RGPD – Pas de panique

Le 25 mai 2018 était la date limite de mise en œuvre du règlement général européen sur la protection des données (RGPD) entré en vigueur le 24 mai 2016 et applicable à l’Espace économique européen (UE et pays participant à l’Espace économique européen). Le RGPD est donc également directement applicable aux sociétés suisses sous certaines conditions. De ce fait, le marché connaît une certaine agitation, mais aussi de la perplexité.

Les exigences du RGPD sont plus strictes que les règles de protection des données précédentes. En même temps, de nombreuses dispositions laissent place à l’interprétation et beaucoup reste encore flou en raison de l’absence de pratiques judiciaires et administratives appropriées. De nombreuses entreprises, en particulier les petites et moyennes entreprises disposant de ressources humaines et financières limitées, n’auront probablement mis en œuvre qu’une partie des mesures nécessaires à ce jour.

On peut se consoler un peu en constatant que, même si le délai de mise en œuvre était le même pour les États membres et leurs administrations, au 25 mai 2018, moins de la moitié des pays avaient bien fait leurs « devoirs ». Selon une enquête de Reuters, la plupart des pays manquent du « financement nécessaire ou de pouvoirs appropriés pour faire appliquer le RGPD ». Bien sûr, cela ne signifie pas que les entreprises suisses concernées ne doivent pas essayer de satisfaire au mieux aux exigences. Car au final, en cas de certaines violations, des sanctions colossales sont prévues (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente, selon le montant le plus élevé, et en fonction de la gravité de l’infraction).

Mais cette mise en œuvre tardive, y compris au niveau des États fédéraux et des autorités, laisse supposer qu’il est peu probable que des amendes soient appliquées dès le 26 mai 2018. Ce ne sont pas les petites et moyennes entreprises, en particulier celles de Suisse, qui seront ciblées, mais les grandes entreprises mondiales, telles que Facebook, Google etc. Max Schrems, connu pour les procédures judiciaires qu’il a initiées contre Facebook, a déjà introduit une réclamation contre Google, WhatsApp et Instagram par le biais de NOYB – Centre européen pour les droits numériques (https://noyb.eu/). Les bases essentielles de la mise en œuvre des exigences du RGPD vont être relevées ici. Les questions et réponses ci-dessous sont destinées à fournir un premier guide d’orientation.

1. Pourquoi le RGPD s’applique-t-il aussi aux entreprises suisses ?

Les entreprises suisses entrent dans le champ d’application du RGPD dès lors qu’elles ont un établissement dans l’UE (article 3, paragraphe 1 du RGPD). Selon les explications du RGPD, un établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable, quelle que soit la forme juridique de cette institution.

Même si elles ne sont pas établies dans l’UE, les entreprises suisses entrent dans le champ d’application du RGPD si elles offrent des biens ou des services aux personnes physiques situées dans l’UE (la version anglaise parle de « personnes concernées » qui, par définition, ne peuvent être que des personnes physiques) dans le sens d’un développement actif du marché ou si elles surveillent le comportement des personnes dans l’UE (principe dit du « lieu du marché », article 3, paragraphe 2 du RGPD).

Selon le RGPD, un développement actif du marché par une entreprise suisse dans l’UE a lieu lorsqu’il est manifeste qu’elle a pour intention d’offrir des biens ou des services à des personnes concernées dans un ou plusieurs États membres de l’Union. La simple accessibilité d’un site web, une adresse e-mail ou d’autres informations de contact dans l’Union, ou l’utilisation d’une langue couramment utilisée dans le pays du prestataire, ne constituent pas une indication suffisante d’« offre manifeste ». En revanche, d’autres facteurs, tels que l’utilisation d’une langue ou d’une monnaie commune dans un ou plusieurs États membres, combinée à la possibilité de commander des produits et services dans cette autre langue, ou la mention de clients ou d’utilisateurs dans l’Union, pointent vers une telle intention. Dans les domaines réglementés, tels que le placement ou la gestion d’actifs, où l’activité transfrontalière nécessite une autorisation, l’existence d’une telle autorisation pour l’UE est susceptible de représenter une intention.

La question de savoir si une activité de traitement vaut observation du comportement des personnes concernées dépend du fait que leurs activités sur Internet soient suivies ou non, permettant de créer des profils sur la base desquels les décisions les concernant sont prises ou à partir desquels leurs préférences personnelles, leurs pratiques ou leur comportement peuvent être analysés ou prédits (utilisation d’outils de suivi, profilage).

