Bilan

Protection des données : 5 conseils pratiques aux entreprises

La règlementation européenne (RGPD) sera applicable dès le 25 mai et son équivalent suisse (P-LPD) probablement en 2019. Par où faut-il commencer ? Nous vous proposons une stratégie simple et pragmatique, que vous soyez directeur d’une PME, médecin ou entrepreneur du bâtiment.
  • Toutes les entreprises suisses sont concernées. Dans tous les cas par la loi suisse sur la protection des données (P-LPD), voire par son équivalent européen (RGPD).

    Crédits: Guetty
  • Antoine Amiguet. « Dès qu’une entreprise suisse détient les données personnelles de clients qui se trouvent dans l'UE, elle est potentiellement soumise au RGPD »,

    Crédits: OBERSON ABELS
  • Philipp Fischer. « Le devoir d’information envers les personnes concernées, notamment les clients et les employés, constitue l’un des points majeurs introduits par la nouvelle réglementation ».

    Crédits: OBERSON ABELS

Les quotidiens Le Temps ou Les Echos ont qualifié le RGPD de «cauchemar de 2018». Nous ne vous promettons pas de rêver dans les lignes qui suivent, mais d’établir un plan d’action concret en cinq phases, grâce aux analyses d'Antoine Amiguet et de Philipp Fischer, tous deux avocats au sein du cabinet OBERSON ABELS à Genève.

Lire aussi: Nouveaux déboires pour Facebook autour de l'utilisation de données personnelles

Les deux avocats ont eu de nombreux échanges avec leurs clients sur ces deux réglementations concernant la protection des données personnelles: «Dans les médias comme dans les entreprises, il y a eu beaucoup de réactions extrêmes à ces nouvelles règles: cela va de la panique à l'indifférence totale. La meilleure solution est le pragmatisme. Il faut s’intéresser à la matière, faire un état des lieux et dresser un plan d’action, car toutes les entreprises suisses sont concernées, en tout cas par le P-LPD, éventuellement par le RGPD». Voici donc une proposition de marche à suivre, en cinq étapes. 

Etape 1 : s’informer 

Le premier conseil livré par Antoine Amiguet et Philipp Fischer est de s’intéresser et de s’informer sur ces nouvelles règles. Qu’il s’agisse de lire des articles ou de prendre conseil auprès d’associations professionnelles, de chambres de commerce ou de spécialistes du droit. «Dès qu’une entreprise suisse détient les données personnelles de clients qui se trouvent dans l'UE, elle est potentiellement soumise au RGPD», soulignent les deux spécialistes. «Il faut garder à l’esprit que l'arsenal juridique européen a été conçu avant tout pour encadrer les géants du web comme les GAFA. Il est très peu probable qu'une PME locale de Suisse romande se voie infliger une sanction de 20 millions d’euros dès le 25 mai». 

Lire aussiFacebook: l'UE réclame une "protection totale" des données personnelles

Si les acteurs suisso-suisses ne sont probablement pas concernés par le RGPD, en revanche, toute PME qui rayonne dans le bassin frontalier devra analyser la question et y consacrer un peu de temps. Cela est d'autant plus vrai pour les entreprises qui traitent des données sensibles, comme les données médicales de personnes qui résident dans l’UE. 

Etape 2 : cartographier ses données 

Il s’agit de répondre ici aux questions suivantes : où se trouvent les données personnelles que je traite, notamment celles concernant mes clients et mes employés ? Sur des serveurs internes, hébergés dans un data center, dans des cartons d’archives ? Combien de versions différentes des fichiers existent? «C’est un vrai enjeu pour les entreprises aujourd’hui et un vrai projet en soi », indiquent Antoine Amiguet et Philipp Fischer. «Même si les données sont parfois très bien protégées, elles peuvent être extraites, totalement ou partiellement, de leur environnement sécurisé, par exemple pour organiser un événement ou envoyer des cartes de vœux». 

