Blog cybersécurité

Intégrer les nouvelles règlementations relatives à la protection des données personnelles de manière pragmatique

Beaucoup de choses ont déjà été écrites concernant l'entrée en vigueur prochaine du Règlement général sur la protection des données (RGPD) européen en mai 2018 qui vise à "redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises".

Mais, alors que les grandes entreprises travaillent sur leur mise en conformité depuis de nombreux mois, de très nombreuses PME romandes sont encore dans l'expectative. Elles "attendent de voir", tant les exigences de traitement et les sanctions annoncées leur semblent disproportionnées par rapport à leur réalité opérationnelle quotidienne.

La plupart des PME possèdent au moins quelques clients ou fournisseurs européens. Beaucoup comptent des frontaliers parmi leur personnel. A quel degré sont-elles concernées par le règlement européen? Comment doivent-elles se préparer au(x) changement(s)? Enfin, comment le RGPD se compare-t-il avec la nouvelle Loi suisse sur la protection des données (LPD) qui doit entrer en vigueur en 2019 ?

Me Sylvain Métille, avocat spécialisé en nouvelles technologies et associé de l'étude HDC à Lausanne, a accepté d'apporter des réponses à des questions très pragmatiques.

Pourquoi le RGPD s’applique-t-il hors de l’UE?

Le règlement vise à éviter que les entreprises extérieures à l’UE ne bénéficient de droits plus étendus que les entreprises européennes dans le traitement des données personnelles, pour autant que cela concerne des résidents de l'UE. Le RGPD ne cherche pas à punir les responsables de traitement, mais à les inciter à traiter les données des personnes concernées de manière respectueuse.

Dans quelle mesure une PME romande est-elle soumise au RGPD?

Elles sont loin d'être toutes concernées. On peut distinguer quatre cas de figure:

  • Les entreprises non soumises: elles offrent des biens et des services à des clients en Suisse exclusivement et n’ont pas de présence dans l’UE.
  • Les entreprises soumises parce qu’elles sont présentes dans l’UE au travers d’entités européennes
  • Les entreprises soumises de manière extraterritoriale: présentes seulement en Suisse, elles offrent entre autres des biens ou des services à des résidents de l'UE ou monitorent leurs actions sur internet
  • Les sous-traitants suisses de données européennes: ils ne sont pas soumis au RGPD, mais certaines obligations peuvent être reprises dans leurs contrats de sous-traitance, calqués partiellement sur le Règlement.

Principe de base: le droit du pays où se trouve l'entreprise s'applique. En conséquence, le fait d'avoir des salariés européens (qu'ils soient des frontaliers ou des citoyens européens résidant en Suisse) ne soumet pas une entreprise au RGPD.

Toutefois, même si elle n'est pas soumise au RGPD, une entreprise a tout intérêt à revoir et analyser son mode de traitement des données. Le droit suisse s'applique à elle dans tous les cas, et l'entreprise qui se met maintenant en conformité avec le RGPD ou l’actuelle Loi sur la protection des données (LDP) aura déjà fait un grand pas en vue de sa conformité avec la nouvelle LPD attendue en 2019.

Qu'est-ce qu'une "donnée personnelle"?

C’est une notion très large qui inclut toute information liée à une personne identifiée ou identifiable. C’est évidemment le cas d’un nom, d’une adresse, mais également d’un numéro de client, d’un identifiant ou d’un adresse IP. Les dossiers d’employés, fichiers d’adresses et CRM de clients et prospects regorgent de données personnelles.

Quelles sont les sanctions en cas de violation?

Les sanctions sont plus sévères dans le règlement européen que dans la loi suisse et elles s'appliquent différemment:

Dans le RGPD

Certaines violations étant considérées comme plus sévères que d'autres, il existe deux listes d'infractions comportant des niveaux de sanctions différents:

  • Pour les cas les plus graves: jusqu'à EUR 20 mio ou 4% du chiffre d'affaires (selon ce qui est le plus élevé)
  • Pour les autres cas: jusqu'à EUR 10 mio ou de 2% du chiffre d'affaires (selon ce qui est le plus élevé).