Il est alors possible que les entreprises suisses soient contractuellement tenues de se conformer au RGPD, par exemple si la société suisse effectue un traitement de données pour le compte d’une entreprise située dans l’EEE (voir article 28 RGPD, contrat de traitement de données).

2. Quelles sont les données concernées ?

Selon le RGPD, toute information relative à une personne physique identifiée ou identifiable doit être qualifiée de donnée personnelle. En plus des données à caractère personnel telles que le nom, l’adresse e-mail et le numéro de téléphone, les données personnelles comprennent explicitement des données telles que les adresses IP, les données GPS, les adresses MAC, les identifiants uniques d’appareils mobiles, etc.

Le RGPD oblige les entreprises à établir une liste des données réellement traitées.

3. Si mon entreprise tombe sous le coup du RGPD, quelles sont les conséquences pour le traitement de ces données ?

Le RGPD énonce de nombreuses obligations d’information et de responsabilité. D’une part, les personnes concernées doivent être mieux informées que jamais sur le traitement des données et, d’autre part, le RGPD confère à ces personnes des droits étendus en matière d’information, de droit à l’effacement et de transfert de données. En conséquence, les entreprises doivent mettre en œuvre une gestion des données conforme à ces obligations et garantir que les personnes concernées puissent faire valoir leurs revendications dans le cadre et les délais fixés par le RGPD.

Le traitement des données doit respecter les principes « privacy by design » (respect de la vie privée dès la conception) et « privacy by default » (respect de la vie privée par défaut). Le premier principe signifie que le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées, tant au moment de la détermination des moyens de traitement qu’au moment du traitement lui-même, afin d’appliquer efficacement les principes du RGPD. Le second principe signifie que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel requises aux fins du traitement soient traitées. Cette obligation s’applique à la quantité de données personnelles collectées, à l’étendue de leur traitement, à la durée de leur stockage et à leur accessibilité.

Le RGPD oblige alors les entreprises à mettre en place des mesures techniques et organisationnelles assurant un niveau adéquat de sécurité des données. Selon le RGPD, les mesures suivantes doivent par exemple être prises :

• Pseudonymisation et cryptage des données personnelles
• Assurer la confidentialité, l’intégrité et la disponibilité des systèmes de traitement utilisés
• S’assurer que les données personnelles peuvent être restaurées en temps opportun en cas d’incident physique ou technique

L’utilisation de mesures techniques et organisationnelles concrètes doit être documentée et l’efficacité des mesures doit être régulièrement vérifiée. Conformément au devoir responsabilité, le contrôle doit également être documenté.

Le RGPD impose également une obligation de notification des violations de la protection des données à l’autorité de protection des données concernée. La notification doit être faite immédiatement et dans la mesure du possible au plus tard 72 heures après la survenue de l’incident. Dans le cas des entreprises suisses, la notification doit être faite auprès des autorités de contrôle de tout pays de l’UE dans lequel se trouve la personne concernée. Dans certains cas (de sérieux désavantages menacent les personnes du fait de l’incident), les personnes concernées elles-mêmes et les autorités de contrôle doivent être informées. Les entreprises doivent élaborer, mettre en œuvre et réviser régulièrement un plan d’urgence pour ces cas.

4. Selon le RGPD, le traitement des données personnelles est en principe interdit et n’est autorisé que s’il existe un motif le justifiant. Quelles sont les justifications possibles ?

Selon le RGPD, le traitement des données personnelles n’est légal que si au moins l’une des conditions suivantes est remplie :

• La personne concernée a donné son consentement pour le traitement
• Le traitement est nécessaire pour l’exécution d’un contrat auquel la personne concernée est partie prenante ou pour prendre certaines mesures à la demande de la personne concernée avant la conclusion du contrat
• Le traitement a lieu sur la base d’une obligation légale
• Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou de toute autre personne physique
• Le traitement est nécessaire pour accomplir une tâche dans l’intérêt public
• Le traitement est requis par un intérêt légitime de la société traitant les données ou d’un tiers, sauf si les intérêts de la personne concernée prévalent

5. Quelles sont les exigences applicables si je m’appuie sur le consentement de la personne concernée comme justification légale ?

Le consentement doit être donné volontairement et la personne concernée doit être informée en détail des données collectées et du but du traitement, afin que le consentement soit donné en toute connaissance de cause. Le consentement n’est valable que s’il repose sur une volonté claire de la personne concernée (à savoir une déclaration ou une action affirmative claire).

