La protection des données: Le RGPD et ses conséquences en Suisse
Maître Philippe Ehrenström
Me Philippe Ehrenström, avocat, LLM, CAS, à Genève et Onnens (VD). Il conseille les justiciables en matière de droit du travail, de protection des données et de fiscalité (PP) devant les juridictions et administrations cantonales et fédérales.
Aides de travail Protection des données et droit informatique
Champ d’application territorial
Répondre à cette question revient à traiter du champ d’application territorial du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ; RGPD).
Il convient, à ce propos, de différencier le champ d’application territorial du RGPD (art. 3 (1)) de son application extraterritoriale (art. 3 (2)).
Selon l’art. 3 (1) RGPD, le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.
La notion d’« établissement » suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard. (RGPD, consid. 22) Il faut en effet retenir une conception souple de la notion d’établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée (CJUE, aff. C-230/14, ECLI :EU :C :2015 :639, consid. 29 (Weltimmo)). Une organisation peut donc être considérée comme « établie » dès qu’elle exerce toute activité réelle et effective, même minime, au moyen d’une installation stable sur le territoire de l’UE. (Ibid., consid. 28)
Selon l’art. 3 (2) RGPD, le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
- à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ; ou
- au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.
Concernant l’hypothèse visée à la let. a (offre de biens ou de services), il s’agit du principe du lieu du marché (Marktort Prinzip) : il faut viser spécifiquement le marché européen.
Afin de déterminer si un responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union. (RGPD, consid. 23)
On peut aussi penser à la nature « internationale » de l’activité (hôtellerie, tourisme), à l’utilisation de noms de domaine autres que ceux du pays dans lequel se trouve la société, à la description d’itinéraires ou d’infrastructures permettant de se rendre en dans le pays de l’offre depuis un pays de l’UE, etc.
Concernant l’hypothèse visée à la let. b (suivi de comportements) il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit. (RGPD, consid. 24) Par contre, la condition du « suivi du comportement » dans l’UE n’implique pas que le responsable de traitement ait, en plus, l’intention de « viser » le marché de l’UE.
A titre d’exemples, le RGPD ne s’appliquera normalement pas aux responsables de traitement en Suisse qui emploient des travailleurs frontaliers. Le fait de proposer un emploi n’est en effet pas une offre de biens ou de services sur le territoire de l’UE. Il n’y a pas davantage de suivi de comportements. Le RGPD s’appliquerait par contre aux travailleurs employés dans un établissement sur le territoire de l’Union par une société sise en Suisse, et ce en vertu de l’art. 3(1). Le RGPD s’appliquerait aussi à une entreprise basée en Suisse qui vendrait des montres à des personnes domiciliées en France, Belgique, Portugal, Finlande et Grèce par le biais d’une boutique en ligne, car la société suisse offre des biens à des personnes dans l’Union. Le RGPD serait pareillement applicable à un hôtelier du val d’Hérens qui crée des profils de ses clients italiens, suédois, allemands et polonais afin de leur proposer des offres pour d’autres séjours, pour autant que le profil soit établi sur la base de comportement dans l’UE.
Quelles seraient les conséquences d’une application extraterritoriale du RGPD à un responsable de traitement en Suisse ?
Application extraterritoriale du RGPD
Il convient de rappeler ici que l’un des buts du RGPD est d’octroyer davantage de contrôle et de visibilité aux personnes concernées par un traitement de données.
Principe de transparence
L’art. 12 RGPD oblige ainsi le responsable de traitement à prévoir des procédures et des mécanismes permettant à la personne concernée d’exercer ses droits. Il consacre le principe de transparence : toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre dans une forme concise et transparente, et formulée en termes simples et clairs – spécialement à l’égard d’un enfant. En règle générale, les informations seront fournies par écrit et sans frais. Le Règlement prévoit également des délais de réactions maximum. Toutes les modalités énoncées par l’art. 12 RGPD sont applicables à tous les droits prévus par le Règlement, à savoir : droit à l’information (art. 13 et 14 RGPD), droit d’accès (art. 15 RGPD), droit de rectification (art. 16 RGPD), droit d’effacement ou « droit à l’oubli » (art. 17 RGPD), droit à la limitation du traitement (art. 18 RGPD), obligation de notification (art. 19 RGPD), droit à la portabilité des données (art. 20 RGPD), droit d’opposition (art. 21 RGPD), droit de ne pas être soumis à une décision individuelle automatisée (art. 22 RGPD), droit à la communication d’une violation de données à caractère personnel (art. 34 RGPD), etc.
