Le droit européen fait intervenir des sous-traitants suisses

Le règlement général sur la protection des données inaugurera une nouvelle ère de la législation européenne en matière de protection des données en mai de l'année prochaine. Le GDPR s'applique à tous les États membres de l'Union européenne (y compris le Royaume-Uni). Le contenu du règlement général de l'UE sur la protection des données (RPGD UE) remplace l'ancienne loi sur la protection des données de 1995.

L'objectif premier était de protéger les droits et la vie privée des internautes dans les 28 pays de l'UE. Dans le même temps, cependant, des limites réglementaires devaient être fixées pour les "monstres de données" - Google, Facebook, Amazon et autres - dans la zone de l'UE.

Jusqu'à présent, on a beaucoup discuté des pénalités et des sanctions en cas de violation, notamment jusqu'à 20 millions d'euros ou quatre pour cent du chiffre d'affaires annuel global d'une entreprise, que même une PME suisse négligente devrait payer à partir de 2018.

Dans le passé, le rôle du délégué à la protection des données était largement indéfini. Les rôles et les tâches en matière de protection des données n'étaient pas encore pris en compte dans la mesure où ils sont aujourd'hui requis par le GDPR", explique Katja Böttcher*, chef de projet "Legal & Compliance". L'avocat, spécialisé dans la criminalité en col blanc, coordonne depuis des années de grands projets juridiques et de mise en conformité.

De nouvelles instances ?
Il y a environ douze ans, la protection des données était encore exclusivement pratiquée dans un "contexte informatique". Les premières personnes à avoir reçu le titre informel de délégué à la protection des données (DPD) avaient généralement une formation en informatique. Ce sont eux qui pouvaient comprendre, identifier et "protéger" le flux de données informatisées. Aujourd'hui, à une époque où la technologie domine tellement nos vies, le rôle et la tâche d'un DPD ont considérablement changé.

"Si l'on considère le rôle d'un compliance officer de manière générale et indépendamment de la nouvelle directive européenne sur la protection des données, cette fonction a reçu d'importantes contu- nances au cours des dernières années", explique Katja Böttcher.

La nouvelle révision ne concerne pas seulement la sécurité des données ou la vision de l'informatique, mais aussi les compétences dans les domaines du droit du travail et bien plus encore. "Dans l'ensemble, cependant, la tâche peut certainement être décrite comme très complexe, notamment en ce qui concerne la protection internationale des données. Sa gestion conduira de plus en plus souvent à des responsabilités spécialisées en matière de conformité", explique l'avocat suisse.

"Un DPD ne devrait jamais être considéré comme la seule autorité en matière de protection des données".

Afin de se conformer aux directives européennes, la GDPR formule le rôle d'un DPD et oblige également leur utilisation dans les entreprises et les organisations. D'une manière générale, toutes les entreprises et institutions publiques doivent disposer d'un DPD afin de respecter la liberté d'information ou les droits de l'homme en général.

"Toutefois, cela varie fortement en fonction de la taille, du secteur et du domaine d'activité d'une entreprise", souligne Katja Bött-cher, experte en conformité.

Des responsabilités différentes
Jusqu'à présent, le chef d'une petite entreprise ou les organes administratifs ont toujours été responsables des manquements au devoir de diligence. Récemment, il a également été question d'organismes tiers "de facto" tels que les responsables du traitement externalisé ou les responsables de la sécurité des technologies de l'information ou des données, qui doivent être tenus strictement responsables. Les PME suisses doivent-elles désormais s'attendre à des conséquences pénales plus strictes ?

"Les organes ou fonctions responsables ont pour tâche de contrer les risques de l'entreprise de la meilleure manière possible, en minimisant le risque de responsabilité pour l'entreprise et, en fin de compte, pour les personnes qui agissent", explique l'avocat. Elle met cela en perspective : "Un responsable des données est certainement nécessaire lorsqu'une violation de la protection des données ou de la sécurité des données a été classée comme un risque d'entreprise pertinent. Une PME active localement qui sert de fournisseur de pièces détachées n'a probablement pas besoin d'un responsable spécial des données, alors qu'un fournisseur de base de données commerciales en a besoin".

Les comptables qui n'ont pas de fonction de gestion ou de responsabilité correspondante peuvent éventuellement manquer à leur devoir de diligence en vertu du droit du travail s'ils ne respectent pas les processus de travail, les règlements ou les instructions directes spécifiés. Il en va bien entendu de même pour les employés de l'informatique concernés (responsabilité de la direction : art. 754 CO, responsabilité des employés : art. 321e CO).

Un DPD ne devrait donc jamais être considéré comme la "seule autorité" en matière de protection des données au sein d'une organisation. Le DPD doit aider une entreprise ou une organisation à assurer une protection complète des données et à respecter les obligations légales - également en ce qui concerne le respect de la vie privée des employés.

Orientations juridiques
Dans le cadre de la GDPR, les petites organisations publiques - par exemple, les municipalités ou les écoles publiques - pourraient-elles également être légalement tenues de payer un DPD ? En règle générale, les communes suisses et même les écoles ne collectent et ne traitent pas les données couvertes par le GDPR. En Suisse, les institutions publiques sont déjà soumises à des directives strictes en matière de protection des données et sont supervisées par le préposé fédéral ou cantonal à la protection des données.

À cet égard, la directive européenne n'est obligatoire que pour les organisations dont les activités principales impliquent "un contrôle régulier et systématique des données à grande échelle" ou dont les activités impliquent le traitement de données particulièrement sensibles - par exemple, des données relatives à l'origine ethnique, aux croyances religieuses, à la santé, à la vie sexuelle ou aux condamnations pénales.

La GDPR a un impact sur la Suisse et s'applique aux entreprises qui collectent et traitent des données sur les clients et les personnes dans l'espace de l'UE, respectivement qui sont accessibles depuis l'UE (par exemple, la page d'accueil qui crée des évaluations non anonymes des visiteurs). Ces sociétés doivent se conformer aux lignes directrices et peuvent être amenées à désigner un DPD.

Certaines lignes directrices, en partie utiles, ont été élaborées par le groupe de travail "Article 29", un groupe de représentants des autorités de protection des données de toute l'UE. Le GDPR décrit les structures (qualités et devoirs) d'un DPD. Entre autres, les qualifications suivantes sont requises :

• Possibilité d'action "indépendante".
• Indépendance par rapport aux instructions de l'employeur.
• Connaissance de la législation sur la protection des données.
• Des ressources suffisantes pour accomplir les tâches.
• Des ressources suffisantes pour accomplir les tâches.

Selon l'article 29 des lignes directrices, outre la qualification, un DPD ne doit pas évoquer un conflit d'intérêts.

Cependant, certains postes dans les entreprises ne sont pas compatibles avec les tâches du DPD, notamment ceux de PDG, de directeur financier, mais aussi de directeur du marketing, de représentant des ressources humaines ou de l'informatique.

D'autres principes directeurs raisonnables expliquent, par exemple, que les "activités essentielles" n'impliquent pas le traitement d'informations sur le personnel au sein d'un service des ressources humaines - tout avis contraire conduirait à ce que chaque entreprise ou service opérationnel ait besoin d'un DPD.