Menu

Les entreprises suisses n’échapperont pas au RGPD

CCIG
Posté le 08/02/2018
Articles de fond

Entre piratage d’éléments confidentiels en masse et développement des smart cities, la protection des données est l’un des enjeux de notre temps. Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain dans l’Union européenne (UE). Mais l’économie suisse n’échappera pas à son impact.

Après quatre années de travaux législatifs, le RGPD étendra donc bientôt sur le Vieux Continent les droits des personnes physiques au contrôle de leurs données personnelles. Même si la Suisse n’est pas membre de l’UE, il y aura des conséquences pour les entreprises, y compris celles qui n’y ont ni succursale, ni filiale.

Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone). Il y a une distinction à faire dans les conditions d’application : l’article 3 du RGPD édicte un critère d’établissement du responsable dans l’Union européenne (que les données y soient traitées ou non) et un critère du ciblage : en cas d’établissement du responsable hors de l’UE, le traitement des données touchant les résidents européens est compris dans le RGPD.

Des droits de tout ordre

Ce sera désormais à l’entreprise elle-même de prouver qu’elle est en conformité avec ce règlement. On peut lister une multitude de droits concernés : droit à l’information, à la portabilité (possibilité d’obtenir et réutiliser les données personnelles pour répondre aux besoins de l’entreprise) pour les utilisateurs d’accès, à la rectification, à l’oubli (effacement de leurs données), à l’opposition, etc. Cela crée de nouvelles obligations pour les entreprises. Dans leurs échanges avec celles-ci, les particuliers devront être d’accord qu’on utilise leur e-mail, numéro de téléphone, adresse postale, identifiants et éléments de localisation (adresse IP ou GPS), ce qui vaut pour une adhésion ou une simple consultation. Enfin, les personnes auront le droit de se désabonner à tout moment.

Une situation en perpétuelle évolution

Le but du RGPD est donc d’étendre le droit de regard des individus sur l’utilisation de leurs informations personnelles, dès la conception (privacy by design) et par défaut (privacy by default). Michel Jaccard, associé au sein de l’Etude id est avocats, rappelle la définition donnée par la loi des données personnelles : il s’agit de toutes les informations concernant une personne physique identifiée ou identifiable : domicile, date de naissance, photos, adresse email, etc. En théorie, par recoupement, tout peut se retrouver dans cette définition, sauf peut-être des données purement statistiques ou totalement chiffrées de bout en bout ! « Dans un monde hyperconnecté avec de l’intelligence artificielle qui combine des masses de données en un temps record, le statut réglementé ou non d’une donnée peut changer rapidement. C’est un casse-tête pour les avocats qui doivent dès lors partir du principe que la protection légale s’applique à toute donnée récoltée », dit-il. Les données sensibles concernent surtout les procédures judiciaires ou les renseignements médicaux.

Consentir ou anonymiser

Pour se prémunir de tout problème, il y a deux postures à choix : soit on obtient le consentement explicite de l’intéressé (en particulier en prévoyant sous format électronique une fonction opt in « je donne mon accord ») ; soit on anonymise ses données (par exemple en les encryptant informatiquement). Mais quand des coordonnées sont inutiles ou désuètes, mieux vaudrait les supprimer que de tout faire pour les neutraliser !

C’est au Conseil d’administration ou au dirigeant opérationnel de l’entreprise de piloter l’opération. L’important est de prouver que l’entreprise a compris et analysé le système. Pour cela, il est conseillé de dresser trois catégories de risques : les employés, les clients et les « prospects ». Il ne faut pas se laisser influencer par l’attitude contradictoire des usagers qui revendiquent une protection de leur sphère privée, tout en se dévoilant sur les réseaux sociaux ou via leur carte de fidélité !

Jusqu’à présent, en dehors d’industries réglementées telles que les banques, il n’existait pas d’obligation générale d’information en cas de découverte d’une faille de sécurité. Sous le nouveau régime, il faudra soumettre le cas à l’autorité de contrôle, en l’occurrence le préposé fédéral, de façon quasi immédiate. « Ce processus est l’une des grandes nouveautés du règlement à mon sens, d’autant plus que les sous-traitants seront aussi concernés », souligne Michel Jaccard.

