Bien que le Règlement Général sur la Protection des Données (RGPD) s'applique directement dans tous les États membres de l'Union Européenne (UE), chaque État interprète et applique le RGPD différemment pour deux raisons :
Le RGPD lui-même permet aux États membres de créer et d'appliquer des règles différentes sur environ 50 domaines du règlement, et l'autorité de protection des données de chaque État membre et ses tribunaux nationaux interprètent et appliquent le RGPD de leur propre manière, différente les uns des autres.
Par conséquent, les entreprises doivent prêter attention à l'interprétation du RGPD par chaque État membre de l'UE et à leurs lois nationales sur la protection des données. Dans cet article, nous nous concentrerons sur l'un des principaux régimes juridiques de protection des données des pays de l'Union Européenne : La Belgique.
La Loi belge sur la protection des données en bref
En Belgique, il existe deux lois clés qui s'appliquent au traitement des données personnelles :
- Le Règlement Général sur la Protection des Données (RGPD)
- La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ("la Loi").
Quand la Loi belge sur la protection de la vie privée s'applique-t-elle et comment ? Examinons-la en détail.
Champ d'application personnel
Les entités publiques et privées entrent dans le champ d'application de la Loi et du RGPD.
Toutefois, les autorités publiques et leurs mandataires ne peuvent pas faire l'objet d'amendes administratives en vertu de l'article 83 du RGPD.
Champ d'application territorial
La Loi s'applique au traitement de données à caractère personnel lorsque ce traitement a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant en Belgique. En outre, il est indifférent que le traitement effectif soit réalisé en Belgique ou non.
Toutefois, si un responsable du traitement situé dans un autre pays de l'UE fait appel à un sous-traitant établi en Belgique, c'est la loi de ce pays de l'UE qui s'appliquera au traitement des données, et non la Loi belge sur la protection des données.
La Loi devient applicable même lorsqu'un responsable du traitement ou un sous-traitant qui traite les données à caractère personnel de personnes en Belgique n'est pas établi dans l'UE si les activités de traitement sont liées à :
- l'offre de biens ou de services, indépendamment du fait qu'un paiement de la personne concernée soit requis, à ces personnes sur le territoire belge ; ou
- le suivi de leur comportement dans la mesure où il a lieu sur le territoire belge.
Quelle est la relation entre la Loi et le RGPD ?
La Loi met en œuvre le RGPD et couvre également des questions laissées à la discrétion des États membres de l'UE en vertu du RGPD. Par exemple, la Loi intègre les changements suivants, autorisés par le RGPD :
- Création d'exceptions au respect des droits des personnes concernées fondées sur des objectifs de recherche scientifique et historique.
- Fixation de l'âge limite du consentement à 13 ans, au lieu de 16 ans.
Comment les entreprises peuvent-elles s'assurer qu'elles sont dans les clous de la Loi sur la protection des données en Belgique et se mettre en conformité ?
Principales exigences de la Loi belge sur la protection des données et comment s'y conformer
Les principales exigences de la Loi belge sur la protection des données sont très similaires à celles du RGPD, sous réserve de différences mineures autorisées par ce dernier. Pour traiter les données personnelles conformément à la Loi belge, vous devez vous conformer aux exigences suivantes :
Respecter six principes fondamentaux du RGPD
Lorsque vous collectez, utilisez, partagez et traitez des données personnelles, vous devez respecter les six principes fondamentaux du RGPD.
1. Les données doivent être traitées de manière équitable, légale et transparente ;
2. Vous ne devez collecter des données que pour des finalités spécifiques, explicites et légitimes et ne pas les traiter d'une manière incompatible avec ces finalités ;
3. les données personnelles doivent être adéquates, pertinentes et non excessives par rapport à ce qui est nécessaire compte tenu de la finalité du traitement des données ;
4. Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour ;
5. être conservées sous une forme identifiable pendant une durée n'excédant pas celle nécessaire ;
6. Les données à caractère personnel doivent être conservées en toute sécurité.
Démontrez votre conformité
L'article 5, paragraphe 2, du RGPD exige que vous soyez en mesure de démontrer comment vous vous conformez à ces six principes. C'est ce que l'on appelle le "principe de responsabilité". Vous devez implémenter une documentation et des mesures techniques appropriées pour avoir une preuve adéquate de vos efforts de conformité.
