18/06/2018

RGPD en Suisse: Check-list pour le Règlement général de l’UE sur la protection des données

Le Règlement général de l’Union européenne sur la protection des données (RGPD), également connu en anglais sous le nom de „General Data Protection Regulation“ (GDPR), est entré en vigueur le 25.05.2018. Dans l’article 3, al.2 RGPD, l’Union européenne y a notamment ancré le principe dit du „champ d’action territorial“. Ceci signifie que le droit sur la protection des donnée de l’UE est toujours applicable dans la mesure où des données à caractère personnel relatives à des personnes se trouvant dans l‘UE font l’objet d’un traitement, et cela même si l’entreprise responsable du traitement n’a pas de siège en UE et du moment qu’elle propose des marchandises ou des prestations s’adressant à des clients de l’UE ou si elle surveille le comportement de ces derniers.

Commenter   Partager   Imprimer

Aucun commentaire n'a été écrit sur cet article. Nous nous réjouissons si vous êtes le premier à le faire.
 
Ecrire un commentaire

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez saisir une valeur ! Veuillez svp saisir une adresse électronique (e-mail) valide.

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez remplir tous les champs obligatoires apparaissant en gras.
Réinitialiser
 

RGPD en Suisse

Les boutiques en ligne suisses desservant l’UE sont en particulier concernées. En effet, il n’y a pas que les produits payants qui tombent sous le coup de la définition d’offre de marchandises ou de prestations, les offres ne faisant pas l’objet d’un paiement le sont également, comme par exemple les livres électroniques gratuits ou encore les newsletters destinées à des personnes résidant en UE. Etant donné que, selon le RGPD, les adresses IP sont considérées à titre de données à caractère personnel, les exploitants suisses de site Internet doivent également escompter tomber sous le coup du RGPD de l’UE du moment qu’ils recourent à de l’audimétrie web (webtracking) afin d’analyser les habitudes de navigation et le comportement des utilisateurs sur leur site, leur fournissant alors de précieuses indications sur les intérêts, les préférences et les envies de leur clientèle. Webtracking qui, bien évidemment, touche également la clientèle qui réside en UE.

Les entreprises suisses concernées par le RGPD sont dès lors soumises à de nombreuses obligations de poids. Il est dès lors fortement recommandé aux exploitants de sites Internet et de boutiques en ligne établis en Suisse de vérifier si leurs activités tombent dans le champ d’application du RGPD afin d’être en mesure, le cas échéant, de se conformer à l’ensemble vaste et complexe des dispositions que ce dernier règlement prévoit, et, si besoin est, en ayant recours au conseil de juristes ou d’avocats spécialisés en la matière. Le respect du RGPD est d’ores et déjà incontournable étant donné que le présent règlement prévoit certaines sanctions des plus sévères: qui enfreint le RGPD peut se voir frappé d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou d’une amende équivalant à 4% du chiffre d’affaire mondial réalisé par son entreprise.

La check-list suivante porte sur certains aspects choisis du RGPD de l’UE, tous en relation avec l’exploitation de sites web, de boutiques en ligne, des activités marketing en ligne qui y sont liées et qui doivent être respectés.

Cookies

Avant de recourir à l’usage de cookies, on doit procéder à une pesée des intérêts: il convient alors de savoir si les intérêts légitimes de l’exploitant du site web ou de la boutique en ligne recourant à des cookies pèsent plus lourds dans la balance que les intérêts de l’utilisateur en matière de protection de ses données. Cette pesée des intérêts ne joue en faveur de l’exploitant que lorsque l’usage de cookies sert à collecter des données nécessaires à atteindre les finalités visées par l’exploitant (minimisation des données), lorsque l’utilisateur est en mesure de constater qu’un traitement s’ensuit justement pour atteindre ces fins et que seules des données à caractère personnel pseudonymisées sont traitées.