Recommandations de produits
Principe de responsabilité
Par ailleurs, l’art. 5 § 2 RGPD consacre le principe de responsabilité («accountability») du responsable de traitement en vertu duquel le responsable de traitement est activement responsable de la mise en conformité des traitements de données. Le responsable de traitement est donc responsable pour la conformité aux principes généraux et il doit également être capable de démontrer cette conformité. Concrètement, le Règlement prévoit notamment les obligations suivantes :
L’art. 24 RGPD souligne que le principe de responsabilité va de pair avec l’approche basée sur le risque selon laquelle le responsable du traitement va désormais devoir apprécier de façon objective la probabilité et le degré de risque encouru pour les droits et libertés des individus lorsqu’il entame un traitement. Le responsable de traitement devra ainsi mettre en place des mécanismes et des systèmes de contrôle au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve.
L’art. 25 RGPD introduit les principes de la protection des données dès la conception et protection des données par défaut. Ils imposent que des garanties en matière de protection des données soient intégrées aux produits et services dès la phase initiale de leur conception.
L’art. 30 RGPD prévoit que chaque responsable du traitement ou son représentant devra tenir un registre des activités de traitement dont le contenu est détaillé à l’article 30 § 1 RGPD. Ce registre devra être mis à disposition de l’autorité de protection des données lorsqu’elle le demande.
L’art. 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
L’art. 32 RGPD oblige le responsable du traitement à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ce faisant, il doit tenir compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques. De cette obligation de sécurité découle l’obligation de notifier à l'autorité de contrôle les violations de données à caractère personnel (art. 33). Dans certains cas, cette violation devra également être communiquée à la personne concernée (art. 34).
Ensuite de l’application extraterritoriale du RGPD, la coordination entre deux ensembles de normes différents (droit européen/droit suisse de la protection des données) peut être problématique en pratique. Sans prétendre être exhaustif, on peut notamment évoquer les questions suivantes :
Il faut d’abord souligner que l’application extraterritoriale du RGPD soumet à ses dispositions les données personnelles liées à une offre de biens ou de services ou à un suivi de comportement dans l’UE. Elle n’entraînerait donc pas que tous les traitements de données personnelles du responsable de traitement y seraient soumis.
Obligation d’information
L’obligation d’information des art. 13 ss RGPD ne correspond pas exactement à celle qui découle des art. 19 ss de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), notamment en cas d’exportation de données. Cela a naturellement des conséquences sur les notices d’information que devront fournir les responsables de traitement : une notice suffisamment large pour satisfaire aux obligations du RGPD et de la nLPD ? Deux notices différentes ? La réponse n’est pas simple, et peut découler – entre autres choses - des exigences particulières résultant de professions ou d’activités réglementées.
L’art. 27 RGPD règle quant à lui la question des représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union. Selon l’art. 27 (1) RGPD, lorsque l’art. 3 (2) RGPD s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union. L’obligation de désigner un représentant dans l’Union ne découlerait donc pas d’une simple application territoriale du RGPD sur la base de l’art. 3 (1) [établissement dans l’Union]. L’obligation de désigner un représentant ne s’applique pas non plus à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l’art. 9 (1) RGPD ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ou encore à une autorité publique ou à un organisme public. Rappelons ici que l’art. 9 (1) RGPD prévoit que le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi. Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.
Il est à noter que selon l’art. 83 (4) let. a RGPD, la violation des obligations découlant de l’art. 27 RGPD peuvent faire l’objet d’amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Le RGPD a prévu, en son art. 56, un mécanisme dit de « l’autorité de contrôle chef de file. » L’idée est d’instaurer un « one stop shop » en cas d’activités transfrontières en désignant l’autorité qui assume la responsabilité principale de la gestion d’une activité transfrontière. Cette autorité coordonnera les activités d’enquête avec les autres autorités de contrôle concernées, consultera, etc. Sa désignation dépendra du lieu de l’établissement principal ou de l’établissement unique…. dans l’Union. En d’autres termes, un traitement transfrontalier de données au sens du RGPD a lieu dans plusieurs Etats de l’Union ou dans un Etat avec des répercussions dans d’autres Etats membres, mais ne résulte pas d’une application basée sur l’art. 3 (2). Le responsable de traitement en Suisse ne saurait donc invoquer le mécanisme du « one stop shop ».
Violation de sécurité des données
La notification d’une violation de sécurité des données se fera, pour un responsable de traitement établi en Suisse et auquel le RGPD est applicable en vertu de l’art. 3 (2), à l’autorité de contrôle compétente de chaque État membre où des personnes sont concernées par la violation.
L’articulation des deux ordres juridiques posée par l’application extraterritoriale du RGPD soulève par ailleurs d’innombrables problèmes pratique. Ainsi et par exemple, le Préposé fédéral à la protection des données et à la transparence n’est évidemment pas une autorité de contrôle au sens des art. 51 et ss RGPD. La détermination d’une autorité de contrôle compétente au sein de l’Union, en raison de l’application de l’art. 3 (2), peut par ailleurs s’avérer complexe, et ce notamment en l’absence de « one stop shop ». On retiendra toutefois qu’une autorité de contrôle européenne qui souhaiterait obtenir des informations, par exemple dans le cadre d’une procédure contre un responsable de traitement en Suisse, devrait passer par la voie de l’entraide administrative.
