Tout savoir sur le RGPD

Vous cherchez quelque chose de précis ?

RGPD : votre ASBL doit-elle être prête pour le 25 mai ?

Calendrier date limite RGPD

Le RGPD entrera en vigueur le 25 mai prochain. Si votre ASBL devra être conforme au règlement européen, il n'y a pas de quoi paniquer !

Une ASBL doit-elle être réellement conforme au RGPD pour ce 25 mai 2018 ? D’un point de vue purement légal, il ne fait aucun doute que oui. Le Règlement entre en vigueur à cette date précise et aucune dérogation n’a été prévue [1].

► A lire aussi : Les 13 étapes pour se préparer au RGPD 

Tous concernés par le RGPD...

Rappelons quand même qu’un délai de 2 ans avait déjà été mis en place en 2016 lorsque le texte avait été voté au Parlement européen. Dès lors, toute organisation, qu’elle soit à caractère marchand ou non, qui entre dans le champ d’application du Règlement doit être conforme à la date fatidique.

Le champ d’application du Règlement est prévu par ses articles 2 et 3 : « le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

Les principales exceptions concernent les personnes privées agissant dans le cadre domestique ou les données relatives aux personnes morales qui ne sont pas visées par le Règlement (mais bien leurs associés, administrateurs, cadres et employés,… personnes physiques).

De plus, toutes les entités situées en dehors de l’Europe qui offrent des biens ou services aux personnes résidant en Europe, ou les suivent (« monitor »), sont également visées.

► A ne pas louper ! ASBLissimo organise des formations en ligne pour se préparer au RGPD

mais...

Ce constat peut être tempéré par deux observations :

  • La première est que cette conformité doit être perçue comme s’inscrivant dans la durée. Autrement dit, rien ne sert de croire que la conformité peut être définitivement obtenue en une fois ou au travers d’une certification (qui n’existent pas encore d’ailleurs). Il en ressort donc que le simple fait pour une ASBL d’initier le processus de mise en conformité peut déjà la protéger dans une certaine mesure.

    En effet, le RGPD fait référence aux « moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre »[2] des organisations. Cela ne dispense en rien de tendre à la conformité mais cela signifie que chacun doit agir selon ses moyens et les données qu’ils traitent (sensibles ou non par exemple). Il s’agit d’une application d’un principe transversal au Règlement : une approche basée sur l’évaluation des risques (et une protection proportionnelle à leur intensité ou probabilité).
     
  • La deuxième observation est que l’autorité de protection des données (APD)[3] qui est censée contrôler la conformité des organisations n’est tout simplement pas encore créée. Il est donc peu probable qu’un contrôle s’opère d’initiative, le 25 mai au matin, dans les petites structures. Cependant, cela n’enlève en rien la faculté qu’ont les personnes concernées (protégées par le RGPD) d’exercer leurs droits. Elles pourront donc, et ce dès le 25 mai, exercer leur droit d’accès et surtout porter plainte à l’APD en cas de refus ou de mauvaise exécution de l’entité concernée par la demande.

[1] Article 99 du RGPD

[2] Considérant 94 du RGPD

[3] Chapitre VI du Règlement du RGPD

Niveau de pouvoir

Europe