Par exemple, vous pouvez démontrer votre conformité aux principes du RGPD en faisant ce qui suit :
- Signer des accords de traitement des données avec vos fournisseurs,
- Réaliser des évaluations d'impact sur la protection des données avant de commencer à collecter et à utiliser des données personnelles dans certaines circonstances,
- Conserver des traces de toutes les violations de données.
Identifier et documenter une base légale pour traiter les données personnelles
Lorsque vous collectez, utilisez et traitez des données personnelles, vous devez vous appuyer sur l'une des six bases énumérées à l'article 6 du RGPD. Ces bases juridiques comprennent le "consentement ", les " intérêts légitimes " et la " nécessité contractuelle ".
Lorsque vous vous appuyez sur le consentement, obtenez-le d'une manière conforme au RGPD.
Lorsque vous vous appuyez sur le consentement des personnes concernées pour collecter et traiter des données personnelles, le consentement doit satisfaire les normes du RGPD.
Un consentement valide en vertu du RGPD doit être conforme aux éléments suivants :
- Librement donné : Les personnes doivent avoir un véritable choix quant au fait de donner ou de refuser de donner leur consentement.
- Spécifique : Le consentement doit porter sur une activité de traitement des données spécifique et sur une finalité.
- Informé : Vous devez être transparent envers les personnes sur la manière dont vous collectez et utilisez leurs données. Par exemple, vous devez fournir aux individus des informations claires sur votre identité, et expliquer les objectifs du traitement des données et chaque activité de traitement des données.
- Sans ambiguïté : le consentement doit être affirmatif.
En outre, n'oubliez pas que les organisations doivent documenter et conserver des traces de tous les consentements fournis.
Satisfaire les demandes d'accès aux données personnelles
Les personnes ont les droits suivants en ce qui concerne leurs données personnelles :
- Droit d'être informé
- Droit d'accès
- Droit de rectification
- Droit d'effacement
- Droit d'opposition/opt-out
- Droit à la portabilité des données
- Droit de ne pas faire l'objet d'une prise de décision automatisée
- Droit à la restriction du traitement
Pour en savoir plus sur les demande d'accès aux données personnelles (DSAR), consultez notre guide complet sur le sujet (en anglais):
{{learn-everything-you-need-to-know-about-dmps}}
Adhérer aux règles de notification des violations
Cette exigence reflète les exigences du RGPD en matière de notification des violations.
Les cookies et la Loi belge sur la protection de la vie privée : Comment s'y conformer
Do you need a Consent Management Platform?
The Law does not require businesses to adopt a certain consent management tool. There are no specific instructions on what means can be used to obtain and record consent.
However, businesses are advised to implement a consent management tool so that they can record and manage consent provided by data subjects. This will also enable businesses to satisfy the accountability requirements of the RGPD.
To find out more, take a look at our Consent Management Platform (CMP):
La Belgique a intégré les exigences en matière de cookies du réglement ePrivacy dans son droit national.
Quels types de cookies nécessitent le consentement des personnes ?
Vous devez obtenir le consentement "valable" des personnes concernées avant de pouvoir placer les types de cookies suivants et/ou des technologies similaires sur leur appareil :
- Cookies d'analyse
- Cookies publicitaires
- Cookies de réseaux sociaux
Quels sont les cookies qui ne nécessitent pas de consentement ?
Si les cookies relèvent de la catégorie suivante, vous n'avez pas besoin d'obtenir le consentement des personnes :
- Les cookies "fonctionnels" strictement nécessaires.