Les cookies facilitant l’emploi d’un site web, facilitant l’accès et la qualité du traitement d’une boutique en ligne (par exemple, le choix d’une langue ou la présence d’un panier d’achats) ou les cookies servant à l’analyse du site web sont, en principe, juridiquement admissibles. Si la pesée des intérêts fait pencher la balance du côté de l’utilisateur, les cookies dont il est question ne doivent être employés qu’avec le consentement préalable de l’intéressé.

Formulaires de contact

Tous les formulaires de contact d’un site web ou d’une boutique en ligne doivent être verrouillés (par exemple par verrouillage SSL) afin d’éviter que des tiers ou des personnes non autorisées y aient accès. Ceci vaut pareillement pour les formulaires utilisés à des fins de commande ou d’inscription (par exemple, pour la saisie de l’adresse de facturation et de livraison), pour un éventuel formulaire de réclamation en ligne, pour les abonnements aux newsletters et pour les autres formulaires faisant l’objet d’une collecte de données à caractère personnel.

Les données à caractère personnel qui ne sont pas essentielles ne doivent pas être collectées „en réserve“. Ceci peut dès lors être évité en définissant de manière appropriée les champs obligatoires dans les formulaires.

Obtention du consentement

Lorsque l’on cherche à obtenir le consentement de l’utilisateur en vue de traiter des données à caractère personnel (par exemple pour l’envoi d’une newsletter), on doit préciser à l‘utilisateur de manière claire et non équivoque au moment de l’obtention du consentement pour quel motif on demande ce même consentement. L’utilisateur doit avoir été informé de la chose de manière parfaitement transparente, doit donner son accord au traitement envisagé concernant ses données à caractère personnel et clairement faire part de son consentement en la matière (par exemple, en cliquant sur une case prévue à cet effet). Un simple „opt-out“ (par exemple sous forme d’une case cochée au préalable) ne suffit pas.

L’exploitant du site web ou de la boutique en ligne doit en tout temps être en mesure d’attester du consentement de l’utilisateur. L’utilisateur dispose en outre d’un droit d’opposition. Ce dernier doit déjà en être informé lorsque l’exploitant cherche à obtenir son consentement.

L’utilisateur doit donner librement son consentement. Ce critère doit être évalué selon des circonstances existantes et concrètes en particulier lorsque la conclusion du contrat (par exemple une commande passée à une boutique en ligne) dépend du consentement de l’utilisateur (par exemple qu’il consente à la réception d’une newsletter).

Déclaration de confidentialité

La déclaration de confidentialité doit être rédigée dans un langage compréhensible, clair et simple et dans un style aisément abordable. La déclaration de confidentialité doit également contenir les informations détaillées figurant à l’art. 13 RGPD. L’exploitant du site web ou de la boutique en ligne doit, dans le cadre de la déclaration de confidentialité, en particulier aborder les questions de collecte et le traitement des données à caractère personnel s’agissant des formulaires de contact, de l’inscription/du compte client, des cookies et des plugins de médias sociaux ainsi que s’exprimer sur les sujets relatifs aux newsletters, aux processus de vérification de solvabilité, à l’hébergement du site et aux fichiers log.

Vérification de solvabilité

En règle générale, il est généralement permis de procéder à une vérification de solvabilité lorsque cette dernière est nécessaire à la conclusion d’un contrat du point de vue de l’exploitant d’un site web ou d’une boutique en ligne. On doit en plus procéder à la pesée des intérêts en présence et examiner si les intérêts légitimes de l’exploitant à vérifier la solvabilité de l’utilisateur pèsent plus lourds dans la balance que les intérêts relatifs à la protection des données de l’utilisateur.

Si l’on choisit la méthode de paiement „achat sur facture“, une vérification de solvabilité est alors exigible et l’on a pas besoin d’avoir obtenu le consentement préalable de l’utilisateur pour ce faire. La vérification de solvabilité doit toutefois n’avoir lieu qu’après sélection de la méthode de paiement et non avant.

