Le Règlement général sur la protection des données (RGPD) est applicable dès aujourd’hui 25 mai 2018. S’il concerne principalement l’Union Européenne (UE), il a aussi des effets extraterritoriaux et sera applicable à certaines entreprises en Suisse. A l’heure où la révision de la Loi suisse sur la protection des données (LPD) s’enlise, même les entreprises qui ne sont pas dans le champ d’application du RGPD ont tendance à s’en inspirer à titre de bonnes pratiques.

Les entreprises suisses avec une présence dans l’UE

Le RGPD s’applique d’abord aux organisations établies dans l’UE et qui traitent des données dans le cadre des activités de leur établissement, indépendamment du fait que le traitement des données ait effectivement lieu ou non dans l’UE, de la nationalité ou de la résidence des personnes concernées. Conformément à la jurisprudence rendue sous l’égide de la Directive 95/46/CE et du Traité sur le fonctionnement de l’UE , il faut retenir une conception souple de la notion d’établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée.

Un établissement requiert un dispositif stable, mais sa forme juridique n’est pas déterminante. Il peut par exemple s’agir d’une succursale ou d’une filiale ayant la personnalité juridique. Un rattachement purement technique, comme des serveurs ou des boîtes aux lettres ne suffit pas. Il faut au contraire que soient disponibles en permanence des moyens humains et techniques nécessaires à la fourniture de services particuliers. Un bureau de vente ou un seul représentant peut remplir cette condition. L’établissement suppose encore l’exercice effectif et réel d’une activité, même minime.

L’établissement doit finalement traiter des données personnelles dans le cadre de ses activités, ce qui n’implique pas pour autant qu’il traite lui-même les données. La CJUE a d’ailleurs déjà retenu que la présence en Espagne de Google Spain, filiale chargée de vendre des espaces publicitaires au profit de la société américaine Google Inc. suffisait à exiger que Google Inc. qui effectue la majeure partie des traitements de données personnelles soit soumise à la législation européenne en matière de protection des données.

Les entreprises suisses qui visent les résidents de l’UE…

Afin d’éviter qu’un responsable de traitement ne se délocalise hors de l’UE pour se soustraire à ses obligations, le RGPD prévoit un champ d’application extraterritorial lié au principe du lieu du marché (Marktort-Prinzip). L’article 3 (2) RGPD vise le traitement de données relatif à des personnes qui se trouvent sur le territoire de l’UE. Le critère de localisation du traitement est ainsi mis en arrière-plan, pour retenir celui de la localisation du public cible.

Deux cas sont visés. Le premier cas est celui du traitement de données de personnes qui se trouvent dans l’UE par une organisation qui n’est pas établie dans l’UE mais dont les activités de traitement sont liées à l’offre de biens ou de services à des personnes dans l’UE, qu’un paiement soit exigé ou non. Le second est plus limité et vise l’organisation hors UE qui effectue un suivi du comportement de résidents de l’UE.

…en offrant des biens et services

Il ne suffit pas d’avoir des biens ou des services, ni même des clients dans l’UE, encore faut-il que l’organisation envisage d’offrir des biens ou des services à des personnes concernées dans l’UE. Le fait qu’un site web soit accessible depuis l’UE n’est pas suffisant. Ce qui est décisif, ce sont les circonstances concrètes et non la manière dont l’entité déclare envisager d’offrir des biens et des services dans l’UE. La fréquence de l’offre de biens ou de services n’est pas déterminante non plus pour l’application de l’art. 3 (2) RGPD. Il faut donc vérifier dans chaque cas s’il est envisagé d’offrir des biens ou des services à des personnes concernées dans l’UE, en retenant des indices comme l’utilisation d’une langue ou d’une monnaie d’usage courant dans des États de l’UE, , l’utilisation d’un nom de domaine autre que celui du pays dans lequel se trouve la société («.fr » ou «.eu »), le recours à des publicités ou des offres spécifiques pour les pays de l’UE, la possibilité de commander et d’être livré directement dans l’UE, etc..

L’entreprise qui fournit en Suisse des services destinés à des clients dans l’UE, par exemple des séjours touristiques sur mesure pour les résidents européens, sera soumis au RGPD en vertu de l’article 3 (2) RGPD, mais en principe pas l’hôtelier suisse qui accepte des clients du monde entier dans son établissement mais ne fait rien pour viser une clientèle européenne.

…en suivant le comportement

Il y a un suivi du comportement lorsque des personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données qui consistent en un profilage, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit, soit toutes les formes de suivi et de profilage sur Internet, notamment à des fins de publicité comportementale.

Les entreprises qui ne sont pas concernées

Une entreprise suisse qui n’a pas d’établissement dans l’UE, et qui n’envisage pas d’y fournir des biens et services ou de faire du suivi du comportement en ligne de résidents européens, n’est pas soumise au RGPD, même si :

• elle traite en Suisse des données de nationaux européens résidant en Suisse ;
• elle traite en Suisse des données d’employés frontaliers travaillant en Suisse et habitant dans l’UE ;elle traite en Suisse des données de résidents européens en lien avec des
• biens et des services qu’elle n’a pas envisagé de proposer spécifiquement à des résidents européens ;
• elle traite en Suisse en tant que sous-traitant des données pour un responsable de traitement établi dans l’UE ; ou
• elle recourt à un sous-traitant établi dans l’UE.

Bien qu’elles n’y soient pas contraintes, nombres d’entreprises suisses se mettent actuellement en conformité avec le RGPD, qu’elles appliquent des directives d’une société mère qui y est soumise ou à titre de bonnes pratiques. Dans ce cas, il faut prendre garde à ne pas donner de garanties de conformité que l’entreprise n’est pas sûre de pouvoir assumer.

Le RGPD, un nouveau standard pour les entreprises suisses?

Le RGPD prévoit des conditions strictes, et relativement claires, auxquelles une entreprise qui n’est pas présente au sein de l’Union Européenne peut être soumise à ce règlement. La nationalité des personnes dont les données sont traitées n’est pas un critère, de rattachement. Quant aux entreprises qui fournissent des biens et des services à des résidents européens et traitent dans ce cadre des données personnelles, encore faut-il qu’elles aient envisagé de viser ces résidents. Le seul fait qu’il y ait, au milieu par exemple de données de résidents suisses l’un ou l’autre résident européen ne suffirait pas.

Un grand nombre d’entreprises suisses ne sont donc pas concernées par le RGPD, et n’ont pas de démarches particulières de mise en conformité à entreprendre. Elles auraient toutefois tort de l’ignorer. À n’en pas douter le RGPD va s’imposer comme un standard international. Que ses principes soient ou non repris lors de la révision de la LPD, les entreprises suisses qui pourront s’aligner sur ce règlement auront un avantage compétitif, et les consommateurs n’y seront certainement pas insensibles non plus.

Ce billet est adapté d’un article paru dans le Bulletin CEDIDAC n°72.