Le Règlement général sur la protection des données (RGPD) et ses conséquences en Suisse

Publié le 8 février 2018 par Me Philippe Ehrenström

board-electronics-computer-data-processing-50711.jpegIntroduction

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données ou RGPD) a été approuvé le 14 avril 2016 par le Parlement européen et entrera en vigueur le 25 mai 2018. À partir de cette date, le RGPD sera directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne

Ce texte de référence en Europe aura aussi des répercussions directes sur un grand nombre d’entreprises suisses.

Champ d’application matériel (art. 2 RGPD)

Le RGPD s’applique à tout «traitement de données personnelles, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel qui sont contenues ou pourraient être contenues dans un fichier» (art. 2 § 1 RGPD). Il concerne toutes les données personnelles se rapportant à des personnes physiques identifiées ou identifiables et ne fait pas de distinction qu’il s’agisse d’un traitement mis en œuvre par une personne physique ou une personne morale de droit public ou privé.

Champ d’application territorial (art. 3 RGPD)

Par rapport à la Directive 95/46/CE, le champ d’application a été étendu et contient désormais le critère du ciblage du public du traitement des données (application extraterritoriale).

L’application du RGPD dépend donc des deux critères de rattachement suivants :

  1. Le critère de l’établissement (= lieu d’établissement du responsable du traitement ou d’un sous-traitant ; art.3 § 1) : le responsable de traitement ou le sous-traitant est établi dans l’Union européenne. Dans ce cas, le règlement s’applique d’office que le traitement ait lieu ou non dans l’Union. Dans l’affaire Weltimmo c. NAIH (C-230/14), la CJUE a interprété la notion d’établissement de manière relativement large et flexible.
  2. Le critère du ciblage (= le lieu de situation des personnes concernées par le traitement ; art. 3 § 2) : le responsable du traitement est établi en dehors de l’Union européenne mais ses activités de traitement concernent l’offre de biens ou services à des personnes concernées qui se trouvent sur le territoire de l’Union soit les activités de traitement concernent la surveillance des comportements de ces personnes concernées pour autant que ce comportement a lieu au sein de l’Union européenne. Concernant le suivi du comportement, le législateur européen fait principalement référence au suivi des internautes. En pratique, le RGPD devrait s’appliquer lorsqu’un résident européen, peu importe sa nationalité, sera directement visé par un traitement de données.

Droits des personnes concernées

L’un des buts du RGPD est d’octroyer d’avantage de contrôle et de visibilité aux personnes concernées. L’article 12 RGPD oblige donc le responsable de traitement à prévoir des procédures et des mécanismes permettant à la personne concernée d’exercer ses droits.

Le RGPD consacre le principe de transparence : toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre dans une forme concise et transparente, et formulée en termes simples et clairs. Les informations seront en principe fournies par écrit et sans frais. Le Règlement prévoit également des délais de réactions maximum.

Toutes les modalités énoncées par l’article 12 RGPD sont applicables à tous les droits prévus par le Règlement, à savoir :

  • Droit à l’information (articles 13 et 14 RGPD). Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, les informations nécessaires.
  • Droit d’accès (article 15 RGPD) La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que ses données personnelles sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès auxdites données ainsi qu’à un certain nombre d’informations complémentaire. Ce droit comprend également celui d’obtenir une copie des données qui font l’objet d’un traitement.
  • Droit de rectification (article 16 RGPD) La personne concernée a le droit de demander que ses données soient rectifiées ou complétées.
  • Droit d’effacement ou « droit à l’oubli » (article 17 RGPD) La personne concernée a le droit de demander l’effacement de ses données si l’un des motifs prévus s’applique. Si les données de la personne concernée ont été transmises à d’autres entités, le responsable de traitement devra prendre toutes les mesures raisonnables pour informer les autres entités que la personne concernée a demandé l’effacement de tout lien vers ses données personnelles, ou de toute copie ou reproduction de celles-ci.
  • Droit à la limitation du traitement (article 18 RGPD) La personne concernée a le droit, dans certains cas prévus par la loi, d’obtenir du responsable du traitement la limitation de ses données. Lorsqu’une telle limitation est demandée, le responsable de traitement ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe, avoir lieu sur ces données personnelles.
  • Obligation de notification du responsable (article 19 RGPD) Le responsable de traitement doit communiquer à chaque destinataire des données toute rectification, effacement ou limitation du traitement
  • Droit à la portabilité des données (article 20 RGPD) La personne concernée a le droit de récupérer les données qu’elle a fournies au responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement. Ce droit ne peut être utilisé que si le traitement des données est basé sur le consentement de la personne concernée ou sur un contrat.
  • Droit d’opposition (article 21 RGPD) La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’intérêt public ou l’intérêt légitime du responsable de traitement, y compris le profilage basé sur ces dispositions. La personne concernée a également le droit de s’opposer à ce que ses données soient traitées à des fins de marketing direct.
  • Droit de ne pas être soumis à une décision individuelle automatisée (article 22 RGPD) La personne concernée a le droit de ne pas être soumise à une décision résultant exclusivement d’un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Le profilage y est expressément inclus.
  • Droit à la communication d’une violation de données à caractère personnel (article 34 RGPD). Le responsable de traitement est obligé de notifier à la personne concernée les violations de données susceptibles de l’exposer à un risque élevé à ses droits et libertés.

