RGPD en Suisse: Check-list pour le Règlement général de l’UE sur la protection des données
David Pressouyre
Avocat en droit suisse et français, David Pressouyre est titulaire d’une maîtrise de l’Université de Lausanne en droit, criminalité et sécurité des technologies de l’information et d’un master en contentieux et arbitrage de l’Université Paris II Panthéon-Assas. Il exerce à Lausanne, principalement dans le domaine du droit des affaires et des nouvelles technologies.
Application du RGPD en Suisse
Avant toute chose, il est rappelé que le RGPD – comme la LPD dans sa dernière mouture – n’a pas vocation à s’appliquer à l’ensemble des traitements de données mais uniquement aux traitements de données personnelles des personnes physiques à l’exclusion des personnes morales. Les « données personnelles » étant définies très largement comme toutes informations se rapportant à une personne physique identifiée ou identifiable. Cela étant rappelé, le RGPD dispose d’un champ d’application territorial très large, pouvant trouver application au-delà des simples frontières de l’Union européenne (UE).
Le RGPD s’applique en premier lieu territorialement aux traitements des données personnelles effectués dans le cadre des activités des établissements des responsables du traitement ou des sous-traitants situés non seulement au sein du territoire de l’Union européenne (UE), mais plus largement aux États membres de l’Espace Économique Européen (EEE), c’est-à-dire aux États membres de l’UE mais aussi à la Norvège, à l’Islande et au Liechtenstein. Cela signifie qu’une entreprise suisse disposant d’un ou plusieurs établissements au sein d’un ou plusieurs pays de l’EEE pourra être soumise RGPD s’agissant des traitements de données personnelles effectués dans le cadre des activités de ces établissements.
Surtout, le RGPD peut aussi trouver à s’appliquer hors des frontières de l’EEE lorsque les activités de traitement de données personnelles en cause sont liées à l'offre de biens ou de services à des personnes concernées situées dans l’EEE ou au suivi du comportement de ces personnes. Concrètement, cela signifie qu’une entreprise visant spécifiquement le marché européen, par exemple en permettant la livraison à destination de certains pays de l’EEE, en dirigeant ses opérations de marketing vers ces pays, ou encore en procédant au profilage de personnes s’y trouvant, notamment via du web tracking, sera soumise au RGPD. Au contraire, et c’est important de le rappeler, sans ce critère de ciblage le seul fait de traiter des données personnelles de personnes physiques situées dans l’EEE ne signifie pas en soi que le RGPD sera applicable. Ainsi, le seul fait d’employer des personnes frontalières, ou d’avoir quelques clients européens, ne signifie pas ipso facto que le RGPD s’applique à l’entreprise.
Quelles conséquences ?
Depuis le 1er septembre 2023, la Suisse dispose d’une nouvelle LPD qui renforce substantiellement le dispositif législatif en matière de protection des données personnelles et importe notamment un certain nombre d’innovations issues du RGPD, à l’image par exemples des principes de protection des données dès la conception et par défaut, du registre des activités de traitement, du droit à la portabilité des données ou encore de l’analyse d’impact. Cela signifie t’il pour autant qu’une conformité des traitements à la LPD implique une conformité au RGPD ? Et vice versa ? Pas nécessairement. En effet, même si la LPD et le RGPD disposent d’un nombre important de points communs et reposent de façon générale sur des principes très similaires, il serait erroné de considérer que les deux législations sont parfaitement équivalentes. Chacune dispose en effet de ses propres spécificités. Il convient dès lors, avant tout travail de mise en conformité en matière de protection des données personnelles de s’assurer dans un premier temps des lois applicables, puis dans un second temps de la conformité des traitements à chacune desdites lois prises individuellement.
Le jeu en vaut la chandelle puisque la violation du RGPD est susceptible de faire encourir au contrevenant non seulement des mesures et des sanctions administratives pouvant s’élever pour une entreprise jusqu’à 20’000’000 d’euros voire jusqu’à 4% du chiffre d’affaires annuel mondial ainsi que de potentielles sanctions pénales variant selon les droits nationaux. Si la LPD suisse ne prévoit pas la possibilité d’infliger des amendes administratives, elle prévoit cependant la possibilité pour le Préposé fédéral d’ordonner des mesures administratives. Elle prévoit en outre un certain nombre de sanctions pénales à l’encontre des contrevenants prévoyant une amende pouvant aller jusqu’à 250'000 francs.
Déclaration de confidentialité
Le RGPD, comme la LPD, oblige le responsable du traitement à informer de manière adéquate, dans un langage compréhensible, clair et simple, les personnes concernées des traitements de données personnelles qu’il effectue. Cette information prend le plus souvent la forme d’une déclaration de confidentialité mise à disposition des personnes concernées par exemple sur le site web de l’entreprise ou d’une charte de confidentialité mise à disposition des collaborateurs par exemple sur l’intranet de l’entreprise. Elle doit contenir un certain nombre d’informations essentielles, concernant notamment l’identité et les coordonnées du responsable du traitement, les finalités de celui-ci, les destinataires ou les catégories de destinataires des données. Cela étant dit, le RGPD prévoit également un certain nombre d’informations supplémentaires à donner dans le cadre de cette information et qui ne sont pas formellement prévues par la LPD suisse. C’est notamment le cas en premier lieu des bases juridiques du traitement (par exemple si celui-ci est fondé sur le consentement, l’exécution d’un contrat ou d’une obligation légale), mais aussi d’autres informations portant sur l’identité du représentant du responsable du traitement au sein de l’UE, les coordonnées du délégué à la protection des données (DPO), la durée de conservation des données, les droits des personnes concernées, l’origine des données etc.
