La RGPD et la Suisse

La RGPD et la Suisse

données personnelles

Avec une entrée en vigueur le 24 mai 2018, et une application dès le 25, le règlement général sur la protection des données (RGPD) modifiera radicalement la manière dont les entreprises maintiennent et gèrent leurs données et celles de leurs clients.

Voici un aperçu des nouvelles réglementations entrant en application concernant la protection des données à caractère personnel, et quelques bonnes pratiques pour se mettre en conformité avec la RGPD.

Le RGPD est le plus important changement dans la réglementation de la protection des données à caractère personnel de ces dernières décennies.
Ce rappel à pour vocation à vous informer de l’importance de cette réglementation et les modification qu’elle implique dans la manière de traiter les données personnelles de vos clients. La réglementation sur la RGPD, ce sont 99 articles, disponibles sur le site de EUR-Lex (accès au droit de l’union européenne).

Avertissement : Cette article est fourni à titre exclusivement informatif, il n’a pas valeur d’avis juridique. Si vous souhaitez recevoir des conseils spécifiques vis-à-vis de l’impact du RGPD sur votre activité, nous vous invitons à vous rapprocher de votre conseil juridique.

Qui est concernée par la RGPD ?

Est concernée, toute entreprise suisse et/ou de l’union européenne manipulant et/ou récoltant des données à caractère personnel d’utilisateurs résidents de l’union européenne. (Les utilisateurs suisses restent toutefois sous à  la loi suisse sur la protection des données (LPD).

Dans quelle mesure une entreprise romande est-elle soumise au RGPD?

On peut distinguer trois cas de figure:

– Les entreprises non soumises: elles offrent des biens et des services à des clients en Suisse exclusivement et n’ont pas de présence dans l’UE.
– Les entreprises soumises parce qu’elles sont présentes dans l’UE au travers d’entités européennes et récoltent des données personnelles d’utilisateurs résidents dans l’UE.
– Les entreprises soumises de manière extraterritoriale: présentes seulement en Suisse, elles offrent entre autres des biens ou des services à des résidents de l’UE ou monitorent leurs actions sur internet à travers des utilisateurs résidents dans l’UE.

Par exemple, le simple fait qu’un utilisateur Français, fasse une demande de contact à travers votre formulaire implique que vous êtes soumis à la RGPD.

Le droit à l’oubli

Une des mesure phare de cette réglementation mentionne, qu’un prestataire de services doit, si un client résident de l’UE le demande, effacer toutes les données qu’il possède sur lui.

Portabilité des données

La portabilité des données vise à permettre aux utilisateurs de recevoir les données personnelles communiquées dans un format structuré, couramment utilisé et lisible par machine. Les utilisateurs concernées qui bénéficient de ce droit peuvent également demander à ce que ces données soient directement transmises à un autre site lorsque cela est techniquement possible. Attention, au vu du projet de nouvelle loi suisse sur les données, la portabilité ne devrait  pas être imposée aux entreprises helvétiques.

Qu’est qu’une donnée ?

C’est une notion très large qui inclut toute information liée à une personne identifiée ou identifiable. C’est évidemment le cas d’un nom, d’une adresse, mais également d’un numéro de client, d’un identifiant ou d’un adresse IP, cookie et autres informations de navigation.

Les dossiers d’employés, fiches salaires, fichiers d’adresses clients, fichiers d’adresses de prospects regorgent par exemple de données personnelles.

Cependant, la RGPD demande à ce qu’une entreprise ne doit récolter qu’un minimum de données utiles sur ses clients. Une site e-commerce qui vendrait par exemple du vin n’aurait par besoin de récolter des données concernant, leur nombre d’enfants. L’expéditeur d’une newsletter n’a pas non plus, a priori, à savoir votre âge ou votre sexe.

Mais voilà, une ambiguïté vient se glisser dans la RGPD qui ne précise pas quelles sont ces données minimales à récolter. «Le responsable de traitement doit déterminer si et quelles données personnelles sont nécessaires pour atteindre le but qu’il poursuit et il doit être en mesure de démontrer que ces données sont vraiment nécessaires».

Grosso-modo, il vous faudra justifier de la raison pour laquelle vous avez collecter cette donnée est quelle sont but et/ou son utilité au sein de votre entreprise.

Quelles sont les sanctions en cas de violation?

Les sanctions sont plus sévères dans le règlement européen que dans la loi suisse et elles s’appliquent différemment.

La gravité de l’infraction est évaluée en fonction de divers facteurs, dont par exemple son caractère intentionnel ou non, sa durée, le volume de données concernées, l’existence de violations précédentes, etc…

En Suisse, il n’y aura pas d’amende administrative, mais seulement une amende pénale d’un montant maximal de CHF 250’000, infligée à l’employé responsable en cas d’infraction intentionnelle.

Quelles sont les mesures à prendre?

– Désigner une personne en interne de votre entreprise qui prend et gère les données de votre site (pour de faible volume de données, cela peut-être votre société elle même.)
– Cartographier l’état existant des données au sein de votre entreprise et de votre site: quelles données, sur quel type de formulaire, quelles justifications pour les récolter, dans quels buts. Mise en place de checkbox sur tous vos formulaires liés à vos conditions d’utilisation sur les données personnelles.
– Évaluer si les données sont en conformitées avec la règlementation applicable (RGPD et LPD)
– Faire le travail d’ajustement, qui sera plus ou moins important/urgent selon les cas sur votre site internet, en interne et avec vos sous-traitants.

Il n’existe pas de solution miracle. La mise en conformité passe par un travail interne et externe qui peut être important selon votre entreprise, votre type de site internet et votre marché cible.

L’état de mise en conformité ne peut pas être évalué par des logiciels. Point positif : l’entreprise qui s’est mise en conformité pour le RGPD sera quasi prête pour la LPD.

Notre solution RGPD

Nous pouvons, mettre à jour certains paramètres de votre site pour répondre en partie à la nouvelle réglementation de la RGPD, selon votre profil de site internet et les données que vous traitez. Si vous n’êtes pas encore aux normes avec le RGDP, n’hésitez à nous contacter pour faire un point sur votre activité.