Actualités

L’UE renforce la protection des données: les exportateurs suisses doivent se mettre en conformité

Exportateurs suisses, sociétés de vente en ligne ou par correspondance et autres prestataires de services doivent réviser leurs dispositifs de protection des données. Le nouveau règlement général sur la protection des données (RGPD) unifie le cadre législatif au sein de l’UE et instaure une sécurité juridique. La mise en œuvre de la nouvelle réglementation est complexe. Et pourtant, le temps presse.

Serveur testé par un ingénieur

Le nouveau règlement général pour la protection des données (RGPD) de l’UE entrera en vigueur le 25 mai 2018 et s’appliquera dans les 27 États membres. Pour les entreprises, cela se traduira par de nouvelles obligations en termes d'information et d’enregistrements – ainsi que par des coûts de mise en place. Pour l’économie suisse, aucune estimation concrète n’est encore disponible pour l’adaptation au nouveau droit. En Allemagne, le Statistisches Bundesamt (office fédéral des statistiques) table sur un coût de l’ordre de 1,5 milliard d’euros. Compte tenu de l’ampleur, les entreprises devraient envisager dès aujourd’hui la révision de leur gouvernance en matière de protection des données, dans la mesure où la législation suisse emboitera le pas à celle des États membres de l’UE. La nouvelle loi helvétique sur la protection des données entrera en vigueur dès l’été 2018.

Quelles sont les sociétés concernées
Le nouveau RGPD s’appliquera aux entreprises suisses, y compris à celles qui n’ont pas d’établissements dans l’UE. Les offres destinées aux citoyens de l’UE, ainsi que les applications qui traitent les données personnelles de citoyens de l’UE (comme les applis sur le téléphone mobile par exemple) relèvent du droit de l’UE. Le fait que l’activité de traitement des données soit localisée dans l’UE ou externalisée en Suisse importe peu. Si une entreprise en Suisse traite dans son centre IT des données pour une filiale ou une succursale située sur le territoire de l’UE, le traitement de ces données sera régi par le droit de l’UE.
 

Les principales nouveautés
D’une manière générale, le RGPD renforce considérablement les droits des individus et les obligations des entreprises en matière d’information. Sont ici concernées toutes les informations permettant l’identification d'une personne (aucune distinction n’est établie entre les données provenant de la vie professionnelle et celles émanant de la sphère privée). Les entreprises devront désormais tenir un registre des traitements de données.
Le droit à l'oubli figure parmi les dispositions les plus importantes de la réglementation. En d’autres termes, chacun peut requérir que ses données à caractère personnel soient effacées.
Les exigences relatives au consentement préalable à l’utilisation des données sont également amplifiées. Toute entreprise doit mentionner en termes clairs et explicites que les données seront traitées et utilisées. De même, une personne ayant accepté que ses données soient utilisées, doit avoir la possibilité de revenir sur cette décision. Seules les entreprises qui saisissent des informations sensibles, comme des données génétiques ou biométriques, ou des données concernant la santé, ont l’obligation de créer un poste de délégué à la protection des données.
Les entreprises suisses qui ne respecteraient pas les nouvelles dispositions s’exposeraient à des peines pécuniaires pouvant se monter jusqu’à 4% du chiffre d’affaires annuel mondial réalisé au cours du précédent exercice. L’avant-projet pour la révision de la loi fédérale sur la protection des données prévoit également un plafond pour l’amende, qui ne peut excéder 500 000 francs.

Mesures immédiates
Parmi les mesures les plus importantes à déployer dès maintenant pour protéger les données des clients de façon efficace, éviter les fuites de données et s’épargner ainsi une peine pécuniaire ou un préjudice de réputation, il est essentiel de conserver une vue synoptique des données à caractère personnel.

  • Inventaire des données personnelles collectées: quelles sont les informations stockées? Où se trouvent-elles?
  • Se poser cette question: sommes-nous concernés par l'obligation d’employer un délégué à la protection des données? Ce poste peut être pourvu en interne ou en externe.
  • Une gestion rigoureuse des droits d'accès aux données à caractère personnel
  • Une protection professionnelle et efficace des accès Web

Dans le contexte du traitement et de la sécurisation internes des informations à caractère personnel, la question du cloud ne peut être laissée de côté. Il se trouve que les données stockées sur le cloud bénéficient bien souvent d’une protection plus professionnelle que lorsqu’elles sont enregistrées sur le disque dur ou le serveur dans l’entreprise.
C’est d’ailleurs sur la protection des données – qui fournit à ce titre un levier pour le succès de la transformation numérique – que les consommateurs et les partenaires commerciaux appuient leur confiance. En respectant le RGPD, les entreprises suisses assurent leur existence économique dans une Europe en réseau.

Pour toute question, n'hésitez pas à nous contacter: swisssmb@microsoft.com

Partager

Programme officiel