Règlement général de l’UE sur la protection des données (RGPD)
Avez-vous reçu ces derniers jours des courriels vous informant sur le règlement général de l’UE sur la protection des données (RGPG) en vigueur depuis le 25 mai 2018 ? Très certainement. L’USIE prend la protection de vos données personnelles également très au sérieux. Quelques détails à ce sujet :
De quoi s’agit-il et quelles entreprises suisses sont concernées par ce RGPD ?
1. Tous les acteurs actifs sur le territoire de l’UE doivent se conformer à ces règles, car elles sont directement applicables.
2. Les nouvelles dispositions donnent aux citoyens un plus grand contrôle de leurs données personnelles.
3. Le RGPD responsabilise davantage les entreprises.
4. Le rôle des autorités chargées de la protection des données est renforcé
Quelles entreprises sont concernées ?
Les entreprises suisses doivent respecter le RGPD si elles traitent des données personnelles d’individus situés sur le territoire de l’UE et si les activités de traitement sont liées, alternativement :
1. à une offre de biens ou de services à ces individus (contre paiement ou à titre gratuit) ou
2. au suivi du comportement de ces individus, à condition que celui-ci ait lieu dans les états membres de l’UE.
Pour déterminer si les activités d’une entreprise sise en dehors de l’UE tombent dans le champ d’application du RGPD, les propriétaires d’entreprises doivent analyser si l’intention de vendre des biens ou services dans l’UE est manifeste. Diverses indices peuvent être étudiés (par ex. la mention de clients se trouvant dans les états membres ou d’une monnaie courante de l’UE). Elles devraient analyser s’il existe une volonté claire de suivre le comportement d’individus dans l’UE (par ex. si elles constatent que des techniques de profilage ou de Google Analytics sont utilisées).
Que doivent entreprendre les entreprises suisses concernées ?
Les entreprises suisses touchées par le nouveau règlement de l’UE doivent remplir les obligations suivantes à partir du 25 mai 2018 :
1. informer et obtenir le consentement de la personne dont les données sont traitées,
2. assurer « Privacy by design (protection des données dès la conception) » et « Privacy by default (protection des données par défaut) »,
3. désigner un représentant dans l’UE,
4. tenir un registre des activités de traitement,
5. déclarer les violations de la protection des données à l’autorité de contrôle et
6. procéder à une analyse d’impact relative à la protection des données.
Pour les entreprises, l’amende en cas de violation de la protection des données peut atteindre jusqu’à 4% du chiffres d’affaires annuel mondial de l’exercice précédent..
Quelle est la prochaine étape ?
La loi fédérale sur la protection des données est en cours de révision. Il n’est pas encore clair quand la loi révisée sera mise en vigueur. Toutefois, les entreprises qui commencent déjà à se préparer pour le RGPD auront plus de facilités.
Vous trouverez de plus amples informations sur le site du Préposé fédéral à la protection des données et à la transparence (PFPDT).