Le GDPR entrera en vigueur le 25 mai 2018 et sera directement applicable à tous les acteurs actifs sur le territoire de l’Union européenne (UE), c’est à dire à toutes les entreprises qui proposent des biens ou des prestations de services à des personnes dans l’UE (par exemple par leur site de e-commerce ou autre plateforme de vente en ligne) ou aux entreprises qui analysent le comportement de ces personnes. La portée d’un tel règlement est large et concerne aussi les entreprises extérieures à l’UE qui collectent/traitent des données de citoyens européens (art. 3), cela concerne donc aussi les entreprises suisses. Le GDPR ne doit pas être pris à la légère: en cas d’infraction, les sanctions prévues peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global.
Davantage de droits pour les citoyens
Grâce au nouveau règlement, les citoyens ont davantage de droits: Tout d’abord, ils doivent être informés de façon précise, transparente, complète et simple sur la manière dont seront traitées leurs données, tout particulièrement dans le cas d’informations destinées à des mineurs (art. 11-14). En outre, ils ont le droit d’obtenir la confirmation que leurs données sont ou non en cours de traitement, ont un droit d’accès à ces données ainsi qu’aux informations complémentaires éventuelles (droit d’accès art. 15), ils peuvent aussi demander à rectifier ou compléter leurs données (art. 16) et leur suppression («droit à l’oubli», art. 17). Dans certains cas, ils peuvent obtenir une limite du traitement de leurs données personnelles (art. 18), dans ce cas, ces dernières peuvent être conservées, mais ne peuvent plus être utilisées dans une opération ultérieure. De plus, toute rectification, suppression ou limitation du traitement des données doit être signalée à celui qui les utilise (art. 19). Les intéressés ont le droit de recevoir leurs données personnelles dans un format structuré, usuel et lisible par un dispositif automatique, ils peuvent transmettre ces données à d’autres opérateurs (droit à la portabilité des données, art. 20). Ils peuvent à tout moment s’opposer au traitement des données qui les concernent, même dans un but de marketing direct (art. 21) et ils ont le droit de ne pas être soumis à un processus décisionnel automatisé (art. 22), y compris le profilage. Finalement, mais cela a son importance, ils ont le droit d’être informés en cas de violation de leurs données personnelles (art. 34).
Rôle proactif des entreprises
De leur côté, en plus des nouvelles obligations en matière de transparence et d’information ci-dessus et du devoir d’obtenir l’accord pour la collecte de telles données (art. 6-8), les entreprises qui traitent les données de citoyens européens et sont détentrices et responsables du traitement de ces données ont un rôle plus proactif et des obligations plus contraignantes. Elles doivent veiller non seulement au respect des règles, mais aussi à la mise en place de mesures techniques et logistiques pour garantir la protection des données (y compris la pseudonimisation et la minimisation) depuis le premier stade du projet (privacy by design, art. 25) et également l’utilisation des seules données personnelles nécessaires pour chaque finalité spécifique du traitement (privacy by default, art. 25). Sauf exception, (c’est à dire les entreprises de moins de 250 employés, mais seulement si le traitement des données qu’elles pratiquent ne présente pas de risque pour les intéressés), les entreprises doivent aussi tenir un registre des opérations de traitement (la liste du contenu se trouve à l’art. 30). Les mesures techniques et logistiques pour la protection des données doivent être adaptées (art. 32) et aptes à garantir une découverte immédiate des éventuelles failles de sécurité pour qu’en cas de violation, celles-ci soient signalées dans les 72 heures soit aux autorités compétentes (en Suisse : Le Préposé fédéral à la protection des données et à la transparence) soit directement à l’intéressé (data breach, art. 33-34). Quand il est probable que le traitement des données présente un risque élevé, les entreprises se doivent au préalable de conduire une estimation des risques (analyse d’impact relative à la protection des données, art. 35). En cas d’activité de surveillance régulière, systématique et à grande échelle ou en cas de traitement de données sensibles à grande échelle (art.- 37-39) les entreprises sont dans l’obligation de prendre un délégué à la protection des données (DPD ou Data Protection Officer, DPO), soit en formant du personnel en interne soit en faisant appel à des agents extérieurs. Les entreprises détentrices ou responsables du traitement qui ne sont pas établies dans l'UE, mais qui sont quand même soumises au GDPR, doivent nommer un représentant dans l’UE (art. 27). Le manquement à la nomination de ce représentant est passible d’amende pouvant atteindre 10 millions d’euros (art. 27 et art. 83 par. 4).
Comment la Suisse s’adapte-t-elle ?
La Confédération doit elle aussi s’adapter au nouveau règlement européen GDPR. La Loi fédérale sur la protection des données (LPD) est actuellement en cours de révision pour qu’elle soit compatible avec le droit de l’UE. La Commission des institutions politiques du Conseil national désire toutefois que cette révision soit effectuée par étapes. Les ajustements au droit européen devront être faits en premier lieu, ensuite, la révision totale de la loi sur la protection des données pourra être effectuée. Pour la Suisse, il faudra donc attendre les résultats du processus politique, ce qui demandera encore quelque temps.
Avertissement : Cet article est écrit dans le seul but informatif et ne peut en aucun cas avoir la même valeur qu’un avis légal ou les conseils d’un professionnel. Nous déclinons toute responsabilité pour les éventuels dommages causés par des erreurs ou des omissions.
