Protection des données en Europe: les nouveaux devoirs des entreprises

Le règlement de l’UE sur la protection des données concerne également des PME établies en Suisse. Ces dernières doivent, à partir du 25 mai prochain, respecter sept obligations légales, sous peine de sanctions pécuniaires.

Un homme place des pièces d’un jeu d’adresse en équilibre. Cette illustration représente la protection des données.

Votre entreprise utilise les données personnelles d’individus situés sur le territoire de l’UE? Ces activités de traitement de données sont liées soit à une offre de biens ou de services, soit au suivi du comportement d’individus dans les pays membres de l’UE? Si tel est le cas, vous pourriez bien être touché par le nouveau Règlement européen sur la protection des données (RGPD). De nombreuses PME suisses s’activent actuellement pour mettre leurs activités –en particulier leur site internet– en conformité avec le RGPD qui entrera en vigueur le 25 mai 2018. C’est par exemple le cas du fabricant vaudois de boites à musique Reuge (voir témoignage dans l’encadré ci-dessous). 

Pour déterminer si une entreprise tombe dans le champ d’application du RGPD, la localisation dans l’UE des individus dont les données sont traitées se révèle importante, tout comme l’intention de cibler des personnes dans l’espace européen. Des informations pour aider les PME à déterminer si elles sont sujettes à cette loi sont disponibles ici

Selon Monique Cossali Sauvain, cheffe de l’unité Projets et méthode législatifs à l’Office fédéral de la justice, la taille de l’entreprise et le type de données traitées ne sont pas pertinents pour l’application du RGPD.  "Dans la pratique, ce règlement ne devrait en principe pas s’appliquer à de petits commerces comme une boulangerie ou un salon de coiffure: ces enseignes n’offrent pas des biens ou des services à des personnes dans l’UE et ne suivent pas non plus leur comportement. En revanche, tel pourrait être le cas d’un petit développeur d’une application de rencontres, dans la mesure où il offre des services à des résidents de l’UE." 

Les entreprises sous le coup du RGPD doivent respecter sept devoirs principaux. Le cabinet suisse d’avocats Kellerhals Carrard les résume ainsi:

1. Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées

Lorsque la légitimité d'un traitement de données repose sur le consentement de la personne concernée, son accord doit être libre et se baser sur une information complète, reconnaissable et certaine. Il doit être explicite. En revanche il n'est soumis à aucune exigence de forme et peut être donné oralement. L’important est que la société soit en mesure d’en apporter la preuve. Enfin, ce consentement doit pouvoir être révocable à tout moment.

2. Assurer le "Privacy by design" et le "Privacy by default"

Dès la conception du traitement, l’entreprise doit prendre des mesures techniques et organisationnelles afin de s'assurer du respect du RGPD et de protéger les droits des personnes concernées (Privacy by design). Elle doit, en outre, s’assurer, au moyen de paramètres par défaut, que seules les informations utiles à la finalité prévue seront traitées (Privacy by default).

3. Désigner un représentant dans l’UE

Le devoir de désigner un représentant dans l’UE tombe lorsque les traitements de données ne sont qu’occasionnels, n’impliquent pas des catégories de données particulières et n'engendrent quasiment aucun risque.

4. Tenir un registre des activités de traitement

L’entreprise ou ses sous-traitants doivent tenir à jour un document contenant une série d’informations sur les méthodes de traitement des données.

5. Déclarer les cas de violation des données à l'autorité de contrôle

La société doit prévoir des mécanismes rapides d’information des personnes concernées et des autorités de contrôle compétentes en cas de violation des données.

6. Procéder à une analyse d'impact relative à la protection des données

Un type de traitement susceptible d’engendrer un risque élevé de violation des droits et des libertés doit faire l’objet d’une analyse d’impact.

7. Régler des amendes en cas de violation du RGPD

Pour les entreprises, l’amende en cas de violation de la protection des données peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent. 

Bonne nouvelle pour les sociétés qui s’apprêtent à s’adapter au règlement européen: les révisions de procédures internes, lignes directrices, contrats et déclarations de confidentialité qu’elles auront réalisées devraient correspondre aux futures exigences suisses en la matière. La Commission des institutions politiques du Conseil national s'est en effet prononcée en janvier 2018 pour une révision en deux étapes de la loi sur la protection des données. Les entreprises qui se conformeront au RGPD seront logiquement prêtes pour cette révision. Dans le contexte actuel de croissance de la digitalisation des entreprises et de leurs activités de traitement de données personnelles, une telle réforme s’avèrera importante pour la protection des droits des individus en Suisse.


Informations

Sur le thème

Reuge adapte son site web 

Dans sa boutique en ligne, l’entreprise Reuge vend des boîtes à musique fabriquées à Sainte-Croix (VD). Comptant une clientèle européenne importante, la société se préoccupe actuellement de la compatibilité de son site internet avec le RGPD. "Reuge mettra en ligne ces prochaines semaines un nouveau site web, explique le CEO Kurt Kupper. Le RGPD est présent dans le cahier des charges du développeur." 

La PME de 70 collaborateurs dispose-t-elle de l’expertise nécessaire à l’interne pour étudier cette question? "Notre directeur financier (CFO) étudie le dossier en collaboration avec des spécialistes externes ainsi qu’avec la Chambre vaudoise du commerce et de l'industrie (CVCI)." Cette mise en œuvre engendre un coût important pour la société. "Malheureusement, tout nouveau règlement occasionne des frais supplémentaires. Pour une PME, ceux-ci sont proportionnellement plus importants que pour les grandes entreprises."

Dernière modification 07.02.2018

Début de la page

https://www.kmu.admin.ch/content/kmu/fr/home/actuel/theme-du-mois/2018/protection-des-donnees-en-europe-les-nouveaux-devoirs-des-entreprises.html