Ces montants dissuasifs sont toutefois des plafonds maximaux et une entreprise peut se voir infliger une amende de quelques milliers d'euros seulement. La gravité de l'infraction est évaluée en fonction de divers facteurs, dont par exemple son caractère intentionnel ou non, sa durée, le volume de données concernées, l'existence de violations précédentes, etc...

Dans la nouvelle LPD

En Suisse, il n’y aura pas d’amende administrative, mais seulement une amende pénale d’un montant maximal de CHF 250'000, infligée à l'employé responsable en cas d’infraction intentionnelle. Les cas visés sont limités. En droit suisse, le responsable de l’infraction est en principe toujours une personne physique: le collaborateur concerné ou le supérieur qui lui a ordonné d'agir. Dans le cas où il est impossible d'identifier un employé, l'entreprise pourrait être amendée, mais à hauteur de CHF 50'000 au maximum.

Les sanctions européennes sont-elles encaissables en Suisse?

Il n'y a pas de réponse claire à cette question pour l'instant. Une autorité nationale d’un État membre pourrait fixer une amende valablement au sens du droit européen. Cela ne signifie pas encore que la Suisse va la reconnaître.

Un Etat européen pourrait saisir des biens de l'entreprise concernée se trouvant sur son territoire. En revanche il n'est pas acquis qu'une amende européenne soit exécutoire en Suisse et un juge suisse devra déterminer si les sanctions sont valables pour qu’une procédure d’exécution forcée soit admise. Mais dans tous les cas, compte tenu de la procédure judiciaire liée à l'application du droit national et de la durée des recours éventuels, le processus prendra du temps. Il se passera certainement plusieurs années avant que la première amende soit effectivement encaissée.

Il se dit que plutôt que d'entamer des procédures judiciaires lourdes pour sanctionner une société suisse, l'UE favoriserait des contacts directs avec le Préposé fédéral à la protection des données en lui signalant les cas considérés comme douteux. Dans la mesure où les infractions constatées relèveraient aussi de la LPD, le Préposé pourrait difficilement ne pas intervenir, mais il le ferait alors sur la base du droit suisse.

Concrètement, comment choisir un délégué à la protection des données (DPO)?

Selon le RGPD, l'entreprise est tenue de nommer un délégué à la protection des données (DPO) lorsqu’elle traite des données sensibles ou qu’elle effectue un suivi régulier et systématique à grande échelle de personnes. Le DPO doit conseiller l’entreprise et vérifier l’application du règlement au sein de l'entreprise. Attention, le DPO est uniquement un conseiller, qui ne peut être tenu pour responsable à la place de l’entreprise.

Pour l’entreprise, il est préférable d’avoir un DPO interne, même à temps partiel. En effet, la grande force d'un délégué à la protection des données, c'est de bien connaître l'entreprise et d'être aisément accessible par tout le monde. En cas de besoin, il peut s'appuyer au cas par cas sur des experts techniques ou juridiques externes, mais sa bonne connaissance des modes de travail et de fonctionnement internes de l'entreprise prime.

Une PME est-elle concernée par l'obligation de tenir un Registre des traitements?

Le registre des traitements est le document qui prouve la conformité d'une entreprise au RGDP pour tout ce qui concerne le traitement de données à caractère personnel. Il indique quelles données sont traitées, dans quel but et sur quelle base. Il indique aussi les mesures de sécurité destinées à assurer leur protection.

Le RGPD prévoit que l’obligation de tenir un registre des traitements ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés (cela pour autant qu’il n’y ait pas de risque particulier ou de traitement de données sensibles). Par contre, le projet de révision de la LPD prévoit de retenir un seuil à 50 personnes.

Il est vivement recommandé de supprimer les données qui ne sont pas directement indispensables au but du traitement. Si l'entreprise tient ses systèmes d'information à jour, cela n'est pas compliqué. Sinon, cela représente un gros travail de mise en conformité.

Quid d'un accord donné avant l'entrée en vigueur de la loi?

