Le Règlement sur la protection des données (RGPD) entré en vigueur le 25 mai 2018 est une norme européenne. La Suisse qui n’est pas un état membre ne devrait pas être a priori soumise au règlement. Cependant l’article 3 de ce règlement précise qu’il est applicable « que le traitement ait lieu ou non dans l’Union » démontrant ainsi une portée globale et de nature extraterritoriale. Dans ce contexte, plusieurs exigences importantes doivent être prises en compte pour se conformer au règlement.
Une application de fait
Une des particularités de ce règlement, est qu’il n’est pas nécessaire pour des États hors Union comme la Suisse de l’adopter par un accord bilatéral pour qu’il s’applique. En effet le RGPD a vocation à s’appliquer dès l’instant où le traitement des données personnelles que manipule une entreprise suisse portent sur des personnes ressortissantes de l’Union européenne. Au regard de l’article 3 du RGPD, si le responsable du traitement est établi en dehors de l’Union européenne, mais que ses activités concernent « l’offre de biens ou de services ou la surveillance des comportements » de personnes se trouvant sur le territoire de l’Union, alors le RGPD doit s’appliquer. Ainsi, une entreprise suisse qui vend des biens ou services en Europe par le biais d’une boutique en ligne se voit dans l’obligation d’appliquer le RGPD.
Ce règlement tient compte de la protection des « personnes à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Il s’agit de protéger les personnes « contre un mauvais usage de leurs données personnelles ». Ce règlement a été mis en place pour responsabiliser les entreprises, plusieurs obligations incombent aux entreprises. En cas d’infraction du RGPD, les entreprises s’exposent à des sanctions notamment une amende pouvant aller jusqu’à « 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ». La portée de son application notamment en cas de sanction est d’application extraterritoriale. Il semble donc essentiel de s’y conformer.
Se conformer au RGPD
Le régime relatif à la protection des données est d’application directe à tout traitement de données réalisé par des entreprises suisses qui exercent des activités commerciales au sein de l’espace de l’Union européenne leur donnant accès aux données personnelles de leurs clients, fournisseurs, employés ressortissants de l’UE. Les entreprises suisses doivent se conformer aux nouvelles exigences qui ont été mises en place. En effet, il est important de désigner un responsable de traitement, le RGPD vient définir le responsable de traitement comme étant une « personne physique morale, l’autorité publique, le service ou autre organisme qui seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement ». La Cour de Justice Européenne donne une interprétation large à cette notion notamment au regard de l’arrêt EU :C2018388 du 5 juin 2018.
Sous le RGPD, il existe certaines obligations pour le responsable de traitement. Il doit tenir un registre de traitement des données personnelles qui mentionne la finalité de chaque collecte, s’assurer du consentement des clients par rapport au droit d’utiliser leurs données personnelles telles que l’adresse e-mail ou encore en cas de violations de données procéder à la procédure de notification des personnes et de l’autorité.
Si la Suisse n’est pas un pays de l’UE, il existe néanmoins de forts liens économiques et c’est également un pays signataire de la Convention 108 du Conseil de l’Europe qui a été modernisé en 2018 pour renforcer la protection et la transparence des traitements de données personnelles imposées par le RGPD. Si une entreprise suisse ne compte que des clients en Suisse, celle-ci n’a pas besoin de se conformer au RGPD. Mais cela ne concernerait que 20% des entreprises suisses. La Suisse est l’un des 12 pays reconnus par la Commission européenne, comme étant conforme pour le transfert de données personnelles du territoire européen vers le territoire suisse. Les entreprises ont tout intérêt à se conformer au RGPD afin d’une part de ne pas perdre le marché européen, mais également de ne pas subir de sanction économique.
Emilie PEREZ
Master 2 Cyberjustice- promotion 2020/2021
Sources:
https://libguides.graduateinstitute.ch/c.php?g=652466&p=4675641
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1