Règlement général sur la protection des données (UE)

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données ou RGPD) sera le nouveau texte de référence en matière de protection des données à caractère personnel au niveau européen (en Anglais : General Data Protection Regulation ou GDPR). Adopté définitivement par le Parlement européen le 14 avril 2016, ses dispositions seront directement applicables dans les Etats membres de l’Union européenne dès le 25 mai 2018. Le RGPD aura notamment pour objectif d’unifier les règles et les pratiques des Etats de l’Union européenne, et de remplacer les dispositions souvent obsolètes de la directive de 1995.

Sans vouloir être exhaustif, on relèvera, du point de vue suisse, les éléments suivants :

Champ d’application territorial. L’art. 3 al. 2 prévoit  que le « présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées: a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. » Dans ce cas, l’art. 27 al. 1 prévoit aussi que, dans certaines circonstances, le responsable du traitement ou le sous-traitant désignera par écrit un représentant dans l’Union.Pour le transfert de données UE-Suisse, on se référera notamment aux art. 44 et ss. du RGPD.

En d’autres termes, le RGPD peut donc très bien s’appliquer aux entreprises hors Union européenne, pour autant que leurs activités aient un rapport avec une offre de biens et de services à des « personnes concernées » dans l’Union européenne, qu’il s’agisse de « suivis de comportements » ou de sous-traitance de données. On peut penser par exemple à la succursale UE d’une société suisse pour le traitement des données de ses employés, à la centralisation de traitements de données RH en Suisse pour des employés dans l’UE, etc. le critère étant apparemment qu’il s’agisse d’« EU data subjects ».

Selon l’art. 22, la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Le paragraphe 1 ne s’applique toutefois pas lorsque la décision: a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement; (…) c) est fondée sur le consentement explicite de la personne concernée. Dans ces hypothèses, le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision. La disposition peut être lue en parallèle avec le développement des HR techs et du traitement automatisé croissant de la fonction RH sur un plan transmational.

L’art. 25 traite de la protection des données dès la conception et par défaut. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du règlement et de protéger les droits de la personne concernée. Le responsable du traitement mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. Un mécanisme de certification peut servir d’élément pour démontrer le respect de ces exigences.

Les activités de sous-traitance de données sont étroitement réglées par l’art. 28, lequel prévoit notamment que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.

Toutes les activités qui pourront avoir des conséquences importances en matière de protection de données personnelles devront être précédées d’une analyse d’impact comprenant notamment les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles. Le délégué à la protection des données de l’art. 37 devra consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35).

Le RGPD institue également une obligation d’informer à bref délai les autorités de contrôle en cas de violation importante des données (art. 33), ce qui peut poser d’importants problèmes pratiques.

Nomination obligatoire d’un délégué à la protection des données (Data Protection Office ou DPO ; art. 37) pour les organismes publics ou privés dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées. Les principales responsabilités du délégué seront de d’être associés à toutes les décisions relatives à la protection des données, de contrôler le respect du règlement, de conseiller les responsables de traitement de données et de faire office de point de contact avec les autorités de contrôle.

Des sanctions importantes sont prévues : le règlement donne aux régulateurs le pouvoir d’infliger des amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (art. 83 al. 6).

Il sera intéressant de voir l’impact du RGPD sur la réforme en cours de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; 235.1) dont un avant-projet était annoncé pour la fin de cet été.

Le texte du RGPD : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

Me Philippe Ehrenström, avocat, ll.m., Genève – Yverdon

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, est tagué , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s