Le règlement de l’UE sur la protection des données concerne également des PME établies en Suisse. Ces dernières doivent, à partir du 25 mai prochain, respecter sept obligations légales, sous peine de sanctions pécuniaires.

Votre entreprise utilise les données personnelles d’individus situés sur le territoire de l’UE? Ces activités de traitement de données sont liées soit à une offre de biens ou de services, soit au suivi du comportement d’individus dans les pays membres de l’UE? Si tel est le cas, vous pourriez bien être touché par le nouveau Règlement européen sur la protection des données (RGPD). De nombreuses PME suisses s’activent actuellement pour mettre leurs activités –en particulier leur site internet– en conformité avec le RGPD qui entrera en vigueur le 25 mai 2018. C’est par exemple le cas du fabricant vaudois de boites à musique Reuge (voir témoignage dans l’encadré ci-dessous).
Pour déterminer si une entreprise tombe dans le champ d’application du RGPD, la localisation dans l’UE des individus dont les données sont traitées se révèle importante, tout comme l’intention de cibler des personnes dans l’espace européen. Des informations pour aider les PME à déterminer si elles sont sujettes à cette loi sont disponibles ici.
Les entreprises sous le coup du RGPD doivent respecter sept devoirs principaux. Le cabinet suisse d’avocats Kellerhals Carrard les résume ainsi:
1. Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées
Lorsque la légitimité d'un traitement de données repose sur le consentement de la personne concernée, son accord doit être libre et se baser sur une information complète, reconnaissable et certaine. Il doit être explicite. En revanche il n'est soumis à aucune exigence de forme et peut être donné oralement. L’important est que la société soit en mesure d’en apporter la preuve. Enfin, ce consentement doit pouvoir être révocable à tout moment.
2. Assurer le "Privacy by design" et le "Privacy by default"
Dès la conception du traitement, l’entreprise doit prendre des mesures techniques et organisationnelles afin de s'assurer du respect du RGPD et de protéger les droits des personnes concernées (Privacy by design). Elle doit, en outre, s’assurer, au moyen de paramètres par défaut, que seules les informations utiles à la finalité prévue seront traitées (Privacy by default).
3. Désigner un représentant dans l’UE
Le devoir de désigner un représentant dans l’UE tombe lorsque les traitements de données ne sont qu’occasionnels, n’impliquent pas des catégories de données particulières et n'engendrent quasiment aucun risque.
4. Tenir un registre des activités de traitement
L’entreprise ou ses sous-traitants doivent tenir à jour un document contenant une série d’informations sur les méthodes de traitement des données.
5. Déclarer les cas de violation des données à l'autorité de contrôle
La société doit prévoir des mécanismes rapides d’information des personnes concernées et des autorités de contrôle compétentes en cas de violation des données.
6. Procéder à une analyse d'impact relative à la protection des données
Un type de traitement susceptible d’engendrer un risque élevé de violation des droits et des libertés doit faire l’objet d’une analyse d’impact.
7. Régler des amendes en cas de violation du RGPD
Pour les entreprises, l’amende en cas de violation de la protection des données peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
Bonne nouvelle pour les sociétés qui s’apprêtent à s’adapter au règlement européen: les révisions de procédures internes, lignes directrices, contrats et déclarations de confidentialité qu’elles auront réalisées devraient correspondre aux futures exigences suisses en la matière. La Commission des institutions politiques du Conseil national s'est en effet prononcée en janvier 2018 pour une révision en deux étapes de la loi sur la protection des données. Les entreprises qui se conformeront au RGPD seront logiquement prêtes pour cette révision. Dans le contexte actuel de croissance de la digitalisation des entreprises et de leurs activités de traitement de données personnelles, une telle réforme s’avèrera importante pour la protection des droits des individus en Suisse.
Informations
Sur le thème
Reuge adapte son site web
Dans sa boutique en ligne, l’entreprise Reuge vend des boîtes à musique fabriquées à Sainte-Croix (VD). Comptant une clientèle européenne importante, la société se préoccupe actuellement de la compatibilité de son site internet avec le RGPD. "Reuge mettra en ligne ces prochaines semaines un nouveau site web, explique le CEO Kurt Kupper. Le RGPD est présent dans le cahier des charges du développeur."
La PME de 70 collaborateurs dispose-t-elle de l’expertise nécessaire à l’interne pour étudier cette question? "Notre directeur financier (CFO) étudie le dossier en collaboration avec des spécialistes externes ainsi qu’avec la Chambre vaudoise du commerce et de l'industrie (CVCI)." Cette mise en œuvre engendre un coût important pour la société. "Malheureusement, tout nouveau règlement occasionne des frais supplémentaires. Pour une PME, ceux-ci sont proportionnellement plus importants que pour les grandes entreprises."
Liens
Dernière modification 07.02.2018