Applicabilité aux entreprises suisses (art. 3 et 27 RGPD)

Le RGPD sera applicable aux entreprises suisses dans les cas prévus par le critère :

  1. De l’établissement (article 3 § 1) :

Traitement des données personnelles qui a lieu dans le cadre des activités d’une succursale européenne d’une entreprise suisse sur le territoire de l’Union ;

Sous-traitance : traitement des données personnelles pour une entreprise suisse par un sous-traitant sur le territoire de l’Union, peu importe qu’il traite des données de personnes concernées en Suisse ou dans l’Union ; traitement des données personnelles de personnes concernées dans l’Union effectué par une entreprise suisse pour le compte d’une entreprise européenne ; traitement des données personnelles effectué par une entreprise suisse en tant que sous-traitant pour le compte d’une entreprise européenne.

  1. Du ciblage (article 3 § 2 ) :

Traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour leurs offres de biens et de services dans l’Union, qu’un paiement soit exigé ou non (art. 3 § 2 (a) RGDP)

Traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour le suivi du comportement des personnes concernées au sein de l’Union (art. 3 § 2 (b) RGPD).

Obligations des entreprises concernées par le Règlement

Le RGPD consacre le principe de responsabilité («accountability») du responsable de traitement (cf. article 5 § 2 RGPD) en vertu duquel le responsable de traitement est activement responsables de la mise en conformité des traitements de données. Le responsable de traitement est responsable pour la conformité aux principes généraux et il doit également être capable de démontrer cette conformité. C’est sur la base de ce principe qu’a été dégagé le principe du renversement du fardeau de la preuve. Le Règlement prévoit notamment les obligations suivantes :

  • L’article 24 RGPD souligne que le principe de responsabilité va de pair avec l’approche basée sur le risque selon laquelle le responsable du traitement va désormais devoir apprécier de façon objective la probabilité et le degré de risque encouru pour les droits et libertés des individus lorsqu’il entame un traitement. Le responsable de traitement devra ainsi mettre en place des mécanismes et des systèmes de contrôle au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve.
  • L’article 25 RGPD introduit les principes de la protection des données dès la conception et protection des données par défaut. Ils imposent que des garanties en matière de protection des données soient intégrées aux produits et services dès la phase initiale de leur conception.
  • L’article 30 RGPD prévoit que chaque responsable du traitement ou son représentant devra tenir un registre des activités de traitement (sous forme électronique) effectuées sous leur responsabilité. Le contenu du registre est détaillé à l’article 30 § 1 RGPD. Ce registre devra être mis à disposition de l’autorité de protection des données lorsqu’elle le demande. Sauf exceptions, les entreprises de moins de 250 employés n’y seront pas soumises (cf. art. 30 § 5 RGPD).
  • L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Dans les cas où cette analyse préalable conduit à identifier des risques particuliers, le responsable sera tenu de consulter l’autorité de contrôle indépendante avant la mise en œuvre du traitement ; si un délégué à la protection des données a été désigné, le responsable du traitement sera tenu de le consulter. Dans certains cas précis, l’analyse d’impact sera obligatoire (cf. art. 35 § 3) et le contenu minimum d’une telle étude est décrit à l’article 35 § 7.

La sécurité des traitements est érigée en principe de base de la protection des données dans le Règlement :

  • L’article 32 RGPD oblige le responsable du traitement à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ce faisant, il doit tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques. À titre d’exemples, le Règlement cite entre autre la pseudonymisation, le chiffrement et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes.

