Révision du règlement général sur la protection des données : quelles adaptations s'appliquent à la Suisse ?

A partir du 25 mai 2018, le Règlement général sur la protection des données (RGD) de l'UE sera applicable avec effet direct pour les entreprises suisses. La loi suisse sur la protection des données est en cours de consultation et la LPD révisée devrait également entrer en vigueur à l'automne 2018 - les entreprises suisses sont sous pression et doivent s'adapter.

Cet article met en lumière certains aspects clés de la législation européenne sur la protection des données pour la Suisse.

Protection de la personne morale

De nombreux nouveaux ajustements ont été formulés au Parlement européen afin d'harmoniser le PIBR avec tous les pays européens, y compris le lieu de travail suisse (considérant 137). Ainsi, à l'avenir, tous les traitements destinés aux citoyens de l'UE et impliquant des données personnelles de citoyens ou d'employés de l'UE devront être conformes à la GDPR.

L'introduction de la loi européenne met donc la pression non seulement sur les entreprises allemandes, mais aussi sur les exportateurs suisses, les sociétés de vente par correspondance, les opérateurs de sites en ligne, et plus généralement sur les secteurs suisses des TIC, de la communication, du droit/contrôle, de la publicité et de l'économie des données. Toutefois, la protection des personnes morales doit être dissociée.

L'évaluation des risques proprement dite sera confiée au personnel chargé du traitement des données ou aux délégués à la protection des données à partir de 2018.

Droits des personnes concernées

Le principe de l'"autodétermination informationnelle" reste valable. Cela signifie que les droits et les obligations des personnes concernées sont améliorés. Ces obligations sont énumérées à l'article 7 du GDPR de l'UE. Toutefois, la personne concernée a le droit de révoquer son consentement à tout moment.

D'une part, cependant, à la lumière des sanctions et des poursuites pénales possibles, les particuliers ou les entrepreneurs individuels pourraient être confrontés à des handicaps organisationnels plus importants en termes de conditions générales, de contrats types, de politiques de protection des données et de processus à respecter.

De même, les enquêtes pénales du PFPDT seront plus souvent sollicitées. Le catalogue des tâches du PFPDT a été considérablement élargi (notamment art. 37, art. 5, art. 7, art. 16, art. 17), ce qui pourrait entraîner une "bureaucratisation" de l'autorité (source : Management & Quality 06/2017).

Obligations du responsable du traitement et du sous-traitant

Ce qui est nouveau, c'est que certaines violations de la protection des données doivent être signalées à l'autorité de contrôle compétente dans les 72 heures suivant leur découverte, et la personne concernée doit en être informée sans délai. La mise à disposition d'un délégué à la protection des données (interne ou externe) sera donc également une question importante pour les employeurs suisses.

Le responsable du traitement (des données) doit être en mesure de communiquer les données à quiconque, ou de les corriger - et doit pouvoir informer immédiatement le délégué à la protection des données si l'on craint une manipulation ou une perte de données à caractère personnel (article 17). Il existe désormais un droit d'accès permanent à tous les fichiers de données et aux actions concernant les modifications des données (article 20). Ce droit concerne aussi explicitement la période de rétention.

Ainsi, le PADF prévoit aussi explicitement le droit à l'effacement, qui pourrait même être exercé par les héritiers de la personne concernée ("mort numérique", article 12).

Attention : Processus automatisés

Une innovation importante concerne la prise en compte des nouvelles techniques qui se sont établies sur l'Internet ces dernières années. Cela comprend, par exemple, le "profilage" (article 3, paragraphe 1, point f)), c'est-à-dire l'établissement de profils de la personnalité sur la base de données accessibles au public (partie des "grandes données").

Les décisions dites automatiques ou autonomes sont également d'une grande importance (article 15). Il s'agit de décisions en ligne qui sont prises sur la base de processus automatiques (aucune interaction de la part d'un être humain, comme les contrôles de crédit entièrement automatisés). Ce domaine n'inclut pas les données personnelles telles que les enquêtes génétiques, biométriques ou criminelles.

D'une manière générale, la réglementation du traitement des données de commande - sous réserve d'adaptations contractuelles et techniques - fera bientôt l'objet d'une attention accrue en Suisse également.

Pour plus d'informations sur les secteurs d'activité concernés par la réglementation européenne en Suisse, veuillez consulter nos numéros récents de "Management & Qualité" (numéro 3/2018) et "Organisateur" (numéro 1/2 2018). Ce texte a également été traduit en français pour l'édition imprimée actuelle de Management & Quality.  

Analyse des risques, essais et certification

Le règlement général européen sur la protection des données oblige également les entreprises suisses à s'orienter davantage vers le risque. Les entreprises doivent connaître dans les moindres détails le GDPR de l'UE d'ici au 25 mai 2018, les droits et obligations auxquels les "personnes concernées" sont soumises dans le cadre du traitement transnational des données. L'audit officiel, appelé évaluation de l'impact sur la protection des données (article 16), est également requis en cas d'omissions négligentes dans le traitement des données. Le commissaire fédéral à la protection des données dispose de trois mois pour évaluer le respect de la loi. En outre, les procédures de certification spécifiques à la protection des données pourraient devenir plus pertinentes en tant que preuve de conformité à la GDPR. (mm)

http://www.edoeb.admin.ch