Un accord est-il considéré comme acquis si un utilisateur a donné son consentement au traitement de ses données avant l'entrée en vigueur de la loi mais que l'entreprise ne peut pas en produire la preuve?

En principe, un accord existant reste valable. En cas d'enquête, il revient à l'entreprise de démontrer qu'elle traite les données personnelles conformément aux exigences du RGPD. Mais si elle peut démontrer a posteriori que la masse de ses données personnelles est traitée dans les règles de l'art, quelques éventuelles exceptions constatées isolément ne mèneront pas à une sanction. L'important, c'est de pouvoir mettre en évidence le soin général mis à respecter la règlementation.

Qu'implique pour l'entreprise la notion de "droit à l'effacement/à l'oubli" ?

Le droit à l’oubli est un droit moral de tout individu à être pardonné par la société, il n’est pas concerné par le RGPD.

Le droit à l’effacement est le droit de faire effacer des données (le plus souvent anciennes) qui n’ont plus de justifications à être traitées. Chacun peut requérir l'effacement des données le concernant.

Le droit d'effacement s'étend en principe aux sauvegardes. Cependant, il apparaît clairement que cette exigence n'est pas réaliste dans la pratique. Il est donc admis que l’effacement ne soit pas reporté sur des données de sauvegardes non exploitées. Mais dès le moment où l'entreprise accède à un backup (ce qui doit être justifié, comme par exemple c'est le cas lors d'une perte de données), elle prend toutes les mesures nécessaires pour effacer les données concernées. Cette approche est valable quel que soit l'emplacement du backup en question, y compris s'il se trouve dans le cloud.

Dans tous les cas, l'effacement doit tenir compte des obligations légales de conservation des données du pays où se trouve l'entreprise. Il ne sera donc pas possible de demander l'effacement de données salariales, fiscales ou judiciaires avant que le délai spécifié par la réglementation locale soit écoulé (par exemple l’OLICO en Suisse).

Qu'implique la notion de "portabilité des données" ?

Le RGPD autorise un individu à exiger d'un prestataire détenant ses données personnelles qu'il les transfère, dans un format utilisable, à un autre prestataire.

En Suisse, cette obligation n'est pas prévue pour l'instant dans la LPD mais sa mise en œuvre au niveau européen sera observée de près.

Me Métille estime que la portabilité des données peut avoir des effets positifs pour les entreprises puisqu'elle augmente la concurrence de manière saine. Elle oblige en effet un prestataire à fournir un excellent service s'il veut conserver un client qui se retrouve libre de changer de prestataire en tout temps.

Comment l'entreprise peut-elle vérifier la conformité de ses sous-traitants?

L'entreprise est responsable de s'assurer que chacun de ses sous-traitants traite les données conformément à la règlementation. Les conditions de sous-traitance devant faire l'objet d'un contrat, l'entreprise doit s'assurer que toutes les obligations requises y figurent. Elle peut y ajouter d’autres obligations.

L’entrée en vigueur du RGPD est une bonne occasion pour l'entreprise de vérifier si toutes les prestations qu'elle confie à des sous-traitants font l'objet de contrats et de procéder à leur mise à jour si nécessaire.

Le contrat peut prendre la forme de conditions générales, et dans ce cas il n’y a guère de marge de manœuvre pour négocier. Il est souvent possible d’obtenir un contrat « entreprise » avec des prestataires cloud, comme Google ou Amazon. Ce contrat contient des obligations limitées pour les fournisseurs, mais est généralement conforme au RGPD. Le service minimum offert gratuitement au grand public contient en revanche beaucoup moins de garanties.

Une entreprise doit-elle craindre d'être dénoncée par des individus contestant l'usage qu'elle fait de leurs données?

En l'état deux axes d'exécution sont possibles si une violation est soupçonnée:

  • Procédure administrative (par des états membres de l'UE): amende
  • Procédure civile (par des privés): demande de réparation pour dommage subi

Des dénonciations spontanées visant à des procédures civiles par des individus sont possibles, mais Me Métille estime qu'elles ne devraient initialement pas être une priorité pour l'autorité de surveillance.

