Si ces cinq années ont été mises à profit pour développer des politiques et des outils de ‘data protection’, les risques liés aux données n’ont quant à eux pas cessé de croître. Cyberrisques, risques d’arnaque et de fraude, usurpation de données …

Ces dernières années, les cyberrisques ont augmenté de manière exponentielle, avec comme corollaire des atteintes graves aux données personnelles. Les entreprises doivent régulièrement remplir leurs obligations de notification de fuite de données à l'Autorité belge de protection des données (APD) (*) et même, s’il existe des risques élevés d’atteinte aux droits et libertés des personnes, d’information de fuite de données aux personnes concernées.

En outre, au regard des cyberrisques élevés, les obligations à charge des entreprises s’alourdissent afin de  prévenir les conséquences graves qui en découlent. La directive NIS 2, par exemple, prévoit notamment que les membres des organes de direction des entités présentant un risque important devront suivre une formation en cybersécurité et les encourage à offrir régulièrement une formation similaire aux membres de leur personnel. Ils devront acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis.

Perception, actions et… sanctions

Certes le RGPD est une contrainte, une charge importante en termes de travail de mise en conformité, mais c’est un mal nécessaire. Les données sont, à ce jour, le capital le plus important de la plupart des entreprises. Une saine gestion de ces données garantit non seulement la sécurité juridique mais représente également un gage de qualité pour les entreprises, un label de confiance pour les consommateurs et cocontractants.

En outre, n’oublions pas que les nombreuses obligations du RGPD font l’objet de contrôles et peuvent être sanctionnées lourdement par l’APD. Cet organe de contrôle indépendant dispose d'un arsenal de possibilités d'actions de contrôle, d’inspection et de sanctions bien plus large que son prédécesseur.  

Les sanctions sont de plus en plus nombreuses en Belgique mais également en Europe. Un exemple tout récent est celui de Meta, qui début de semaine s'est vu infliger du régulateur irlandais une amende de 1,2 milliard EUR pour avoir enfreint les règles européennes sur le transfert des données avec son réseau social Facebook.

En Belgique, le nombre de sanctions ne cesse d’augmenter, passant de 143 en 2021 à 189 en 2022. Les amendes administratives sont les sanctions les moins utilisées. Seulement 12 amendes administratives imposées par la Chambre contentieuse de l’APD en 2022, pour un montant avoisinant néanmoins les 740.000 EUR.

Au niveau européen, le contrôleur des données CEPD (European Data Protection Supervisor – EDPS) joue également un rôle  important  en veillant au respect du RGPD par les institutions et organes de l’UE. Dans son rapport annuel 2022, il indique avoir accordé une attention particulière à des sujets liés à la santé, l’intelligence artificielle et la lutte contre la criminalité.

C’est au travers de tout cela que l’on se rend compte des enjeux de la protection des données personnelles. Les réseaux sociaux, l’intelligence artificielle (AI), la « smart city » sont autant d’avancées technologiques et de société qui ont un impact sur l’utilisation des données personnelles et comportent des risques pour celles-ci.

Face à la complexité de la mise en conformité avec le RGPD et face aux défis liés au traitement des données personnelles, les entreprises doivent prendre conscience des enjeux de la protection des données et compter sur l’aide d’un délégué à la protection des données, un Data Protection Officer, interne ou externe.

La FEB organise ce 25 mai – en collaboration avec l’Union professionnelle des DPO (dpo pro), ISACA et le Data Protection Institute – le dpo day for DPOs by DPOs. Une manière de mettre à l’honneur, en ce jour anniversaire, tous les DPO passionnés et tellement indispensables à toutes les entreprises !

(*) En 2022, l’APD a ouvert 1.426 dossiers de fuites de données.