Pourquoi le règlement de l’UE sur la protection des données concerne aussi la Suisse

Télécharger PDF

Contexte du règlement général sur la protection des données

En décembre 2015, après trois années de rédaction et de négociations, le Parlement européen et le Conseil de l’Union européenne sont parvenus à un accord informel concernant la version finale du règlement général de l’UE sur la protection des données (RGPD). Le texte final a été formellement adopté par le Parlement européen et le Conseil en avril 2016. Le nouveau règlement entrera en vigueur en 2018, après une période de transition de deux ans.

Le règlement général sur la protection des données a pour objectifs de renforcer les droits des individus liés à la protection des données, de faciliter la libre circulation des données personnelles sur le marché unique numérique et de réduire la charge administrative.

Le RGPD remplacera la directive générale relative à la protection des données de 1995 et sera appliqué directement dans les 28 États membres de l’UE.

Impact sur les entreprises suisses

Comme le RGPD est un règlement de l’UE, vous pourriez en conclure que la Suisse et les entreprises suisses ne sont pas concernées, et donc, que votre entreprise suisse n’est pas tenue de le prendre en compte. Mais cette conclusion serait fausse.

Le RGPD sera non seulement applicable aux entreprises basées dans l’Union européenne, mais aussi aux entreprises basées en Suisse, dans la mesure où elles traitent les données personnelles de résidents de l’UE concernés:

  • pour leurs offres de biens et de services dans l’UE;
  • pour le suivi du comportement des personnes concernées au sein de l’UE.

Exemples de situations dans lesquelles une entreprise suisse pourrait entrer dans le champ d’application du RGPD

De nombreuses entreprises suisses qui ne sont pas présentes localement dans l’UE, ou qui le sont seulement par le biais d’une filiale, entreront désormais dans le champ d’application du règlement RGPD de l’UE. Voici quelques scénarios dans lesquels le RGPD sera applicable:

  1. Une entreprise suisse réalise (une partie de) ses activités de traitement dans un pays de l’UE
  2. Une entreprise basée en Suisse offre des biens aux résidents de l’UE concernés par le biais d’une boutique en ligne
  3. L’employeur d’une filiale européenne d’une entreprise suisse traite les données personnelles de ses employés de l’UE
  4. Une entreprise basée en Suisse collecte des données sur le comportement (en ligne) des résidents de l’UE concernés à des fins de marketing. *

Quelques nouveaux instruments légaux importants du RGPD

Bien que le RGPD et la loi suisse sur la protection des données reposent sur les mêmes principes, certaines nouvelles exigences du RGPD doivent être respectées par les entreprises suisses concernées. En voici quelques exemples:

  • Notification des violations de données dans les 72 heures
  • Exigences relatives au délégué à la protection des données
  • Sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial total ou 21’430’000 CHF
  • Consentement explicite ou sans ambiguïté. *

*Document non contractuel

Comme mentionné, le RGPD constituera une nouvelle réglementation de la vie privée, ayant une portée géographique plus vaste. Cependant, même si une entreprise suisse ne traite pas avec des résidents de l’UE concernés, le respect de la protection des données mérite toute son attention. Cela est d’autant plus vrai que la législation suisse sur la protection des données sera bientôt modifiée.

Le Conseil fédéral suisse a engagé le Département fédéral de justice et police pour rédiger une révision de la loi sur la protection des données (LPD) en tenant compte du règlement de l’UE sur la protection des données. Il est fort probable que la LPD révisée soit influencée par les principes du RGPD et qu’elle inclue des règles et dispositions largement similaires. Selon le calendrier envisagé, la LPD révisée devrait être promulguée à peu près à la même période que le RGPD, soit au début de l’année 2018.

De la même façon que la Suisse a veillé à ce que sa LPD garantisse qu’un statut adéquat soit accordé au pays par la Commission européenne, elle aura à coeur de s’assurer de ne pas perdre ce statut.