Le nouveau Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018 dans toute l’Union européenne (UE).
À partir de cette date, le RGPD sera directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne. Les nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données.
La question se pose aussi pour un de nos proches voisins : La Suisse.
Ce texte aurait-il des répercussions sur les entreprises suisses ?
Dés éléments de réponse sont directement fournis par les autorités suisses, et en particulier le Préposé Fédéral à la protection des données et à la transparence (PFPDT) en voici quelques extraits1.
Il ressort du texte du Règlement et de ses considérants que le RGPD sera applicable aux entreprises suisses dans les cas prévus par le critère de l’établissement et du ciblage.
Quelques précisions sur « l’établissement »
Cela concerne les cas suivants :
> Le traitement des données personnelles qui a lieu dans le cadre des activités d’une succursale ou filiale européenne d’une entreprise suisse sur le territoire de l’Union ;
> La sous-traitance : Traitement des données personnelles effectué par une entreprise suisse en tant que sous-traitant pour le compte d’une entreprise européenne.
Un sous-traitant sur le territoire de l’Union (ex. prestataire de services informatiques) qui traite des données personnelles pour une entreprise suisse sera soumis au Règlement peu importe qu’il traite des données de personnes concernées en Suisse ou dans l’Union (art. 3 § 1 RGPD).
Il sera tenu de respecter les obligations spécifiques aux sous-traitants prévues par le Règlement (cf. articles 28, 30 § 2 et 37 RGPD) et les exigences découlant du droit suisse (cf. art. 10a LPD).
Sa responsabilité est susceptible d’être engagée en cas de manquement. Cela ne signifie toutefois pas que le responsable de traitements en Suisse sera de ce fait soumis au Règlement.
Quelques précisions sur « le ciblage »
Il s’agit d’un traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour leurs offres de biens et de services dans l’Union, qu’un paiement soit exigé ou non (art. 3 § 2 (a) RGDP) ;
Exemple : une entreprise basée en Suisse vend des montres à des personnes domiciliées en France, Belgique, Portugal, Finlande et Grèce par le biais d’une boutique en ligne. Le RGPD est applicable, car la société suisse offre des biens à des personnes dans l’Union.
Le traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour le suivi du comportement des personnes concernées au sein de l’Union (art. 3 § 2 (b) RGPD).
Exemples:
un hôtelier du val d’Hérens crée des profils de ses clients italiens, suédois, allemands et polonais afin de leur proposer des offres pour d’autres séjours, le RGPD sera applicable pour autant que le profil soit établi sur la base de comportement dans l’UE.
Un exploitant de site web qui recourt au webtracking pour suivre les activités de ses visiteurs ou pour observer leur comportement de navigation pourra ainsi tirer des conclusions quant aux intérêts, préférences ou habitudes des internautes. Le RGPD sera sans doute applicable.
Le RGPD n’offre pas de définition précise des notions d’offres de bien et de service.
Le considérant 23 nous indique qu’il convient d’établir «s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union».
Afin d’établir cette intention, il convient de prendre en compte un faisceau d’indices comprenant, par exemple: «l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue, la mention de clients ou d’utilisateurs qui se trouvent dans l’Union ».
Et quelles obligations pour ces entreprises Suisses ?
1 – Désigner un représentant des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union (art. 27 RGPD)
En cas d’application de l’article 3 § 2 RGPD, l’article 27 RGPD oblige les responsable du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement.
Ce représentant doit être établi dans l’un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l’offre de biens ou de services qui leur est proposée ou dont le comportement est observé (art. 27 § 3).
Selon le considérant 80 du RGPD, le représentant constitue notamment l’interlocuteur des autorités de contrôle (cf. article 58 RGPD) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel.
Ce dernier devra établir un registre de toutes les catégories d’activités de traitement de données à caractère personnel mises en œuvre sous sa responsabilité (cf. article 30 RGPD).
Il pourrait également faire l’objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.
2 – Prendre en compte les autres obligations du RGPD au 25 mai 2018
Le responsable de traitement au 25 mai 2018 est responsable pour la conformité aux principes généraux et il doit également être capable de démontrer cette conformité notamment sur les points suivants :
- L’accountability : désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement, et être en mesure de le démontrer.
- L’obligation de tenue de registre des traitements en interne (et des responsabilités) et l’analyse d’impacts lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
- L’obligation de conserver le consentement des personnes.
- Celle de designer un délégué à la protection des données selon les cas cités dans l’article 37 du RGPD.
- L’introduction de la coresponsabilité des prestataires intervenant sur les fichiers.
- L’obligation de déclaration sous 72 heures d’une violation de données personnelles aux autorités.
Quels risques en cas de non-respect ?
Le Règlement, contrairement au droit suisse, reconnaît le pouvoir aux autorités de contrôle d’imposer elles-mêmes des amendes administratives lorsqu’un certain nombre de conditions sont réunies.
Chaque autorité de contrôle devra veiller à ce que les amendes administratives imposées pour des violations du RGPD soient effectives, proportionnées et dissuasives
ne faut, en effet, pas oublier que le Règlement met à disposition tout un éventail de moyens dissuasifs comme l’avertissement, la mise en demeure, la limitation temporaire ou définitive d’un traitement et les rappels à l’ordre. Parmi tous ces outils, les autorités de protection des données devront choisir l’outil qui sera le plus à même d’atteindre l’objectif de mise en conformité.
Ce n’est donc qu’en ultime recours que les responsables d’un traitement peuvent s’exposer à des amendes d’un montant maximal de 20 millions d’euros ou correspondant à 4 % de leur chiffre d’affaires annuel mondial. L’article 83 RGPD liste les facteurs à prendre en compte pour fixer le montant de la sanction.
Il ne faut toutefois pas perdre de vue qu’il conviendra, le cas échéant, également de payer les éventuels dommages et intérêts des préjudices subis suite à un recours en justice.
Besoin d’un conseil pour votre mise en conformité ? Programmez votre rendez-vous en visioconférence
Si cet article vous a plu, n’hésitez pas à le partager et nous adresser vos commentaires.
1 Pour en savoir plus consulter le document publié par le Préposé Fédéral à la protection des données et à la transparence et les extraits publiés dans cet article à l’adresse suivante : https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/les-taches-du-pfpdt.html
LEAVE A COMMENT