Même si le droit suisse de la protection des données est en cours de révision, c’est surtout le Règlement général sur la protection des données qui fait trembler nombre d’entreprises suisses et fait se transformer moult consultants en experts juridiques. Beaucoup de fausses informations circulent et nous allons tenter d’y voir un peu plus clair.

Le RGPD est un règlement
Le Règlement général sur la protection des données, ou de son nom entier «Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE», s’abrège RGPD. En anglais, on parle de General Data Protection Regulation, en abrégé GDPR (à prononcer dans ce cas «dji-di-pi-ar») et en allemand de Datenschutz-Grundverordnung, en abrégé DSGVO.

Le texte est disponible en 24 langues, avec toutes les abréviations correspondantes. La numérotation des articles est évidemment la même et il n’y a aucune raison d’utiliser l’abréviation d’une autre langue. En français, on ne dit donc pas la «GDPR», mais le RGPD!

Le RGPD est un règlement. Ce n’est ni une régulation, ni une loi, et encore moins une directive. La directive 95/46/CE qui réglait précédemment le traitement de données dans l’UE a été abrogée. Une nouvelle directive existe, mais elle s’applique seulement aux autorités pénales: la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. .

Le RGPD est déjà en vigueur
Le RGPD est en vigueur depuis le 24 mai 2016, mais il sera applicable seulement à partir du 25 mai 2018 (art. 99 RGPD). Il n’y a donc pas de délai de grâce, étant donné qu’un délai de deux ans a déjà été prévu pour permettre aux entreprises de se mettre en conformité.

Les obligations qu’il contient s’appliqueront à toutes les personnes (entreprises, individus et autorités) qui traite des données personnelles dans l’UE. Les entreprises de moins de 250 employés sont aussi concernées (même si elles peuvent être dispensées de la tenue d’un registre des activités de traitement).

Certaines entreprises suisses sont concernées
Le RGPD s’applique aux données traitées dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE (art. 3 par. 1 RGPD). Il s’applique donc en premier lieu aux entreprises présentes dans l’UE.

A titre exceptionnel, le RGPD prévoit aussi une application extraterritoriale (art. 3 par. 2 RGPD), par exemple à une entreprise suisse sans présence dans l’UE, si :
– des données de personnes qui se trouvent sur le territoire de l’UE sont traitées, et que
– les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes dans l’UE (indépendamment de l’exigence d’un paiement), soit au suivi du comportement de ces personnes au sein de l’UE (profilage).

Cette règle doit être interprétée au regard du considérant 23 qui précise qu’il faut que l’entreprise envisage d’offrir des services à des personnes concernées dans l’UE. La simple accessibilité du site web ou d’une adresse électronique ne suffit pas pour établir cette intention. L’affichage de prix en euros, d’offres destinées aux résidents de l’UE ou de modalités de livraison spécifiques peuvent en revanche indiquer cette intention.

Les entreprises suisses qui comptent des citoyens européens ou des frontaliers parmi leurs salariés ne sont donc pas soumises de ce fait au RGPD, pas plus que les entreprises suisses qui ne visent pas le marché européen mais compteraient occasionnellement un touriste européen dans leurs clients.

Le sous-traitant suisse (par exemple un hébergeur) d’un responsable de traitement européen n’est pas non plus soumis au RGPD par le seul fait d’être sous-traitant. En revanche, certaines obligations découlant du RGPD pourraient lui être imposées contractuellement (notamment celles de l’art. 28 RGPD), dans la mesure où le responsable du traitement y sera tenu.

L’amende n’est pas automatique
Les autorités nationales de contrôle (par exemple la CNIL française ou l’ICO anglaise) pourront fixer des amendes administratives. Ces amendes seront imposées en complément ou à la place des mesures correctrices que peut prendre l’autorité.

Les amendes en cas de violations, prévues à l’art. 83 par. 4 RGPD, peuvent s’élever jusqu’à EUR 10 000 000.- (ou dans le cas d’une entreprise jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Pour les violations les plus graves (soit celles figurant à l’art. 83 par. 5 RGPD), ou en cas de non-respect d’une injonction émise par l’autorité de contrôle (en vertu de l’art. 58 par. 2 RGPD), l’amende pourra s’élever jusqu’à EUR 20 000 000.- ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Il n’y a donc pas d’amende minimale ni même d’amende automatique en cas de violation. Bien au contraire, pour décider s’il y a lieu d’imposer une amende et pour décider de son montant, on tiendra dans chaque cas compte de la nature, la gravité et la durée de la violation, du nombre de personnes concernées, du dommage qu’elles ont subi, du fait que la violation a été commise délibérément ou par négligence, des mesures prises pour atténuer le dommage, du fait qu’il s’agit d’une première violation ou d’une récidive, et de la coopération avec l’autorité en vue de remédier à la violation.

Il n’y a actuellement pas de procédure claire permettant à une autorité étrangère d’encaisser l’amende imposée à une entreprise suisse sans présence dans l’UE. La légalité même de ce processus est débattue.

Le but visé par le RGPD est que les entreprises traitent les données de manière à ne pas mettre en danger la personnalité des personnes concernées. Il ne s’agit pas de fixer des amendes à tout prix.

Le délégué à la protection des données n’est pas obligatoire
Il n’est pas systématiquement nécessaire de désigner un délégué à la protection des données (Data Protection Officer, DPO) ou un conseiller interne à la protection des données comme il est souvent appelé en Suisse.

Un délégué à la protection des données est seulement nécessaire pour les autorités publiques, si les activités de base du responsable du traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées, ou si les activités de base du responsable du traitement consistent en un traitement à grande échelle de catégories particulières de données (soit les données sensibles au sens du droit suisse) ou des données de condamnations pénales (art. 37 RGPD).