Le consentement est souvent obtenu par l’intermédiaire d’une déclaration de protection des données (Privacy notice). Celle-ci doit être présentée sous une forme compréhensible et facilement accessible et dans un langage clair et compréhensible. La personne concernée doit pouvoir révoquer son consentement à tout moment et être avoir été informée au préalable de ce droit. Pour l’accord des enfants, des exigences spéciales s’appliquent.

6. Quels droits une personne concernée peut-elle revendiquer ?

Les personnes concernées ont d’une part un droit d’accès. Ceci oblige l’entreprise à fournir gratuitement à la personne concernée certaines informations sur le traitement de ses données personnelles. Ces informations doivent être fournies sous une forme concise, transparente, compréhensible et facilement accessible dans un langage clair et compréhensible. Le RGPD stipule que les demandes de renseignements doivent être satisfaites sous 30 jours. Il est donc conseillé de mettre en place un concept de réception et de traitement des demandes adapté.

Le RGPD établit ensuite ce que l’on appelle le “droit à l’oubli”, à savoir que les personnes concernées ont le droit d’exiger l’effacement de leurs données dans certains cas. En particulier, il existe un droit d’effacement si l’information n’est plus nécessaire aux fins pour lesquelles elle a été collectée ou si la personne retire son consentement et s’il n’existe aucun autre motif juridique pour le traitement de ses données.

Les personnes concernées ont ensuite le droit à la portabilité des données concernant certaines données, à savoir le droit de recevoir les données personnelles fournies au responsable dans un format structuré, couramment utilisé et lisible par machine et de transmettre ces données à un autre responsable sans que personne n’y fasse obstacle. Toutefois, ce droit ne s’applique qu’aux données personnelles qu’une personne a mises à la disposition du responsable du traitement, dès lors que le traitement peut être justifié par un consentement ou par sa nécessité pour l’exécution d’un contrat et que le traitement est automatisé (exemple : données que les utilisateurs téléchargent sur Facebook).

7. Notre société traite les données pour le compte d’un tiers. Que doit-on respecter concernant le RGPD ?

Le RGPD fait une distinction entre le responsable et le sous-traitant. Selon le RGPD, le responsable est la partie qui décide seule ou avec d’autres des finalités et des moyens du traitement des données personnelles. Le sous-traitant est la partie qui traite les informations personnelles au nom du responsable du traitement.

Tout comme le responsable, le sous-traitant est tenu de se conformer aux dispositions du RGPD. En tant que responsable du traitement, je ne peux faire appel qu’à des sous-traitants fournissant suffisamment de garanties qu’ils traiteront les données conformément au RGPD. Un contrat doit être conclu entre le responsable du traitement et le sous-traitant (sauf en présence d’une autre base légale, comme la loi ou des règles d’entreprise contraignantes). Le RGPD définit un contenu minimum obligatoire pour ce contrat. Il convient de noter, par exemple, que le sous-traitant traite uniquement les données conformément aux instructions expresses du responsable et qu’il ne peut pas charger un autre sous-traitant de traiter les données sans le consentement du responsable.

8. Un délégué à la protection des données doit-il être nommé en vertu du RGPD ?

L’obligation de désigner un délégué à la protection des données selon le RGPD existe uniquement dans les cas suivants :

• L’activité principale de la société consiste à réaliser des opérations de traitement qui, par leur nature, leur portée et/ou leur finalité, impliquent un suivi régulier et systématique des personnes concernées, ou
• L’activité principale de l’entreprise est le traitement extensif de données particulièrement sensibles ou de données personnelles sur des condamnations pénales et des infractions. Les données particulièrement sensibles sont les données sur l’origine raciale et ethnique, les opinions politiques, les convictions religieuses ou idéologiques ou les affiliations syndicales, les données génétiques, les données biométriques pour l’identification sans ambiguïté d’une personne, les données sur la santé, l’orientation ou la vie sexuelle

Les lois nationales sur la protection des données des pays de l’UE peuvent s’en écarter et prévoir également une obligation générale de désigner un délégué à la protection des données.

9. Comment procède une autorité de contrôle de l’UE vis-à-vis d’une entreprise suisse ?

Ce n’est pas encore clair pour le moment. Le préposé fédéral à la protection des données et à la transparence a déclaré lors d’une interview que son bureau en Suisse ne travaillerait pas pour une autorité de contrôle de l’UE.

Selon le RGPD, les entreprises relevant du RGPD sur la base du principe du lieu du marché (voir ci-dessus question 1) et n’ayant pas d’établissement dans l’UE sont en principe tenues de désigner un représentant dans l’Union à qui les personnes concernées et les autorités de contrôle peuvent s’adresser.

