“GDPR” est l’abréviation de General Data Protection Regulation ou, en français de RGPD, ce qui signifie Règlement Général sur la Protection des Données. Le GDPR est la nouvelle réglementation dans le domaine de la protection des données à caractère personnel et remplace la Directive 95/46/EG et la loi belge sur la protection de la vie privée du 8 décembre 1992.

Le GDPR entrera en vigueur le 25 mai 2018.

Bien que les principes généraux du GDPR soient identiques à ceux des législations précédentes, la réglementation comprend toutefois de règles nouvelles. Même pour l’Autorité de protection des données (= la Commission de la protection de la vie privée), trois mois avant son entrée en vigueur, “l’interprétation et la mise en oeuvre de la nouvelle législation en matière de protection de la vie privée est un ‘work in progress’”.

Sodalis met tout en œuvre pour conformer ses procédures aux règles GPDR. Pour l’instant, aucune entreprise ne peut prétendre être conforme au GDPR car certains éléments doivent encore être précisés. Sodalis suit attentivement cette évolution.

Actuellement, il n’existe pas encore non plus de certificat GDPR officiel comme c’est par exemple le cas pour les normes ISAE 3402 ou ISO9001. À terme, une certification comparable pourrait également être créée et, dans ce cas, Sodalis s’efforcera de l’obtenir.

En tant que secrétariat social, nous ne sommes évidemment pas novices dans la gestion d’information confidentielle. D’ici le 25 mai 2018, nous aurons identifié tout ce qui relève de la nouvelle réglementation et nous aurons nommé un “Data Protection Officer” (DPO) (=délégué à la protection des données) pour nous assister dans la mise en œuvre de toutes les obligations GDPR.

Enfin, l’Union des Secrétariats Sociaux (USS) travaille à un code de conduite pour notre secteur, qui devrait clarifier certains éléments.

Par ailleurs, en tant qu’organisation, chaque société devra déterminer pour elle-même quelles obligations devront concrètement découler de la mise en œuvre du GDPR. Pour cela, il vous faudra identifier si vous êtes “data controller” ou “data processor”.

Sodalis, en tant que secrétariat social, est “data processor” ou sous-traitant car nous traitons les données des employés sur base d’instructions des employeurs qui sont eux-mêmes “data controller”. Pour notre propre personnel, nous sommes par contre “data controller” ou responsable de traitements.

La Commission de la protection de la vie privée et le G29 (organe consultatif européen) formulent des recommandations car les formulaires type et les check-list sont insuffisants pour saisir la réalité interne variée et complexe de tous les responsables de traitements et sous-traitants. Vous trouverez davantage d’informations pour réaliser votre registre des activités de traitement ici. Cette obligation de documentation interne comporte une exception pour les entreprises comptant moins de 250 employés. La Commission de la protection de la vie privée recommande malgré tout à tous les responsables du traitement et sous-traitants d’établir un Registre.

L’objectif final est naturellement la protection des données personnelles (sensibles). Si une fuite devait malgré tout se produire, on parlerait de “data breach”, soit “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données“.

En tant que “data processor”, Sodalis tiendra à votre disposition un formulaire spécifique qui reprendra toutes les informations avec lesquelles vous pourrez, le cas échéant, notifier vous-même à la Commission de la protection de la vie privée toute violation de données à caractère personnel.

Nous tenons aussi à vous communiquer que les serveurs sur lesquels les données des affiliés de Sodalis sont stockées se trouvent en Belgique. Dans le cadre de services connexes spécifiques et très limités, nos sous-traitants peuvent avoir accès à certaines données à caractère personnel. Dans ce contexte également, nous prenons les mesures les plus adéquates pour la protection de ces données.

Entre temps, nous continuons à travailler sur nos procédures internes afin de vous garantir la meilleure qualité possible.