Cookies
Les cookies sont des données personnelles et peuvent donc être soumis au RGPD ce qui implique non seulement que les personnes concernées doivent recevoir une information adéquate concernant leur traitement, mais encore que celui-ci repose sur une base légale. En pratique, on considérera qu’à l’exception des cookies strictement nécessaires à la fourniture du service de communication en ligne, les autres cookies, par exemple de publicité ciblée ou de réseaux sociaux, devront reposer sur le consentement préalable de l’utilisateur. Ledit consentement doit être libre, spécifique, éclairé et univoque et peut être retiré à tout moment. Il incombe en outre au responsable du traitement de démontrer que la personne concernée a donné son consentement au traitement. Concrètement, le consentement des utilisateurs sera recueilli via une bannière de cookies permettant notamment de prouver a posteriori la collecte desdits consentements.
Représentant au sein de l’UE
Une des conséquences notables de l’application extraterritoriale du RGPD est l’obligation de désigner par écrit un représentant au sein de l’UE qui sera la personne à laquelle les autorités de contrôle, ou les personnes concernées, pourront s’adresser pour les questions relatives aux traitements de données. Cette obligation ne s’applique toutefois pas aux autorités et organismes publics ainsi qu’aux traitements occasionnels qui n’impliquent pas un traitement à grande échelle de données sensibles et qui ne sont pas susceptibles d’engendrer un risque pour les personnes concernées. Il conviendra de désigner le représentant dans l’un des États membres dans lesquels se trouvent les personnes physiques dont les données personnelles font l'objet du traitement.
Délégué à la protection des données
Il est important de ne pas confondre le représentant au sein de l’UE, qui représente l’entreprise au sein de l’UE, du DPO, qui va notamment conseiller celle-ci. Or, contrairement à la LPD, le RGPD impose parfois de désigner un délégué à la protection des données (DPO), non seulement pour les traitements effectués par les autorités ou organismes publics, mais également dans certaines hypothèses impliquant un certain niveau de risque. Ce sera notamment le cas lorsque les opérations de traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées ou consistent en un traitement à grande échelle de données sensibles. Comme en droit suisse, le DPO aura pour principales missions d’informer et de conseiller le responsable du traitement et de contrôler la conformité des traitements aux lois applicables. Également comme en Suisse, il peut être internalisé ou externalisé, pourvu qu’il dispose de l’indépendance et des moyens nécessaires à l’exercice de ses fonctions.
Recours à des sous-traitants
À l’image de la LPD suisse, le RGPD autorise, tout en encadrant, le recours à la sous-traitance en matière de traitements de données personnelles. Dans les deux systèmes, la relation doit en général être formalisée par un contrat et le responsable du traitement doit s’assurer en particulier que le sous-traitant est en mesure de garantir la sécurité des données. Le RGPD en revanche prévoit directement un certain nombre d’obligations devant être prévues par le contrat de sous-traitance comme : l’obligation pour le sous-traitant de traiter les données personnelles que sur instruction documentée du responsable du traitement, l’obligation
de veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité, l’obligation de prendre toutes les mesures requises au titre de la sécurité des données, l’obligation de prendre des mesures pour le recrutement des sous-traitants ultérieurs, l'obligation d’assister le responsable du traitement dans un certain nombre de situations etc. Dans le cadre du RGPD, le contrat doit en outre en principe revêtir la forme écrite, y compris au format électronique.
Transferts de données à l’étranger
Ce point est essentiel car il est fréquent qu’une entreprise suisse fasse appel à un certain nombre de prestataires amenés à traiter des données personnelles, lesquels peuvent directement ou par l’intermédiaire de leurs serveurs ou sous-traitants ultérieurs être localisés à l’étranger, par exemple aux États-Unis d’Amérique. À cet égard, les deux systèmes européen et suisse sont relativement similaires et reposent sur le même principe général d’une autorisation de principe des transferts de données personnelles vers les pays disposant d’un niveau adéquat de protection selon la Commission européenne dans le cadre du RGPD et selon le Conseil fédéral dans le cadre de la LPD. La liste de ces pays comprendra naturellement celle des pays membres de l’EEE et soumis au RGPD mais également d’autres pays tels que la Suisse, l’Argentine, le Japon, la Nouvelle Zélande ou l’Uruguay. Si le transfert a lieu vers un pays ne disposant pas d’un tel niveau de protection, il conviendra de prendre des garanties appropriées en vue de sécuriser ledit transferts. Ces garanties pourront prendre la forme de clauses contractuelles types (CCT) de protection des données (Standard Contractual Clauses ou SCCs), telles qu’adoptées par la Commission européenne dans le cadre du RGPD, ou reconnues par le Conseil fédéral dans le cadre de la LPD.
À noter toutefois une différence majeure s’agissant spécifiquement des États-Unis d’Amérique entre les systèmes européen et suisse aujourd’hui, (en tout cas au jour où ces lignes sont écrites), mais qui devrait être temporaire. En effet, la Commission européenne a adopté le 10 juillet 2023 une décision d’adéquation concernant les entreprises et organisations des États-Unis d’Amérique ayant adhéré au Data Privacy Framework (DPR), une adéquation qui n’a, à ce jour, pas encore été mise en place formellement en Suisse, où les transferts de données personnelles à destination des États-Unis d’Amérique doivent jusqu’à une éventuelle prochaine décision d’adéquation toujours faire l’objet de garanties appropriées par la mise en place par exemples de CCT, voire de mesures supplémentaires.
