L’impact du RGPD en Suisse

Texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union Européenne, le Règlement Général sur la Protection des Données (RGPD) ou GDPR pour General Data Protection Regulation en anglais va harmoniser la gestion des données dans l’ensemble des pays dans l’union européenne.

Applicable à partir du 25 mai 2018, il concerne tous les acteurs économiques et sociaux proposant des biens et des services sur le marché de l’UE dès lors que leurs activités traitent des données personnelles des résidents de l’UE.

Sont concernés les entreprises, les associations, les organismes publics, mais aussi les entreprises dont le siège est hors UE mais opérant dans l’UE et sur les données des citoyens de UE, ainsi que les sous-traitants dont les activités rentrent dans ce cadre.

L’objectif est de donner aux citoyens de l’UE davantage de contrôle  et de visibilité sur leurs données privées, notamment pour savoir quels sont les données collectées, à quelles fins et leur durée de conservation.

Le principal enjeu pour les entreprises et donc de savoir à l’instant où sont les données et comment pouvoir sur simple demande les collecter et les transmettre à la personne concernée.

Cela suppose donc qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte, et aussi leur mode de gestion, leur mode de stockage, de transfert et d’effacement.

Pour motiver les entreprises à s’y mettre sérieusement, il y a des sanctions prévues en cas de non-conformité au GDPR. Celles-ci peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros. C’est la somme la plus importante entre les deux qui sera retenue, et c’est également l’entreprise qui devra payer les dommages et intérêts pour préjudices subis pour non-respect du GDPR suite à un recours en justice.

Les 5 nouveaux principes à mettre en œuvre pour assurer une meilleure protection des données personnelles :

  • Le concept de « Accountability»
  • La démarche de « Privacy by design»
  • La démarche de « Security by Default»
  • La designation d’un Data Protection Officer (DPO)
  • La réalisation d’études d’impact

Accountability

Le GDPR introduit une notion de responsabilisation (Accountability). C’est à l’entreprise de prendre toutes les mesures pour garantir la conformité au GDPR, mais cela implique aussi que l’entreprise doit être capable de démontrer qu’elle a bien rempli ses obligations en termes de protection des données, ce qui lui sera notamment demandé lors d’un contrôle (de la CNIL  par exemple).

Privacy by Design

Le Privacy by Design quant à lui signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service, mais aussi dans le système d’information, au sein d’une base de données ou lors de la conception des applications.

Security by Default

Le principe de sécurité par défaut renforce le rôle de la sécurité dans le système d’information. Le système d’information doit être sécurisé à ses différentes niveau, du physique jusqu’au logique, avec par exemple des contrôles d’accès ou un système de prévention contre les failles de sécurité.

Mais l’entreprise doit aussi être en mesure de déceler si l’intégrité de son système d’information a été compromise et pouvoir y remédier.

Le Data Protection Officer

Le rôle de Data Protection Officer (DPO) peut être assimilé à un délégué à la protection des données, c’est-à-dire que le DPO doit être associé aux différentes questions et problématiques de protection des données à caractère personnel de l’entreprise. Son rôle est de veiller à la conformité du GDPR et d’être le point de contact avec les autorités de contrôle.

Etudes d’impact

Enfin, le dernier principe concerne la réalisation d’études d’impact. Le GDPR demande aux entreprises de réaliser une étude d’impact sur la protection des données personnelles avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteintes aux droits et aux libertés individuelles. Le cas échéant, l’étude d’impact devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.