La protection des données sera renforcée

 | Paru dans Entreprise Romande  | Auteur : Pierre Cormon
visuel visuel

Toutes les entreprises offrant des biens ou des services à des personnes sur le territoire de l’Union européenne – ce qui inclut de nombreuses entreprises suisses – vont devoir se conformer au nouveau Règlement européen sur la protection des données (RGPD). Ses effets se déploieront dès le 25 mai 2018. La Suisse est en train de réviser sa propre Loi sur la protection des données, dans un esprit proche de celui du règlement européen. Toutes les entreprises gérant des données de personnes physiques vont donc devoir s’assurer que leurs pratiques sont conformes aux nouvelles prescriptions et, le cas échéant, les adapter. Un séminaire organisé par le Cabinet DPO-associates à la FER Genève a récemment fait le point sur cette question.

Pourquoi ces changements?

Parce que l’ancien règlement européen et l’actuelle loi suisse datent des années 1990 et précèdent la croissance d’internet, des réseaux sociaux, des smartphones et du big data. Les autorités ont donc jugé judicieux de réviser leurs textes à la lumière des nouvelles technologies. L’Union européenne veut harmoniser les pratiques en cours dans les Etats membres, afin de faciliter la tâche des entreprises qui travaillent dans plusieurs d’entre eux. Quant à la Suisse, elle a besoin que sa législation continue à être jugée adéquate par l’Union européenne pour que les transferts de données restent facilités entre les deux territoires.

Qui est concerné?

Pour le RGPD: «Toutes les entreprises qui offrent des biens ou des services à des personnes sur le territoire de l’Union européenne », relève Gérard Lommel, commissaire du gouvernement chargé de la mise en conformité des administrations du Grand-Duché du Luxembourg. Cela inclut par exemple un éditeur de logiciel suisse qui vend ses produits à des clients dans l’UE. Un magasin genevois dont une partie des clients vient de France voisine, sans qu’il ne cible activement cette clientèle, n’est en revanche pas concerné. Economiesuisse met un petit test à disposition sur son site, qui permet en deux minutes de voir s’il y a des chances que l’on soit concerné ou pas.

Pour la révision de la LPD: à quelques exceptions près, tous ceux qui gèrent des informations sur des personnes privées, comme un fichier clients, un fichier RH, etc. Le traitement de données effectué par une personne physique pour un usage exclusivement privé n’est pas concerné.

Quelles sont les principales innovations?

  • Les données relatives aux personnes morales ne seront plus protégées en Suisse.
  • Il faudra informer de manière beaucoup plus explicite lorsque l’on entend récolter des données sur des personnes et recueillir leur consentement. «Il ne suffira pas de glisser une disposition dans des conditions générales de plusieurs pages», relève Gérald Page, avocat et ancien membre de la Commission fédérale de la protection des données.
  • La protection des données devra faire l’objet d’une véritable gouvernance. Le RGPD et le projet de LPD misent sur l’autogouvernance; les entreprises pourront par exemple faire certifier leur système.
  • Les pouvoirs du préposé fédéral à la protection des données seront renforcés et les sanctions encourues en cas de non-respect seront plus élevées (jusqu’à deux cent cinquante mille francs en Suisse).

Pour le RGPD uniquement:

  • Les personnes ayant fait l’objet d’une récolte de données pourront demander à ce qu’elles soient effacées.
  • Une personne pourra demander que les données la concernant en possession d’un organisme soient transférées à un autre organisme ou lui soit restituées.
  • Les citoyens et les groupes de pressions pour engager des litiges de masse pour être indemnisés en cas d’infraction à la loi.

D’où part-on ?

De très loin, à en croire Claude Lachat, Data Protection Officer du groupe OFAC, à Genève. «La plupart des entreprises ne sont pas encore en conformité avec la législation actuelle. L’autorégulation est peu pratiquée et peu de sociétés sont certifiées.»

Que doivent faire les entreprises?

Elles doivent commencer par évaluer leur situation en matière de protection de données, puis mettre en place une vraie gouvernance, avec une évaluation des risques, des procédures documentées et des responsabilités clairement définies.

Si l’on choisit de se faire aider, il faut sélectionner le prestataire avec soin. Toutes sortes de prestataires de services offrent en effet des solutions clé en main pour se conformer au RGPD. Elles ont parfois un rapport assez lointain avec le règlement lui-même. «Il ne s’agit pas de se mettre à jour par à-coups puis de ne plus rien faire, sans quoi la protection des données se dégradera progressivement, alors que les menaces évoluent», prévient Claude Lachat. La protection des données doit être un souci constant, faisant l’objet d’évaluations périodiques débouchant sur des adaptations ou des améliorations.

Les moyens que l’on peut mettre en oeuvre dépendent évidemment de la taille de l’entreprise. «Les petites entreprises devraient procéder au moins à l’évaluation annuelle des risques», estime Claude Lachat. Comme les grands principes régissant le règlement européen et le projet de révision de la loi suisse sont similaires, on a tout intérêt à faire une mise en conformité groupée, en prenant le règlement européen, un peu plus exigeant, comme référentiel, conseille Claude Lachat.

Que risque-t-on si l’on ne fait rien?

Des sanctions sont prévues, mais ce n’est pas là l’essentiel, estime Claude Lachat. «Le vrai risque, c’est de provoquer des atteintes à la personnalité, et de subir des dégâts d’image.»

A consulter absolument

Kit d'accompagnement à la mise en conformité au RGPD


Découvrez d'autres articles

Mise en concurrence d'agences: malaise dans le secteur de la communication

Mise en concurrence d'agences: malaise dans le secteur de la communication

24 mai 2019 - Paru dans Entreprise romande

Les agences de communication se plaignent de ce que les annonceurs qui les mettent en concurrence ne respectent pas toujours les bonnes pratiques promues par les associations professionnelles.

Lire plus
Internet des objets, un voile sur les étoiles

Internet des objets, un voile sur les étoiles

28 mars 2019 - Paru dans Entreprise romande

Pour chercher notre chemin, le plus simple a longtemps été de tourner nos yeux vers les étoiles. Les temps ont changé.

Lire plus
Vers des procédures douanières entièrement numérisées

Vers des procédures douanières entièrement numérisées

26 novembre 2018 - Paru dans Entreprise Romande

Le système informatique de l’Administration fédérale des douanes est obsolète. Les Chambres fédérales ont voté un crédit de 393 millions de francs pour le renouveler et poursuivre la numérisation...

Lire plus