Points de vue
GDPR - Conséquences pour les entreprises suisses
Explorer les nouveautés en termes de sphère privée
La Suisse ne faisant pas partie de lʾUE ou de lʾEEE, la réforme de la loi européenne sur la protection des données nʾa pas dʾimpact direct sur ses entreprises.
Auteur: Andreas Knijpenga
Toutefois, la réforme touchera tout de même les entreprises suisses dans les cas décrits ci-dessous.
Le nouveau régime de protection des données de lʾUE s’appliquera directement à tout traitement de données réalisé par des entités de groupe situées dans lʾUE et des entreprises basées en Suisse qui exercent des activités commerciales au sein de lʾespace de lʾUE et ont accès aux données personnelles de leurs clients, fournisseurs et employés de lʾUE.
Dans ce contexte, plusieurs nouvelles exigences importantes ont été mises en place, notamment mais non exhaustivement :
- la notification des violations de données dans les 72 heures ;
- les exigences relatives aux délégués à la protection des données ;
- les sanctions pouvant atteindre 4 % du total du chiffre d’affaires mondial annuel ou 20 millions d’euros ;
- le consentement indubitable ou explicite.
Par ailleurs, la révision en cours de la Loi fédérale sur la protection des données (LPD) sera fortement influencée par :
- la modernisation par le Conseil de lʾEurope de la « Convention relative à la protection des personnes à lʾégard du traitement automatisé des données à caractère personnel ratifiée par la Suisse»;
- le nouveau RGPD (données personnelles des individus) ;
- la nouvelle Directive sur la protection des données pour les secteurs de la police et de la justice pénale.
En fin de compte, les trois nouvelles dispositions européennes obéissent aux mêmes principes. Même si les principes fondamentaux de la LPD resteront probablement identiques à ceux en vigueur aujourd’hui et que la LPD actuelle ne nécessitera que des ajustements mineurs, les législateurs suisses pourraient copier de grandes parties du RGPD final dans la LPD révisée afin de maintenir lʾharmonisation de lʾespace économique.
Indépendamment de la révision de la LPD, le nouveau régime de protection des données de lʾUE concernera directement de nombreuses entreprises basées en Suisse, si celles-ci exercent des activités commerciales dans lʾUE et ont accès aux données personnelles de leurs clients, fournisseurs et employés de lʾUE. Dʾautre part, toutes les entreprises suisses devront absolument se familiariser avec le nouveau RGPD et ses exigences, afin de commencer à déterminer si elles sont concernées par les nouvelles règles et de lancer les travaux préparatoires (ex : examen des supports d’interaction avec la clientèle pour assurer la conformité avec les nouvelles exigences en matière de consentement et de transparence, examen et modification, le cas échéant, des contrats avec les prestataires chargés du traitement des données). Ainsi, elles pourront faire en sorte que tous les ajustements nécessaires soient faits à temps pour se conformer aux nouvelles exigences en matière de protection des données dans lʾUE et en Suisse.