Faut-il désormais faire figurer un avertissement relatif à l'utilisation des données au bas d'une newsletter ou de tout autre envoi groupé fait par l'entreprise?

Non. C’est au moment de la collecte des données qu’il faut informer. De plus, une newsletter est assimilée à un envoi de masse au sens de la Loi sur la concurrence déloyale (LCD). La LCD impose un système d’opt-in (le destinataire doit avoir initialement donné son accord à l'envoi) et une exception opt-out (si l’adresse a été obtenue lors de la vente de biens et services similaires et que le destinataire a été informé de son droit de s’opposer). L'expéditeur doit être identifiable et fournir au destinataire la possibilité de se désinscrire facilement en tout temps.

Qu'en est-il des exigences de "ePrivacy"?

Le futur Règlement européen ePrivacy vise à étendre et compléter la portée du RGPD. Il concernera notamment l'usage des cookies et des métadonnées des internautes. En Suisse pour l'instant il y a seulement une disposition complémentaire dans la loi sur les télécommunications qui prévoit un système "opt-out".

En tant qu'entreprise, comment se préparer à l'entrée en vigueur du RGPD d'ici au 25 mai 2018?

Les étapes principales à suivre sont:

  1. Désigner une personne qui prend le projet en charge de l'intérieur
  2. Cartographier l'état existant des données au sein de l'entreprise (data mapping): quelles données, avec quelles justifications, quels sous-traitants, dans quels buts
  3. Evaluer si les données sont en conformité avec la règlementation applicable (RGPD et LPD)
  4. Analyser le décalage entre l'état existant et la conformité à atteindre
  5. Faire le travail d'ajustement, qui sera plus ou moins important/urgent selon les cas

Il n'existe pas de solution miracle. La mise en conformité passe par un travail interne et externe qui peut être important. L'état de mise en conformité ne peut pas être évalué par des logiciels. Par ailleurs, il est important de faire intervenir dans le processus les postes clés de l'entreprise (Direction, RH, etc.). Point positif : l'entreprise qui s'est mise en conformité pour le RGPD sera quasi prête pour la LPD.

Attention, la mise en conformité ne s'arrête pas à l'entrée en vigueur de la loi. Il s'agit d'un effort continu. Il faut supprimer les données qui ne présentent plus d'intérêt. Vérifier que les contrats ne sont pas périmés. Faire en cours de route les petits ajustements nécessaires. S'assurer que les nouveaux projets de l'entreprise se construisent en conformité avec la loi. Penser "protection des données". Répondre aux demandes de droits d'accès à ses propres données. Se préparer à annoncer à l'autorité toute faille de sécurité.

Qu'arrivera-t-il à une entreprise qui n'a pas achevé sa mise en conformité avant l'entrée en vigueur du RGPD?

Il ne se passera rien dans l'immédiat. Mais on peut faire un parallèle avec le bug de l'an 2000, à propos duquel les entreprises se voyaient menacer de toutes sortes de catastrophes. La transition s'étant finalement déroulée sans problème, elles se sont ensuite désintéressées de la question. Dans le cas du RGPD, une fois l'échéance passée, les entreprises pourraient être tentées de faire de même. Ce serait une grosse erreur.

Même s'il n'y a pas d'amendes à attendre en mai 2018, la mise en conformité reste nécessaire pour les entreprises – non seulement pour éviter une future amende, mais aussi et surtout dans un but de protection de la personnalité. Dans un monde où les données personnelles sont toujours plus abondantes, modifier la perception qu'en ont les entreprises et changer leur manière de les traiter permettra d'assurer un environnement globalement plus sain pour tous.

Comment le RGPD se compare-t-il avec la nouvelle Loi sur la protection des données s’agissant des informations à donner lors de la collecte de données?


Vous avez des questions? Vous avez besoin de conseils?

Conseils juridiques:

  • Me Sylvain Métille, Dr, avocat, chargé de cours à l’Université
    HDC Étude d'avocats, Lausanne
    http://www.hdclegal.ch

Conseils techniques:


Navixia adresse à Me Métille ses plus sincères remerciements pour sa précieuse contribution à la rédaction de cet article.