doivent fournir un niveau de sécurité approprié et prendre des mesures adéquates pour le faire, mais avant cela, il n'y a aucun moyen de savoir si les mesures qu'elles envisagent sont effectivement "appropriées". L'évaluation de l'éventuelle inadéquation de l'entrepreneur en question n'intervient qu'a posteriori, lorsque des plaintes, des audits ou des violations de données surviennent ultérieurement... Cela est très difficile à comprendre pour les entrepreneurs qui, après tout, dans leur activité quotidienne, essaient précisément d'éliminer le plus de facteurs d'incertitude possible et d'éviter les risques invisibles.Les créateurs de sites web, les développeurs d'applications ou les spécialistes du marketing en ligne nous demandent très régulièrement s'ils peuvent soumettre leurs projets à l'Autorité de protection des données pour avis et approbation préalable, comme c'est le cas en matière fiscale.Jusqu'à présent, cela n'était pas possible, mais un récent projet de loi semble devoir changer la donne.

Avis préalable de confidentialité

L'avis préalable de l'ACS sur les opérations de traitement proposées, sans parler de leur validation explicite, est en soi impossible aujourd'hui. Le GDPR ne le prévoit pas explicitement et la loi-cadre belge ne prévoit pas non plus de procédure formelle. Ceux qui ont de la chance - et qui sont bien conseillés - peuvent parfois s'adresser à l'ACS de manière informelle, mais ces accords informels ne sont pas publiés, et même s'ils favorisent ainsi une entreprise spécifique, les autres contrôleurs ou transformateurs n'ont souvent pas connaissance des précédents et ne peuvent pas s'y fier ou les invoquer.Un projet de loi récent du coin CD&V veut changer cela. L'idée est d'intégrer un système de décisions préalables dans la loi-cadre belge, permettant à l'autorité chargée de la protection des données de déterminer dans des cas individuels comment la législation sur la protection des données sera appliquée à une situation spécifique ou à un traitement prévu de données à caractère personnel. À cette fin, la proposition prévoit une procédure de consultation qui durerait jusqu'à trois mois. Une telle décision donne une sécurité juridique au demandeur, car elle lie tous les services de l'autorité de protection des données. Dans leur proposition, les auteurs font référence à des projets pilotes réussis au Royaume-Uni avec des "bacs à sable réglementaires". Depuis mars 2019, le régulateur britannique (Information Commissioner's Office) propose un nouveau service destiné à soutenir les organisations développant des projets innovants et socialement utiles qui impliquent l'utilisation de données personnelles. Les organisations participant au bac à sable peuvent bénéficier de la possibilité de s'engager directement avec le régulateur sur des projets innovants impliquant des questions complexes de protection des données.Personnellement, nous ne pouvons que nous féliciter de cette proposition. Si elle est finalement adoptée, elle offrira la possibilité à un grand nombre d'entrepreneurs d'obtenir des certitudes sur leurs projets à l'avance et d'éviter ainsi des risques juridiques et financiers inutiles. Cela ne peut qu'augmenter le niveau général de conformité au GDPR parmi les entreprises belges. Bien sûr, nous devons maintenant attendre un éventuel accord politique pour approuver réellement cette proposition. Dans tous les cas, nous suivrons de près ce dossier et fournirons les informations et explications nécessaires sur notre page de blog dès que tout sera finalisé.

Mais de tels arrêts existent en fait déjà pour une pièce...

Une telle consultation préalable et une telle "décision" existent bel et bien aujourd'hui dans le cadre du GDPR. En effet, l'article 35 prévoit que le responsable du traitement qui procède à une analyse d'impact préalable sur la protection des données ou à une analyse d'impact sur la protection des données et qui détermine à l'issue de celle-ci qu'il existe un risque résiduel, est tenu de demander l'avis préalable et contraignant de l'ABG.Seulement, le constat est que la majorité des entreprises belges ne connaissent pas leurs obligations au titre de l'article 35 ou - pire encore - les ignorent délibérément, de sorte que l'ABG ne reçoit pratiquement jamais de demandes de consultation préalable.Vous avez besoin d'informations supplémentaires ? NKVK - La Chambre de commerce néerlandaise pour la Belgique et le Luxembourg est là pour des milliers de PME qui veulent faire des affaires (plus) internationales. Il est essentiel d'avoir une bonne connaissance du marché, de se familiariser avec la législation et de trouver les bons partenaires. Pour vous, un entretien sans engagement avec NKVK est le premier pas dans la bonne direction.