RGPD, LPD... Deux lois pour encadrer la protection des données en Suisse
Maxime JAILLETRGPD et LPD, connaissez-vous ces deux sigles ? C’est le lot quotidien des entreprises établies en Suisse. Le RGPD encadre les opérations concernant les données des citoyens établis dans l’UE. La loi fédérale LPD concerne, elle, la protection des données personnelles en Suisse. Le contexte réglementaire est en pleine mutation. Pour vous, c’est donc l’heure d’accélérer vos projets de conformité. C’est notre actualité marché du jour.
Protection des données – Faut-il respecter le RGPD en Suisse ?
Les entreprises suisses doivent composer avec une loi nationale et le règlement RGPD. Pourquoi ? Une entreprise suisse proposant des produits ou services à des clients européens devra respecter le RGPD pour pouvoir traiter leurs données. Le RGPD impacte aussi les prestations de services proposées à des clients établis dans l’UE.
Le traitement de données de citoyens européens en Suisse est soumis au RGPD
La Suisse ne fait pas partie de l’Union Européenne. La protection des données personnelles est donc un sujet régi à échelle nationale. Les entreprises suisses sont à cet égard tenues de respecter la loi fédérale sur la protection données (« LPD ») adoptée en juin 1992.
Et pourtant, oui, le RGPD est bien applicable en Suisse.
En effet, le règlement européen s’applique dès lors que les traitements de données personnelles mis en œuvre concernent des personnes établies sur l’Espace Économique Européen.
Peu importe finalement le lieu où l’entreprise s’est établie.
Un site de e-commerce international devra donc respecter le RGPD pour traiter les données de ses clients européens.
Le RGPD concerne aussi les prestataires et fournisseurs en Suisse
Une entreprise européenne peut-elle recourir à des fournisseurs ou externaliser une prestation de services à des acteurs établis en Suisse ? Oui, naturellement.
Toutefois, les transferts de données personnelles hors de l’Union Européenne sont un sujet sensible du point de vue des autorités de régulation.
La Suisse a jusqu’ici bénéficié d’une décision d’adéquation de la Commission Européenne, calquée sur le Privacy Shield américain. Qu’est-ce donc ? La législation nationale Suisse a tout simplement été reconnue, par les instances européennes, comme offrant un niveau de protection des données adéquat au regard de celui instauré en Europe.
Pourquoi s’inquiéter dans ces conditions ? Tout simplement parce que le Privacy Shield a été récemment annulé.
- Le 16 juillet dernier, la CJUE a invalidé\tla décision de la Commission Européenne instaurant le Privacy Shield. Selon le Préposé\tFédéral à la Protection des Données et à la Transparence (PFPDT), cette décision est spécifique aux Etats-Unis. D’ores et déjà, de nombreux commentateurs transposent pourtant l’analyse au cas Suisse et recommandent de revoir les opérations de traitement concernés.
- Les entreprises européennes devraient être plus exigeantes et pointilleuses vis-à-vis des fournisseurs et prestataires suisses.\tLes plus prudentes voudront signer des clauses contractuelles-types. Or dans le cas des transferts de données aux US, pour que cette démarche reste valable, il faut prévoir des mesures techniques et organisationnelles complémentaires pour limiter les effets du\ttransfert de données hors UE. Une obligation de vigilance renforcée qui pèse sur les clients européens et par ricochet, sur les sociétés suisses.
- Remporter de nouveaux marchés, publics ou privés,\ten Europe vous imposera plus de rigueur. Il est en effet probable que les candidatures aux appels d’offres par des entreprises suisses seront regardées avec un œil plus sévère. La mise en\tconformité de vos opérations devient un gage de professionnalisme et de confiance pour vos clients européens.
- Le recours aux sous-traitants américains menacé ? Le Préposé Fédéral à la protection des données et à la Transparence a émis\ten septembre une opinion remettant en cause la validité des transferts de données personnelles aux Etats-Unis. Vous pouvez faire le choix d’ignorer cette opinion non contraignante. Plus certainement, vous devrez être plus rigoureux dans la gestion de vos sous-traitants.
