GDPR – 1 an: un bref retour vers le futur

image_pdfimage_print

LE GDPR ARRIVE – ETES-VOUS PRÊTS?

Dans un peu moins d’un an, le règlement général sur la protection des données (GDPR en anglais, RGDP en français) sera directement applicable aux Etats membres de l’Union Européene. Ce règlement vise avant tout à protéger les droits fondamentaux des invidus face au traitement de leurs données personnelles et à règlementer la libre circulation de celles-ci.

QUAND, A QUI ET OÙ

Il sera directement applicable dès le 25 mai 2018  en Europe, mais son application territoriale s’étendra aussi aux responsables de traitement situés en dehors de l’UE, lorsqu’un traitement de données personnelles est lié à l’offre de biens et services en Europe, ou au suivi de comportements de personnes situées en Europe (art. 3 GDPR). L’application du GDPR est donc bien plus étendu qu’en Europe,  la Suisse est donc concernée (tout comme les USA)!

SANCTIONS

Au niveau des sanctions on se rapproche des chiffres que l’on connaît en matière de droit de la concurrence, soit jusqu’à 10% du CA annuel mondial. Ici, les sanctions envisagées par ce texte en cas de violation grave du règlement vont jusqu’à € 20 millions ou 4% du chiffre d’affaire annuel mondial du groupe (art. 83 §5 GDPR).

S’Y PREPARER MAINTENANT

Il est essentiel que toute entreprise suisse se renseigne sur l’applicabilité du règlement à son entreprise, si cela n’est pas déjà fait. En effet, les exigences de ce règlement peuvent impliquer, suivant la taille de l’entreprise, de nombreux changements et adaptations des processus internes et externes avec ses fournisseurs, partenaires commerciaux et clients afin d’être en conformité en mai prochain. Vu que ces changements peuvent avoir des coûts importants, il s’agit du dernier moment pour s’y préparer.

__________________

A RETENIR

Beaucoup ont déjà écrit sur ce sujet (voir la liste en bas).

La plupart des grandes études d’avocats ont par ailleurs déjà développé de nombreux guides outils, documentations ou webinar pour s’y préparer à son entrée en vigueur. Il n’est donc pas question de faire un  xième exposé sur le GDPR, mais plutôt de rappeler les changements clés pour les individus et les entreprises avec les enjeux qui s’y accompagnent.

En somme, que faut-il retenir du GDPR et à quoi faut-il accorder une attention particulière?

Le GDPR va-t-il vraiment changer les choses? En ce qui concerne les entreprises, clairement oui!

  • Il abroge et remplace la Directive UE 95/46/CE et sera directement applicable puisqu’il s’agit d’un règlement.
  • Plus d’entreprises sont concernées: Il s’applique aux Etats membres de l’UE, mais aussi aux acteurs situés en dehors de l’UE, comme la Suisse.
  • Droits des individus renforcés: les droits des individus sont renforcés et l’obligation de transparence devient plus étendue.
  • En particulier les “privacy notice” ainsi que les exigences en matières de consentement sont considérablement renforcées. Tout doit être clair, lisible, compréhensible, simple et le consentement doit être aussi simple à donner, qu’à retirer.
  • Tout responsable de traitement, doit mettre en place les processus internes nécessaires à garantir la conformité au GDPR et doit s’organiser pour pouvoir le démontrer aux autorités en cas d’audit.
  • Une analyse d’impact de protection des données (fameux “DPIA”) doit être effectuée avant tout traitement, lorsque celui-ci implique un risque élevé pour les individus pour le traitement de leurs données personnelles.
  • Les grands principes de protection des données personnelles sont conservés (information, protection, proportionalité du traitement, etc.) avec certains ajouts tels que “privacy by design” – penser à la protection des données dès la conception, “privacy by default” – exigence de protection des données le plus élevé dès le départ, ou encore la “portabilité des données” – possibilité d’exporter ses données dans un format lisible et transférable dans un autre environement.
  • En cas de faille de sécurité  (“data breach“), le responsable de traitement à l’obligation de l’annoncer dans les 72 heures en prenant toutes les mesures nécessaires pour réduire le risque lié à cette faille. Cas échéant,  le responsable de traitement devra aussi notifier les individus.
  • Désignation de data protection officer (DPO)
  • Pour une liste complète, voir les liens en bas de l’article.

Les exigences du GDPR impliquent de s’y préparer. Les entreprises ne peuvent plus ignorer la protection des données, puisqu’elles dont vont devoir considérablement changer leur manière de fonctionner et d’opérer.

__________________

ET LA SUISSE?

La Suisse va-t-elle s’aligner sur le GDPR?  Principalement oui, mais avec quelques différences que l’on peut retrouver dans ce tableau.

  • L’avant-projet de révision de la loi fédérale sur la protection des données a été mis en consultation devant les Chambres fédérales et pourrait entrer en force fin 2018.
  • Quelques différences anecdotiques sont à noter, telles que l’absence de portabilité des données ou encore le droit d’accès des proches du défunt à des données personnelles (ex: cas de refus d’accès à un compte facebook par les parents d’une adolescente décédée), pour n’en citer que quelques unes.
  • L’obligation pour le responsable de traitement de notifier les individus tout changement de sous-traitant est bien plus problématique. En effet, suivant le nombre de sous-traitants (data processors) utilisés, cette obligation sera impossible à mettre en oeuvre pour les grandes entreprises multinationales. Il serait bon qu’une modification législative soit effectuée avant que le texte entre en vigueur, sous peine que de nombreuses entreprises n’arrivent pas à satisfaire à cette obligation.

__________________

LIENS UTILES