Si l’on choisit les méthodes de paiement „paiement d’avance“, „par carte de crédit“ (PayPal inclus) ou toute autre méthode analogue, la vérification de solvabilité n’est pas réputée nécessaire à la conclusion du contrat. Si l’on souhaite toutefois vérifier la solvabilité de l’utilisateur dans pareil cas, on doit alors obtenir son consentement. Une vérification de solvabilité en vue d’une gestion active de la méthode de paiement choisie par l’utilisateur sans le consentement de ce dernier est par ailleurs illicite.

Plugins de médias sociaux

Etant donné que l’utilisateur ne peut pas valablement consentir à l’utilisation de plugins de médias sociaux, il convient de renoncer à leur utilisation ou de recourir à des solutions alternatives comme l’utilisation de „Shariff“ (les Social-Media-Buttons respectueux de la législation sur la protection des données).

Recours à des fournisseurs de prestations externes

Si l’exploitant d’un site web ou d’une boutique en ligne mandate des fournisseurs de prestations externes pour le traitement de données à caractère personnel, exploitant et fournisseur de prestations externes doivent alors conclure un accord en vue de la protection des données traitées. Il convient alors de respecter les exigences fixées par le RGPD en matière d‘„accord relatif au traitement des données“. La totalité des accords existants et conclus avec des fournisseurs de prestations externes doit alors être passée au crible afin de savoir si ces derniers répondent aux exigences du RGPD. Si cela n’est pas le cas, les accords existants doivent être remaniés en conséquence. Lors d’un transfert de données à caractère personnel à un fournisseur de prestations d’un pays tiers (c’est-à-dire des Etats membres en dehors de l’UE et de l’EEE), il faut alors se conformer aux conditions de recevabilité fixées par le RGPD.

Obligation de désigner un délégué à la protection des données

Les exploitants du site web ou des boutiques en ligne doivent également veiller à respecter ce qui est prescrit, tant par le RGPD que par le droit national du pays de l‘UE entrant en jeu, concernant l’obligation de désigner un délégué à la protection des données. Ne peuvent être désignées comme délégués à la protection des données que les personnes disposant des qualifications professionnelles et des connaissances techniques adaptées à un tel poste. La désignation d’un délégué à la protection des données externe est toutefois possible.

Le délégué à la protection des données est le premier interlocuteur de l’autorité de contrôle et de la personne concernée dans l’UE et pour toute question relative au traitement de données à caractère personnel. Le RGPD contient fournit d’ailleurs une liste des tâches imparties au délégué à la protection des données.

La présente check-list a pour but de vous aider à exploiter votre site web de manière juridiquement sûre. Il se peut toutefois que, dans certains particuliers, l’on doive faire appel à de plus amples conseils juridiques et que l’on doive encore se conformer à des prescriptions supplémentaires. Etant donné qu‘il se peut également que la législation et la jurisprudence aient changé dans l’intervalle, nous n’endossons aucune responsabilité en la matière.

Recommandations produits

  • Ressources Humaines pratique PRO

    Ressources Humaines pratique PRO

    Plus de 500 aides de travail en ligne. Avec guide pratique à 462 pages!

    à partir de CHF 198.00

  • L'essentiel du management

    L'essentiel du management

    La newsletter pour les cadres efficaces

    Plus d’infos

  • Newsletter Droit du travail

    Newsletter Droit du travail

    Jurisprudences commentées. Exemples pratiques. Actualités & Perspectives.

    Plus d’infos

Recommandations de séminaire

  • Séminaire pratique, 1 jour, Hôtel Aquatis, Lausanne

    Gestion de soi

    Développer son potentiel en maîtrisant son image

    Prochaine date: 25. septembre 2018

    plus d'infos

  • Séminaire pratique, 1 jour, Hôtel Aquatis, Lausanne

    Gagner en force mentale

    Se libérer des freins qui impactent la performance

    Prochaine date: 01. octobre 2018

    plus d'infos

  • Séminaire pratique, 1 jour, Hôtel Aquatis, Lausanne

    Manager des situations délicates

    Éviter que les ennuis commencent

    Prochaine date: 11. octobre 2018

    plus d'infos

Nous utilisons des cookies pour améliorer continuellement notre site web. En utilisant ce site web, vous acceptez l’utilisation de cookies. Plus d’infos