- La décision d’adéquation de la Suisse bientôt remise en question ? La Commission européenne prévoit de réexaminer, d’ici fin 2020, le niveau de protection accordé par la Suisse s’agissant des données personnelles des citoyens européens. Au regard des impacts économiques réels qui en découlent, la Suisse cherche aujourd’hui\tà moderniser sa législation.
Le contexte réglementaire connaît donc de fortes mutations dans le sens d’un renforcement des garanties attendues pour la protection des données. Pour cette raison, il est essentiel pour vous de prioriser la mise en conformité de vos traitements.
Adopter directement le RGPD comme base présentera de nombreux avantages pour vous :
- Le RGPD est un standard réglementaire au niveau européen. Respecter\tcette norme vous offre un argument de sérieux que vous pourrez valoriser auprès de vos clients.
- La Suisse ne peut que rapprocher sa législation des exigences européennes. Peut-être aviez-vous pris du retard pour respecter\tles exigences nationales ? Si vous maîtrisez les impératifs européens, ce sera plus simple de respecter les exigences à\téchelle nationale.
LPD - Loi fédérale pour la protection des données, la norme applicable en Suisse
La révision de la loi fédérale de 1992 et la réévaluation de la décision d’adéquation dont bénéficie la Suisse changent la donne. Pour vous, il est temps d’accélérer sur la mise en conformité de vos traitements. La loi modifiée imposera en effet un standard d’exigences comparable à celui prévu par le RGPD.
La loi de 1992 bientôt révisée
Dès son entrée en vigueur, le Règlement européen RGPD s’est imposé comme un standard à échelle mondiale, en matière de protection des données. Au point de pousser de nombreux Etats à se doter d’une législation similaire.
Jusqu’ici, la Suisse faisait étonnamment partie des seuls pays à résister à cette tendance. Mais désormais, voir sa décision d’adéquation remise en cause la pousse à accélérer.
La révision de la loi de 1992 est donc un chantier amorcé depuis plusieurs années maintenant. Quel en est le calendrier ?
- Le 25 septembre dernier, les Chambres fédérales ont entériné sa révision.
- Des\tordonnances d’application seront par la suite soumises à\tconsultation.
- La loi modifiée ne devait pas entrer en vigueur avant janvier 2022.
Protection des données - Pourquoi accélérer sur votre mise en conformité ?
L’évolution du cadre réglementaire national vous poussera à prioriser le sujet de la mise en conformité de vos traitements de données personnelles.
- Tenue d’un registre des traitements de données, signature d’un contrat avec les sous-traitants, mise en œuvre d’études\td’impacts DPIA-AIPD pour les traitements les plus à risques, notification des\tviolations de données… la loi modifiée impose des exigences renforcées, à l’instar des standards prévus par le RGPD.
- Le PFPDT dispose de pouvoirs d’investigation plus étendus. Vous devrez non seulement revoir la manière dont vous traitez les\tdonnées personnelles mais aussi documenter les mesures mises en place. Il s’agira de pouvoir démontrer votre conformité en cas\tde contrôle.
- Le PFPDT bénéficie désormais de pouvoirs de sanctions renforcés. Même s’il n’adoptera sans doute pas une approche répressive, il est en mesure de sanctionner les manquements les plus graves.
Conclusion : Simplifiez-vous la conformité avec le plug and play
L’arrêt Schrems II rendu par la CJUE a rebattu les cartes, poussant d’une certaine manière la Suisse à aligner ses exigences de protection des données avec le reste de l’Europe.
Si ce n’est pas déjà fait, la conformité de vos traitements doit donc devenir une priorité.
Pas de panique, il existe sur le marché des solutions qui vous faciliteront les choses. Par exemple, Axeptio fournit un plug and play qui prendra en charge la gestion des cookies déposés sur vos sites web, la collecte et la traçabilité des consentements.
Besoin d’aide ? N’hésitez pas à faire appel à nous.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.