Pour les avocats, quelle que soit l’évolution du P-LPD, cette cartographie est nécessaire pour l’avenir et répond à une attente du public, au-delà des démarches imposées par la règlementation. En particulier pour les données sensibles. Bien que leur définition varie légèrement selon le RGPD ou le P-LPD, il s’agit avant tout des données sur la santé, les opinions politiques et religieuses, les orientations sexuelles et l’origine ethnique. Aussi étonnant que cela puisse paraître, les données financières ne sont pas considérées comme des données sensibles au sens de la règlementation en matière de protection des données. 

Étape 3 : évaluer sa situation

Sur la base de cette cartographie des données personnelles, il est ensuite possible d’évaluer dans quelle mesure une entreprise est éloignée des standards légaux. La règle de base étant que chaque traitement de données personnelles doit reposer sur un motif valable. Celui-ci peut consister en l'exécution d’un contrat, une obligation légale, un intérêt public prépondérant ou le consentement de la personne concernée. Un traitement effectué sans motif valable n'est pas admis: dans ces cas, les données personnelles devront être détruites ou, éventuellement, anonymisées. 

Lire aussiSwisscom reconnait le vol de données de 800'000 clients

Là encore, il ne faut pas céder à la dramatisation, l’objectif du RGPD comme du P-LPD vise surtout à encadrer les entreprises dont l'activité commerciale repose principalement sur l'exploitation de données personnelles. Relevons aussi un changement notable dans le P-LPD : alors que le Préposé fédéral à la protection des données est actuellement davantage un observateur qui formule des recommandations à l'attention des entreprises, il sera à l'avenir investi de pouvoirs et de moyens d'investigation beaucoup plus étendus. 

Etape 4 : établir un plan d’action 

Evidemment, bien peu d’entreprises, y compris les plus grandes, seront parfaitement en règle le jour même de l’entrée en vigueur de ces deux réglementations. Mais là encore, cela ne signifie pas qu’il ne faut rien entreprendre. 

« Si l'objectif d'être parfaitement conforme à la nouvelle réglementation le jour J est probablement irréaliste pour la plupart des entreprises, celles-ci devront pouvoir démontrer qu'elles se sont attelées à la tâche et qu'elles suivent un plan d’action », souligne Philipp Fischer. « Les entreprises doivent toutefois fixer des priorités, en identifiant les points les plus à risque, et prendre des mesures concrètes pour les améliorer rapidement ». 

A noter : si votre entreprise se révèle être soumise au RGPD, vous devrez très probablement nommer un représentant dans l’UE. « Il peut s’agir d'une entité du responsable de traitement dans l'UE ou, à défaut, d'un tiers qui accepte d'agir comme représentant. Les autorités européennes cherchent ici surtout à s’assurer d’avoir un point de contact dans leur juridiction en cas de problème », précise Antoine Amiguet. 

Étape 5 : communiquer et informer

Pour les deux avocats, le devoir d’information envers les personnes concernées (notamment les clients et les employés) constitue l’un des points majeurs introduits par la nouvelle réglementation. Concrètement, il faut établir un document, généralement appelé privacy notice, qui doit être à la fois « concis et exhaustif », ce qui peut constituer un paradoxe. « La réglementation ne donne pas beaucoup d'indications sur la meilleure façon d'établir ce document. Il est envisageable de donner des informations par strates: on peut imaginer une version courte comprenant les points essentiels, qui renvoie à une version plus longue, véritablement exhaustive », indiquent Antoine Amiguet et Philipp Fischer. « Dans la privacy notice, les entreprises devront notamment indiquer si elles confient le traitement de données personnelles à des sous-traitants et indiquer si les données personnelles sont transmises en-dehors de Suisse ». 

Sur ce dernier point, les avocats voient également une opportunité de positionnement pour les entreprises « bonnes élèves » en la matière, au regard de la sensibilité croissante du sujet et de la confiance donnée aux entreprises respectant les principes en matière de protection des données. « En cas de violation des règles, la sanction ne sera pas seulement l’amende infligée par les autorités compétentes. Le communiqué de presse qui l’annoncera constituera aussi une sanction importante, avec des dégâts d'images potentiellement très sérieux à la clé ».

Lire aussi: Windows 10 accusé de violer la loi sur les données personnelles

 

Marjorie Thery
Marjorie Théry

JOURNALISTE À BILAN

Lui écrire

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."