Ce que vous devez savoir

Le GDPR encourage les fédérations sectorielles à établir des codes de conduite. Ces codes de conduite convertissent les règles du règlement, de portée générale, en des règles concrètes, faites sur mesure en tenant compte des activités de traitement spécifiques au sein du secteur et des besoins des PME. Un tel code peut donc économiser beaucoup de temps et d’argent pour les membres. Lorsque ces codes de conduite sont conformes à l'article 40 du GDPR, ils peuvent être approuvés par l'autorité de protection des données compétente. Ils deviennent ainsi contraignants pour les entreprises qui les rejoignent. Cela offre également des avantages importants au regard du GDPR.

Pour le moment, c’est le calme plat du côté des codes de conduite (tant en ce qui concerne ceux qui sont contraignants que ceux qui sont volontaires). Cela n’est pas étonnant en ce qui concerne les codes de conduite contraignants. Les règles auxquelles ces codes de conduite doivent satisfaire sont tellement strictes qu’elles peuvent constituer un obstacle pour de nombreuses fédérations. Le Comité Européen de la Protection des Données travaille pour cette raison à l’élaboration de lignes directrices. Il n’en demeure pas moins que les fédérations sectorielles peuvent déjà aider leurs membres de manière très concrète.

Ce que vous (votre fédération) devez faire

De nombreuses fédérations sectorielles ont déjà (prudemment) commencé à proposer des lignes directrices et des modèles à leurs membres. Néanmoins, nous notons que de nombreuses entreprises, en particulier des PME, tentent toujours, chacune de leur côté, de se conformer aux obligations du GDPR après le 25 mai 2018. Ce n’est cependant pas le moyen le plus rentable et le plus efficace.  

En quoi les fédérations sectorielles peuvent-elles aider votre entreprise? De nombreuses activités de traitement sont plus ou moins communes pour toutes les entreprises. De plus, chaque secteur a ses propres activités de traitement de données à caractère personnel. Citons par exemple la gestion des personnes de contact chez les fournisseurs et la gestion du personnel, mais aussi, par exemple, l'utilisation de données sensibles par des courtiers en banque et en assurance (souvent des commerçants indépendants) pour le paiement d'une indemnité après un accident.

Les documents d’orientation et les modèles proposés par une fédération sectorielle sont bons, mais des évaluations concrètes et des modèles pré-complétés s’avèrent plus utiles. L’on peut, par exemple, penser à un registre pré-rempli d’activités de traitement, à l’analyse relative à la désignation d’un délégué de la protection des données, à une liste de mesures de sécurité concrètes (telles qu’une énumération reprenant les données pouvant être anonymisées et la méthode à utiliser à cet égard), etc. Naturellement, il demeure de la responsabilité de chaque entreprise membre de la fédération de vérifier si elle s'écarte de l'activité de traitement « standard ». Dans la plupart des cas, toutefois, procéder à une telle vérification prendra beaucoup moins de temps et sera moins coûteux que de commencer l'exercice à partir d’une page blanche.

Entretemps, beaucoup d’expérience a déjà été acquise dans le domaine du GDPR. Contactez votre fédération sectorielle et demandez-lui de partager cette expérience avec ses membres. Encouragez votre fédération sectorielle à élaborer un code de conduite et à le faire approuver par l'autorité de protection des données compétente, dans la mesure où cela est utile pour votre secteur (question que vous pouvez poser à votre fédération).