- 02 / 01 / 2023
Nous allons voir comment ces cadres légaux doivent être considérés dans le cadre de la mise en conformité d’un site suisse notamment. En premier lieu, nous allons trancher sur la légalité de la RGPD sur le territoire suisse puisqu’il s’agit souvent de LA question que tout le monde se pose sachant que l'application de la loi fédérale sonne comme une évidence. Il restera à voir quelle version de cette dernière est actuellement en application.
Une entreprise suisse proposant des produits ou des services à des clients résidant dans l’Union Européenne devra respecter la RGPD pour pouvoir traiter leurs données. Il n’y a donc aucune ambiguïté sur ce point. Ce qui régit l’obligation ici ça n’est pas le lieu d’hébergement du site ou bien la nationalité de l’entreprise mais bien la citoyenneté européenne des utilisateurs.
Un point important à considérer également : la RGPD ne se limite pas seulement à la collecte de données ou à leur conservation mais aussi au « traitement des données personnelles ». Cette terminologie un peu vague doit être comprise comme toute intervention sur une donnée personnelle, depuis son enregistrement initial (cookies traceurs par exemple) jusqu’à son stockage sur un serveur, en passant par toutes les interventions – en propre ou sous-traitées – sur ces données telles que leur normalisation, leur fusion avec d’autres données, leur injection dans un outil CRM, leur transfert à un partenaire, etc.
La RGPD concerne également les prestataires et fournisseurs basés en Suisse et travaillant pour une entreprise européenne. Or, le transfert de données personnelles hors de l’Union Européenne est un sujet très sensible puisque potentiellement les irrégularités en matière de RGPD peuvent plus facilement échapper aux juridictions de l’UE dans ce contexte. Il faut donc interpréter ces faits comme une vigilance particulière que l’Union Européenne fait peser sur des entreprises basées en dehors de son territoire mais relative à ses concitoyens. Le cas des Etats-Unis avec les données collectées par les GAFAM en est un des exemples les plus criants.
En résumé, une entreprise ayant des interactions avec des citoyens résidant dans l'UE, y compris de simples visites de son site web, est soumise à l'application de la RGPD.
Les entreprises suisses sont tenues de respecter la Loi fédérale sur la Protection des Données (« LPD ») adoptée initialement en juin 1992.
La Suisse a jusqu’ici bénéficié d’une « décision d’adéquation » de la Commission Européenne, calquée sur le Privacy Shield américain. La législation fédérale était donc jusqu’alors reconnue par les instances européennes, comme offrant un niveau de protection des données adéquat au regard de celui instauré dans l’UE.
Or la Cour de justice de l'Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield). Si selon le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), cette décision est spécifique aux Etats-Unis, de nombreux commentateurs ont pourtant transposé l’analyse au cas suisse et recommandent de revoir les opérations de traitement concernées.
Dès son entrée en vigueur, la RGPD s’est imposé comme un standard à échelle mondiale en matière de protection des données. Au point de pousser de nombreux Etats à se doter d’une législation similaire. Jusqu’ici, la Suisse n’avait pas fait mouvement mais désormais, voir la décision d’adéquation remise en cause la pousse à accélérer.
Le 25 septembre 2020, les Chambres fédérales ont entériné la révision de la LPD entamée le 15 septembre 2017 en parallèle des travaux de l’UE sur la rédaction de sa RGPD démarrés quelques mois plus tôt. Les ordonnances d’application n’ont pas encore été mises en application mais leur entrée en vigueur devrait intervenir dans les tous prochains mois.
De manière à garantir la compétitivité des entreprises suisses et permettre une libre circulation des données personnelles de la Suisse vers les pays membres de l’UE, la Confédération s’est donc donnée pour objectif de rapprocher suffisamment le texte de la LPD de celui de la RGPD pour s’assurer que la Commission européenne continuera à y voir un niveau de protection adéquat pour ses propres concitoyens dont les données viendraient à être traitées en Suisse. C’est donc à l’aune du RGPD que cette révision a eu lieu.
In fine, pour les entreprises suisses qui avaient déjà entrepris une mise en conformité par rapport aux exigences de la RGPD, l’effort à fournir pour se conformer à la nouvelle mouture de la LPD sera négligeable. En revanche, pour tous ceux qui n’ont pas voulu considérer le nouveau cadre réglementaire européen en prétextant (souvent à tort) qu’il ne s’appliquait pas à eux, devront bel et bien s’y mettre maintenant que la LPD entérine la majorité des décisions de la RGPD.
Si ce n’est pas déjà fait, la conformité de vos traitements doit donc devenir une priorité.
Pour ceux qui ont déjà mis en œuvre la RGPD ou bien qui devraient être amenés à le faire parce qu’ils ont des interactions avec les consommateurs européens, comme pour ceux qui veulent anticiper les ordonnances d’application de la LPD, voici un excellent tableau comparatif établit par Swissprivacy.law.
Enfin, si vous avez une question sur la mise en conformité de votre site Web avec les directives de la LPD ou bien de la RGPD, les spécialistes de BeOnPerf se tiennent à votre disposition. N'hésitez pas à nous solliciter.
(Illustration: designed by freepik.com)