Après une période transitoire de deux ans, le règlement général sur la protection des données « RGPD » de l’Union européenne sera ratifié le 25 mai 2018. Le Conseil fédéral a publié un projet révisé de la loi fédérale sur la protection des données le 15 septembre 2017, mais la ratification n’est pas prévue avant le 1er août 2018.

Que signifient ces changements législatifs pour les entreprises suisses et quels risques en découleront pour la manipulation, la conservation et le traitement de données?

Projet de loi fédérale sur la protection des données

Alors que le règlement de l’Union européenne deviendra effectif dans quelques mois, le Conseil fédéral vient tout juste de publier son projet de révision de la loi fédérale sur la protection des données.

Certains paragraphes du plus récent projet de loi méritent d’être particulièrement scrutés en vue de nouveaux risques potentiels ou d’un renforcement des risques déjà existants. Le projet de loi adopte une approche basée sur le risque et fait la distinction entre les activités « à haut risque » et « à faible risque ». Il recommande aussi aux personnes responsables de mettre en place un processus formalisé d’évaluation des risques potentiels en matière de protection de la sphère privée.

Avant même que la nouvelle loi fédérale ne prenne effet, le RGPD de l’UE sera déjà ratifié le 25 mai 2018.

Qu’est-ce que cela signifie pour les entreprises domiciliées en Suisse?

Comme leur rayon d’activité tend à s’élargir, il y a de fortes chances que les organisations suisses soient subor-données au nouveau règlement au même titre que les sociétés européennes. Si elles offrent des biens ou des ser-vices à des personnes domiciliées dans l’UE ou surveillent le comportement de telles personnes, le règlement leur sera applicable.

Seront notamment concernés le traitement et la conservation de données régies par la législation de l’UE (p.ex. les données personnelles de citoyens de l’UE), et ce indépendamment du fait que les données soient traitées à des fins de marketing ou pour enregistrer une relation de client existante.

Mais puisque la Suisse ne s’inscrit pas dans l’UE, l’applicabilité du GDPR en Suisse sera par son domaine d'appli-cation extraterritorial. Cette domaine comprend les sociétés à l’extérieur de l’UE géographique qui offrent les ser-vices expliqués ci-dessus. Du fait que cette régulation doit encore entrer en vigueur, ce n’est pas encore clair comme l’UE a l’intention de persécuter des investigations régulatrices et poser des sanctions vers des sociétés Suisses. C’est en plus douteux qu’est-ce qui se passera avec des filiales domiciliées dans l’UE. Les sanctions pré-vues n’englobent pas seulement des amendes pouvant atteindre jusqu’à 2 ou 4% du chiffre d’affaires mondial, mais aussi la possibilité d’une interdiction permanente de certaines activités de traitement de données, ce qui dans la pratique pourrait carrément signer l’arrêt de mort de certaines entreprises.

Pour les responsables de la maîtrise des risques, cela signifie que les mesures prévues deviendront non seulement plus sévères, mais aussi nettement mieux applicables au sein de l’UE. Les entreprises devront se mettre aux normes d’ici mai 2018 et faire le nécessaire pour que les dispositions de notification soient exécutées (dans un délai de 72 heures). En identifiant et évaluant les actifs exposés, les organisations seront capables de décider selon une approche de risque comment contrôler et gérer le risque financier résiduel.

Coup de projecteur sur le règlement européen de protection des données

Jusqu’au milieu des années 90, la législation sur la protection des données des Etats membres de l’UE n’était prati-quement pas harmonisée du tout. Pour les entreprises qui opéraient au sein de l’UE, cela signifiait qu’elles devaient s’adapter aux exigences légales de chaque pays.

En 1995, l’UE a introduit la directive 95/46/EC qui a créé pour l’ensemble de l’UE une législation sur la protection des données plus ou moins cohérente. Comme toute autre directive de l’UE, il a ensuite fallu transposer cette direc-tive dans la législation nationale de chaque Etat membre. Mais tous les Etats n’ont pas eu la même approche et des incohérences ont subsisté dans les législations nationales sur la protection des données, rendant la vie difficile aux entreprises qui devaient s’y conformer.

Depuis 1995, la technologie informatique a accompli des progrès énormes et la manière dont les individus et les organisations communiquent et partagent des informations a complètement changé. Pour de nombreuses entre-prises, les données elles-mêmes représentent désormais un capital précieux. Les données régulièrement collectées et utilisées par les organisations dépassent largement tout ce que l’on aurait pu imaginer en 1995.

L’explosion des réseaux sociaux et l’analyse du Big Data (entre autres) ont révélé à quel point la législation exis-tante était obsolète. Une nouvelle approche s’imposait à l’évidence en matière de protection des données et la Commission européenne a publié un premier projet de règlement en 2012.

Les principaux changements

Les défis pour les entreprises

  • Plus de pouvoirs coercitifs
  • Nouvelles obligations pour les organismes de traitement de données
  • Champ d’application territorial plus étendu
  • Il sera plus difficile d’obtenir le consentement nécessaire comme base légale pour traiter des données
  • Protection des données dès la conception et par défaut
  • Règles strictes de notification des atteintes à la protection des données
  • Le « droit d’être oublié »
  • Le droit de s’opposer au profilage
  • Le droit à la portabilité des données

Les chances pour les entreprises

  • Plus d’harmonisation
  • Une approche de la conformité basée sur le risque
  • Le « guichet unique »
  • « Pseudonymisation »
  • Règles d’entreprise contraignantes


L’objectif de la nouvelle réglementation

Le règlement vise l’harmonisation à l’échelle européenne des législations nationales sur la protection des données, des règles encore plus contraignantes pour les utilisateurs de données personnelles et le renforcement des droits de l’individu. En même temps, il est tenu compte des nouveaux développements technologiques.

Le règlement sera directement applicable dans toute l’UE, sans qu’une implémentation nationale ne soit requise. Pour les entreprises, cela signifiera sans doute à l’avenir moins de divergences nationales en matière de conformité avec les règles de la protection des données. Mais toutes les divergences ne seront pas éradiquées pour autant.

Et la suite?

Le Parlement européen a approuvé le règlement le 14 avril 2016. Après sa publication dans le Journal officiel a commencé une période d’implémentation de deux ans, après quoi le règlement prendra effet le 25 mai 2018.

La protection des données deviendra un signifiant risque de compliance pour des organisations comme sont déjà devenues les affaires antitrust qui peuvent causer des sanctions régulatrices signifiantes. Une fois la réglementa-tion officiellement instaurée, les entreprises ne pourront plus s’offrir le luxe de prendre ce risque à la légère.

Pour de nombreuses entreprises, l’introduction du règlement signifiera sans doute que des changements s’imposeront à tous les niveaux. Les organisations devraient se pencher sur les conséquences de la nouvelle légi-slation dès maintenant et prendre les mesures nécessaires pour être en conformité. Certains changements pren-dront juste un peu de temps pour s’ancrer dans la routine, pour d’autres, il faudra sans doute repenser tous les pro-cessus existants. Dans un premier temps, les entreprises devront faire un état des lieux de leur capital de données existant et établir leur profil de conformité. Une tâche de taille pour la plupart d’entre elles. C’est probablement en Grande-Bretagne que les entreprises auront le plus à faire pour être en règle avec la nouvelle protection des don-nées harmonisée, car elles y jouissaient jusqu’ici d’un régime plus allégé en la matière.