De cette obligation de sécurité découle l’obligation nouvelle de notifier à l’autorité de contrôle les violations de données à caractère personnel. Dans certains cas, cette violation devra également être communiquée à la personne concernée :

  • L’article 33 RGPD crée un système de notification des violations de données à caractère personnel («data breaches»). Cette notion de violation est défini comme «une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données» à l’article 4. 12 RGPD. En cas de violation susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement devra la notifier à l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard (cf. article 33 § 1). Le sous-traitant doit quant à lui informer le responsable de toute violation de données sans retard injustifié après en avoir pris connaissance. Le responsable de traitement doit conserver une trace documentée de chaque violation indiquant son contexte, ses effets et les mesures prises pour y remédier. Cette documentation doit permettre aux autorités de contrôle de mettre en œuvre leurs missions et pouvoirs.
  • L’article 34 RGPD prévoit les modalités et conditions applicables à la communication d’une brèche de sécurité aux personnes concernées.

Dans trois cas précis (cf. article 37 RGPD), la désignation d’un délégué à la protection des données est rendue obligatoire.

C’est le cas pour : 1) les autorités publiques ou organisme publique, 2) les entreprises qui effectuent des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées 3) les entreprises qui effectuent des traitements de données sensibles. De plus, le Règlement permet au droit de l’Union ou au droit d’un État membre d’exiger la désignation d’un délégué à la protection des données dans des cas supplémentaires à ceux prévus par le RGDP. Un groupe d’entreprise peut également nommer un délégué unique.

Les qualités que le délégué à la protection des données doit posséder sont déterminées par l’article 37 § 5.

Finalement, le Règlement encourage l’élaboration de codes de conduites (art. 40 et 41 RGPD) destinés à contribuer à la bonne application du Règlement. Ils devront être élaborés en fonction de la spécificité des différents secteurs de traitement des données et des besoins spécifiques des entreprises. Ces codes seront soumis à l’autorité de protection des données compétente au titre de l’article 55 RGPD qui rendra un avis sur la conformité au Règlement. Les articles 42 et suivants mettent en place un mécanisme de certification permettant de venir en aide aux responsables et sous-traitants tenus de se conformer à des règles de protection.

Obligation de désigner un représentant des responsables du traitement ou des soustraitants qui ne sont pas établis dans l’Union (art. 27 RGPD)

En cas d’application de l’article 3 § 2 RGPD, l’article 27 RGPD oblige les responsable du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement. Ce représentant doit être établi dans l’un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l’offre de biens ou de services qui leur est proposée ou dont le comportement est observé (art. 27 § 3).

Selon le considérant 80 du RGPD, le représentant constitue notamment l’interlocuteur des autorités de contrôle (cf. article 58 RGPD) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel. Ce dernier devra établir un registre de toutes les catégories d’activités de traitement de données à caractère personnel mises en œuvre sous sa responsabilité (cf. article 30 RGPD). Il pourrait également faire l’objet de procédures coercitives en cas de non-respect du règlement par le responsable du traitement ou le sous-traitant. Il est toutefois important de souligner que cela ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque cette désignation est sans préjudice d’actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.

Sanctions prévues

Le Règlement, contrairement au droit suisse, reconnait le pouvoir aux autorités de contrôle d’imposer elles-mêmes des amendes administratives lorsqu’un certain nombre de conditions sont réunies. Le Règlement met à disposition tout un éventail de moyens dissuasifs (cf. article 58 § 2 RGPD) comme l’avertissement, la mise en demeure, la limitation temporaire ou définitive d’un traitement et les rappels à l’ordre. Parmi tous ces outils, les autorités de protection des données devront choisir l’outil qui sera le plus à même d’atteindre l’objectif de mise en conformité.

Ce n’est donc qu’en ultime recours que les responsables d’un traitement peuvent s’exposer à des amendes d’un montant maximal de 20 millions d’euros ou correspondant à 4 % de leur chiffre d’affaires annuel mondial. L’article 83 RGPD liste les facteurs à prendre en compte pour fixer le montant de la sanction.

Conclusion

Du point de vue du droit du travail, qui occupe seul ce site, on relèvera que toute entité suisse devrait au moins examiner la question de l’application du RGPD si, notamment, elle a des clients ou des employés dans l’UE, ou si elle traite des données personnelles de tierces personnes situées dans l’UE.

(Voir notamment : Préposé fédéral à la protection des données et à la transparence PFPDT, Le RGPD et ses conséquences sur la Suisse, décembre 2017 (consultable ici : https://www.edoeb.admin.ch/edoeb/fr/home/documentation/bases-legales/Datenschutz%20-%20International/DSGVO.html); le texte du RGPD : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679 )

Me Philippe Ehrenström, LL.M., avocat, Genève et Yverdon

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s