Cette obligation de désigner un représentant n’existe pas si le traitement des données est occasionnel, aucun traitement approfondi des données sensibles et aucun traitement approfondi des données personnelles sur les condamnations pénales et les infractions ne sont prévus, et compte tenu de la nature, des circonstances, de la portée et du but du traitement, il n’y a aucun risque pour les droits et libertés des personnes concernées. Ce qu’est un traitement « occasionnel » n’est pas clairement défini. On peut cependant supposer que les exceptions doivent être interprétées strictement et ne sont vraiment que pour des cas exceptionnels.

Le représentant doit être établi dans l’un des États membres où se trouvent les personnes concernées par le traitement des données. Pour le moment, on ne sait pas si les entreprises suisses ont vraiment besoin de désigner un représentant. Par exemple, la loi allemande sur la protection des données (BDSG) stipule qu’en ce qui concerne le traitement des données dans le cadre du RGPD, la Suisse est à pied d’égalité avec les États membres de l’Union européenne et n’est pas considérée comme un pays tiers. On estime donc que l’Allemagne n’exigera pas qu’un représentant soit nommé pour les entreprises suisses tombant sous le coup du RGPD. La France doit également prévoir une disposition correspondante dans la loi nationale sur la protection des données. Il est cependant discutable que les différents pays puissent prévoir un tel allègement dans leur législation nationale. Étant donné que la non-désignation d’un représentant est sanctionnée par des amendes, en cas de doute, il est préférable de partir du principe de l’obligation de représentation.

10. Quelles sont les conséquences en cas de non-respect des dispositions du RGPD ?

D’une part, le RGPD prévoit que la (les) personne(s) et les associations concernées peuvent intenter une action et réclamer des dommages-intérêts. Ensuite, le RGPD donne aux autorités de protection des données le pouvoir d’infliger des amendes allant jusqu’à 10 millions d’euros ou 20 millions d’euros ou 2 % ou 4 % du chiffre d’affaires annuel global, en fonction de l’infraction.

Ce sont des amendes maximales, et dans l’évaluation au cas par cas, différents facteurs sont pris en compte pour déterminer la hauteur de l’amende, comme par exemple (sans que cette énumération soit exhaustive) :

• Nature, gravité et durée de l’infraction
• Nombre de personnes affectées par le traitement et étendue du préjudice subi
• Infraction intentionnelle ou par négligence
• Degré de responsabilité prenant en compte les mesures techniques et organisationnelles prises

S’il y a “seulement” une obligation contractuelle de traiter les données conformément au RGPD, le risque de responsabilité est basé sur le contrat en question.

11. Nous n’avons pas encore pris de mesures concernant le RGPD. Que devons-nous faire ?

Tout d’abord, vérifiez si votre entreprise entre dans le champ d’application du RGPD. Si ce n’est pas le cas, il n’y a actuellement aucune nécessité d’agir en urgente. Bien que l’intention de réviser la loi suisse sur la protection des données sur la base du RGPD ait été évoquée, il est actuellement difficile de savoir dans quelle mesure un tel rapprochement aura réellement lieu. Cependant, afin de pouvoir prendre en temps les mesures nécessaires, la question de la protection des données doit systématiquement rester sous observation.

Si le RGPD est applicable, créez un mapping/inventaire des données et documentez quelles données personnelles entrent dans le champ d’application du RGPD, en fonction de la justification du traitement des données et des flux de données internes et externes. Classifiez qui a accès à différents types de données, qui partage les données et quelles applications traitent ces données.

Utilisez cette documentation pour vérifier si les données appartiennent à une catégorie spéciale du RGPD (en particulier les données sensibles, les données pour le profilage, etc.) Évaluez les risques liés aux données concernées et vérifiez la conformité aux exigences du RGPD de vos politiques et procédures internes, votre (vos) politique(s) de confidentialité et des contrats avec les sous-traitants auxquels les données sont transmises. En l’absence de conformité, adaptez les documents en conséquence.

Vérifiez si et où vous devez nommer un représentant dans l’UE.

Résumé

La question du RGPD occupera encore longtemps les entreprises suisses. Dans ce contexte, il serait intéressant de savoir dans quelle mesure la loi suisse sur la protection des données, actuellement en cours de révision, sera basée sur le RGPD. Dans tous les cas, il est important de suivre le sujet de la protection des données et de se tenir informé.