Le règlement général sur la protection des données (RPDP) concerne la Suisse
Le Règlement général sur la protection des données (RPD), qui s'appliquera à tous les États membres de l'UE à partir de mai 2018, concerne également la Suisse. Elle impose de nouvelles exigences en matière de protection des données aux responsables de la conformité. Néanmoins, un responsable de la protection des données n'est pas immédiatement nécessaire dans chaque entreprise.
Le règlement général sur la protection des données inaugurera une nouvelle ère de la législation européenne en matière de protection des données en mai de l'année prochaine. Le GDPR s'applique à tous les États membres de l'Union européenne (y compris le Royaume-Uni). Le contenu du règlement général de l'UE sur la protection des données (RPGD UE) remplace l'ancienne loi sur la protection des données de 1995.
L'objectif premier était de protéger les droits et la vie privée des internautes dans les 28 pays de l'UE. Dans le même temps, cependant, des limites réglementaires devaient être fixées pour les "monstres de données" - Google, Facebook, Amazon et autres - dans la zone de l'UE.
Jusqu'à présent, on a beaucoup parlé de pénalités et de sanctions en cas d'infraction, notamment jusqu'à 20 millions d'euros, soit quatre pour cent du chiffre d'affaires annuel global d'une entreprise, que même une PME suisse négligente devrait débourser à partir de 2018.
Dans le passé, le rôle du délégué à la protection des données était largement indéfini. En effet, la législation européenne sur la protection des données qui existe encore aujourd'hui découle d'une directive européenne de 1995 : "Les rôles et les tâches en matière de protection des données n'étaient pas encore pris en compte dans la mesure requise par la GDPR aujourd'hui", explique Katja Böttcher*, chef de projet "Legal & Compliance". L'avocat, spécialisé dans la criminalité en col blanc, coordonne depuis des années de grands projets juridiques et de mise en conformité.
De nouvelles instances ?
Il y a seulement une douzaine d'années, la protection des données était exclusivement pratiquée dans un "contexte informatique". Les premières personnes à avoir reçu le titre informel de délégué à la protection des données (DPD) avaient généralement une formation en informatique. Ce sont eux qui pouvaient comprendre, identifier et "protéger" le flux de données informatisées. Aujourd'hui, à une époque où la technologie domine tellement nos vies, le rôle et la tâche d'un DPD ont considérablement changé.
"Si l'on considère le rôle d'un compliance officer en général et indépendamment de la nouvelle directive européenne sur la protection des données, cette fonction a pris des contours clairs au cours des dernières années", explique Katja Böttcher.
La nouvelle révision ne concerne pas seulement la sécurité des données ou la vision de l'informatique, mais aussi les compétences dans les domaines du droit du travail et bien plus encore. "Dans l'ensemble, cependant, la tâche peut certainement être décrite comme très complexe, notamment en ce qui concerne la protection internationale des données. Sa gestion conduira de plus en plus souvent à des responsabilités spécialisées en matière de conformité", explique l'avocat suisse.
Afin de se conformer aux directives européennes, la GDPR formule le rôle d'un DPD et oblige également leur utilisation dans les entreprises et les organisations. D'une manière générale, toutes les entreprises et institutions publiques devraient obtenir un DPD afin de se conformer à la liberté d'information ou aux droits de l'homme en général.
"Toutefois, cela varie fortement en fonction de la taille, du secteur et du domaine d'activité d'une entreprise", souligne Katja Böttcher, expert en conformité.
Des responsabilités différentes
Jusqu'à présent, le chef d'une petite entreprise ou les organes administratifs ont toujours été responsables des manquements au devoir de diligence. Récemment, il a également été question d'organismes tiers "de facto" tels que les responsables du traitement externalisé ou les responsables de la sécurité des technologies de l'information ou des données, qui doivent être tenus strictement responsables. Les PME suisses doivent-elles désormais s'attendre à des conséquences pénales plus strictes ?
"Les organes ou fonctions responsables ont pour tâche de contrer les risques de l'entreprise de la meilleure manière possible, en minimisant le risque de responsabilité pour l'entreprise et, en fin de compte, pour les personnes qui agissent", explique l'avocat. Elle met cela en perspective : "Un responsable des données est certainement nécessaire lorsqu'une violation de la protection des données ou de la sécurité des données a été classée comme un risque d'entreprise pertinent. Une PME active localement qui sert de fournisseur de pièces détachées n'a probablement pas besoin d'un responsable spécial des données, alors qu'un fournisseur de base de données commerciales en a besoin".
