Le champ d’application de la nouvelle réglementation de l’Union européenne sur la protection des données, qui est applicable depuis le 25 mai 2018, est si large que de nombreuses entreprises suisses pourraient être concernées. Présentation des principaux défis
Le nouveau Règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans toute l’Union européenne (UE). Il pourra, dans certains cas, s’appliquer aussi aux sociétés ayant leur siège en Suisse.
Il est important que les entreprises pouvant être touchées par cette réforme s’en préoccupent dès à présent. En effet, si elles sont effectivement concernées, elles devront vérifier, entre autres, la compatibilité de leurs procédures internes, lignes directrices, contrats et déclarations de confidentialité. Car, des sanctions pécuniaires élevées sont prévues en cas de violation du règlement.
Quelles entreprises sont concernées?
Les entreprises helvétiques devront respecter le RGPD si elles traitent les données personnelles d’individus situés sur le territoire de l’UE et si les activités de traitement sont liées, alternativement:
- A une offre de biens ou de services à ces individus (avec un paiement ou non à la clé).
- Au suivi du comportement de ces individus: concernant des comportements qui ont lieu dans les pays membres de l’UE (art. 3 al. 2 let a et b RGPD).
Pour déterminer si les activités d’une entreprise sise en dehors de l’UE tombent dans le champ d'application du RGDP, les conseillers juridiques doivent analyser si l’intention de vendre des biens ou services dans l’UE est manifeste. Divers indices peuvent ainsi être étudiés (par exemple: la mention sur le site internet de clients situés dans les pays membres ou d’une monnaie courante dans l’UE). Dans le cas de l'art. 3 al. 2 let. b RGPD, ces experts peuvent analyser s’il existe une volonté claire de suivre le comportement d’individus dans l’espace européen (par exemple, en observant l’utilisation de techniques de profilage ou de Google analytics).
Que devront entreprendre les sociétés concernées?
Les entreprises suisses touchées par le nouveau règlement européen doivent respecter les devoirs suivants:
- Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées
- Assurer le "Privacy by design" et le "Privacy by default".
- Désigner un représentant dans l’UE.
- Tenir un registre des activités de traitement.
- Déclarer les cas de violation des données à l'autorité de contrôle.
- Procéder à une analyse d'impact relative à la protection des données.
Pour les entreprises, l’amende en cas de violation de la protection des données peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
Il convient également de mentionner que le pendant suisse de la RGPD, une nouvelle loi fédérale sur la protection des données, est en chantier. Les sociétés qui seront déjà adaptées à la RGPD devraient gagner du temps dans la mise en œuvre de la mouture helvétique quand celle-ci sera prête.
Cet article n’a pas la volonté d’être exhaustif. Pour davantage d’informations sur la RGPD, veuillez consulter les liens ci-dessous.
Source : Règlement européen sur la protection des données – Ce que les entreprises suisses doivent savoir, L’essentiel en Bref du cabinet Kellerhals-Carrard, Zurich (25 mai 2017)
Avec l’aide de l’Office fédéral de la justice OFJ (Août 2017)