Par exemple, les cookies qui permettent de mémoriser des articles sur un panier d'achat ou les cookies qui assurent la sécurité des paiements relèvent de cette catégorie.
Pouvez-vous utiliser des "cookies walls" (murs cookies) ?
L'Autorité belge de protection des données adopte l'approche du Conseil européen de la protection des données en matière de murs de cookies et en interdit l'usage pour obtenir le consentement.
Comment obtenir un consentement "valable" en Belgique ?
L'Autorité belge de protection des données indique que le consentement doit être conforme aux exigences du RGPD.
Par exemple, le consentement doit se faire via une action claire et affirmative. Par conséquent, les cases pré-cochées, le défilement ou la navigation sur une page web ne constituent pas un consentement valide.
En outre, le site web doit offrir à ses utilisateurs un choix "granulaire" pour le consentement à chaque catégorie de cookies. Par exemple, les sites web demandent le consentement à chaque catégorie de cookies distincte, comme les "cookies fonctionnels", les "cookies analytiques" et les "cookies publicitaires".
Enfin, il doit être aussi facile de donner son consentement que de le donner. Par exemple, si les individus peuvent consentir aux cookies en un seul clic sur le bouton " Accepter ", le bouton " Refuser " doit également se faire via un seul bouton.
Avez-vous besoin d'une Consent Management Platform ?
La Loi n'oblige pas les entreprises à adopter un outil de gestion du consentement particulier. Il n'y a pas d'instructions spécifiques sur les moyens qui peuvent être utilisés pour obtenir et enregistrer le consentement.
Toutefois, il est conseillé aux entreprises de mettre en œuvre un outil afin de pouvoir enregistrer et gérer le consentement fourni par les personnes concernées. Cela permettra également aux entreprises de satisfaire aux exigences de responsabilité du RGPD.
Pour en savoir plus, jetez un coup d'œil à notre Consent Management Platform (CMP) :
{{discover-our-cmp}}
Quelles sont les sanctions si vous ne respectez pas la Loi belge sur la protection des données à caractère personnel ?
Si vous ne vous conformez pas, vous risquez les sanctions suivantes :
- Des amendes administratives telles qu'énoncées dans le RGPD. Selon le type d'infraction, vous pouvez faire face aux amendes suivantes :
- Des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu ;
- Des Amendes allant jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros, le montant le plus élevé étant retenu.
- Des sanctions pénales en vertu de la Loi belge
Le non-respect de la Loi belge sur la protection des données peut en effet exposer les responsables du traitement et les sous-traitants à des sanctions pénales. Les personnes concernées peuvent également intenter une action contre les responsables du traitement ou les sous-traitants en cas d'infraction.
Comment se préparer à la Loi belge sur la protection des données ?
Si vous voulez satisfaire à toutes les exigences de la Loi belge sur la protection des données et du RGPD, vous devez commencer par vous appuyer sur une base juridique pour justifier vos activités de traitement des données. Le consentement est l'une des bases juridiques les plus courantes sur lesquelles vous vous appuierez, et il peut justifier l'utilisation de cookies publicitaires et d'analytiques tiers, la personnalisation des annonces et le marketing par courriel.
Cependant, vous devez obtenir le consentement comme spécifié par le RGPD et être en mesure de prouver que vous l'avez obtenu de manière légale. Avec une plateforme de gestion du consentement pour recueillir le consentement d'une manière conforme au RGPD et pour garder une trace de tous les consentements obtenus.
La vie privée des clients doit devenir une priorité pour les marques. Pour les entreprises opérant en Belgique, cela signifie se conformer au RGPD et à la Loi nationale sur la protection des données.
Parlez à un expert et découvrez comment les solutions Didomi peuvent vous aider à transformer le respect de la vie privée en une opportunité commerciale :
{{talk-to-an-expert}}