Les comptables qui n'ont pas de fonction de gestion ou de responsabilité correspondante peuvent, tout au plus, manquer à leur devoir de diligence en vertu du droit du travail s'ils ne respectent pas les processus de travail, les règlements ou les instructions directes spécifiés. Il en va bien entendu de même pour les employés de l'informatique concernés (responsabilité de la direction : art. 754 CO, responsabilité des employés : art. 321e CO).
Un DPD ne devrait donc jamais être considéré comme la "seule autorité" en matière de protection des données au sein d'une organisation. Le DPD doit aider une entreprise ou une organisation à pratiquer la protection des données de manière générale et à respecter les obligations légales - également en ce qui concerne le respect de la vie privée des employés.
Orientations juridiques
Dans le cadre de la GDPR, les petites organisations publiques - par exemple, les municipalités ou les écoles publiques - pourraient-elles également être légalement tenues de payer un DPD ? En règle générale, les communes suisses et même les écoles ne collectent et ne traitent pas les données couvertes par le GDPR. Les institutions publiques suisses sont déjà soumises à des directives strictes en matière de protection des données et sont supervisées par le délégué fédéral ou cantonal à la protection des données.
À cet égard, la directive européenne n'est obligatoire que pour les organisations dont les activités principales impliquent "un contrôle régulier et systématique des données à grande échelle" ou dont les activités impliquent le traitement de données particulièrement sensibles - par exemple, des données relatives à l'origine ethnique, aux croyances religieuses, à la santé, à la vie sexuelle ou aux condamnations pénales.
La GDPR a un impact sur la Suisse et s'applique aux entreprises qui collectent et traitent des données sur les clients et les personnes dans l'espace de l'UE, respectivement qui sont accessibles depuis l'UE (par exemple, une page d'accueil qui crée des évaluations non anonymes des visiteurs). Ces sociétés doivent se conformer aux lignes directrices et peuvent être amenées à désigner un DPD.
Certaines lignes directrices, en partie utiles, ont été élaborées par le groupe de travail "Article 29", un groupe de représentants des autorités de protection des données de toute l'UE. Le GDPR décrit les structures (qualités et devoirs) d'un DPD. Entre autres, les qualifications suivantes sont requises :
- Possibilité d'action "indépendante".
- Indépendance par rapport aux instructions de l'employeur.
- Connaissance de la législation sur la protection des données.
- Des ressources suffisantes pour accomplir les tâches.
- Rendre compte directement au plus haut niveau de la direction.
Selon l'article 29 des directives, outre la qualification, un DPD ne doit pas évoquer un conflit d'intérêts. Toutefois, certains postes dans les entreprises sont incompatibles avec les fonctions de DPD, notamment ceux de PDG, de directeur financier, mais aussi de directeur du marketing, de responsable des ressources humaines ou de responsable informatique.
D'autres principes directeurs raisonnables expliquent, par exemple, que les "activités essentielles" n'impliquent pas le traitement d'informations sur le personnel au sein d'un service des ressources humaines - toute opinion contraire aurait pour conséquence que chaque entreprise ou service opérationnel aurait besoin d'un DPD.
Plus d'informations sur la révision de la loi sur la protection des données :
*Katja Böttcher a rejoint LALIVE en 2015 en tant que chef de projet juridique et est responsable de la coordination des grands projets juridiques et de conformité du cabinet. Elle a de nombreuses années d'expérience dans le domaine des enquêtes criminelles internationales et des enquêtes médico-légales. Avant de rejoindre LALIVE, elle a travaillé comme chef de commissariat à la police criminelle fédérale suisse et a dirigé un commissariat d'enquête financière à la succursale de Zurich.
La politique de protection de la vie privée
Les directives européennes plus strictes en matière de protection des données sont une autre tâche qui doit être prise en compte par les fonctions de conformité concernées. Pour les entreprises qui ne sont pas établies dans l'Union européenne, mais auxquelles la directive européenne sur la protection des données s'applique en raison de l'orientation de leurs activités, il existe généralement une obligation de désigner un représentant à la protection des données.
Toutefois, compte tenu des directives suisses strictes en matière de protection des données (DSG) déjà existantes, le changement ne devrait pas être fondamental. Selon l'entreprise, il n'est peut-être pas nécessaire de désigner un responsable de la protection des données spécialisé ; cependant, les entreprises feraient bien de désigner un représentant de la protection des données. La principale fonction du représentant à la protection des données est de fournir aux autorités de contrôle un accès de facto au sous-traitant de données au sein de l'UE. (mm)