Prévenir plutôt que guérir

Ce dispositif juridique, contraignant de prime abord pour les entreprises, leur évitera des tracasseries par la suite. Mais aussi des amendes administratives, annoncées comme « proportionnées, mais dissuasives » (art. 83 du RGPD). En cas d’infractions graves, les sanctions pour les grandes entreprises pourraient grimper à 20 millions d’euros. Une mesure appliquée en pratique par le Préposé fédéral à la protection des données et à la transparence.

La version européenne sera sans doute plus stricte que celle déjà en préparation au niveau fédéral. Nicolas Duc, responsable romand fiscalité et droit de BDO, apporte une précision importante : « Le Conseil fédéral pourrait exempter les PME de moins de 50 employés d’un certain nombre de contraintes en Suisse, ce qui n’empêchera pas les obligations européennes. Quant aux amendes, elles iront plutôt jusqu’à 250 000 francs ».

« Le processus peut souvent être mené à l’interne. En cas d’externalisation, la confiance doit être absolue, car on relaye des données dont on est responsable », selon Nicolas Duc. Des agences spécialisées fournissent un package de prestations pratiques : audit, formations, sécurisation augmentée des sites web, formulaires web modifiés et nouveaux formulaires pour exprimer les demandes des individus.

Un « effet frontière » à prendre en compte

C’est la nature du réseau de clientèle qui déterminera l’ampleur des modifications à opérer. Les nombreux contacts de l’économie lémanique avec la France voisine auront un impact, et il faudra être précautionneux dans les échanges transfrontaliers. « Mais dans notre entreprise, il n’y aura pas un effet massif à ce niveau, relève Stéphane Zwettler, directeur de la société de services SZ informatique. Nous allons surtout inviter dès à présent nos clients à consulter leur conseil juridique pour trouver une solution qui leur soit propre. Et si nécessaire, nous proposerons ensuite d’adapter en conséquence les logiciels que nous leur avons fournis ».

De son côté, Hervé Sanglard, de la société WebExpert spécialisée dans la transformation digitale, pointe trois points cruciaux: la nomination d’un Digital Protection Officer responsable de mettre l’entreprise en conformité avec la loi et de notifier les autorités et les clients en cas de fuite de données ; l’adaptation des logiciels, si possible dès la phase de conception, et des processus internes et externes afin d’assurer la protection des données personnelles ; la gestion du cycle de vie des données personnelles incluant la problématique du droit à l’oubli potentiellement difficile à régler du point de vue technique et l’échange de données entre partenaires.

« Si on a bien fait le travail en amont, conclut Michel Jaccard, respecter les nouvelles règles en matière de protection des données sera un excellent moyen de se différencier par rapport à la concurrence. La confiance dans le monde numérique est en effet essentielle, et les entreprises qui seront gagnantes sont celles en qui les clients peuvent avoir confiance s’agissant du traitement des données les concernant ». Mieux vaut donc voir le RGPD comme une avancée et se mettre sans tarder au diapason du nouveau droit.


Neuf questions préalables à se poser

Inspiré de l'ICT Journal, en collaboration avec Itecor (http://www.ictjournal.ch/articles/2017-10-02/9-questions-pour-une-approche-pragmatique-de-la-gdprrgpd-1ere-partie et http://www.ictjournal.ch/articles/2017-10-04/9-questions-pour-une-approche-pragmatique-de-la-gdprrgpd-2eme-partie)

1) Votre entreprise est-elle concernée ?
En théorie, est concernée toute société qui offre des biens ou services à des clients résidant dans l’Union européenne, notamment les exportateurs ou exploitants de plateformes en ligne. Mais presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne.

2) Qu’est-ce qui change fondamentalement ?
La notion de « responsabilité de bout en bout » (dès la conception du produit ou service), un peu comme dans un système de sous-traitance en cascade. Les structures utilisant des services en ligne devront vérifier la validité de la sécurité avec leur fournisseur cloud. Et il ne faudra plus compter sur le seul traitement automatisé des données pour profiler la clientèle. Par la suite, il y aura obligation de désigner un délégué à la protection des données : cela touche la plupart des entreprises sociétés publiques et celles qui traitent de données personnelles sensibles ou de façon régulière. Le but est d’assurer un suivi du règlement et notifier les infractions à l’autorité de contrôle.

3) Quelles fonctions de l’entreprise sont impactées ?
Presque tous les services et niveaux de hiérarchie sont concernés, dès lors que des données sont traitées. Cela va du marketing (ex : étude de marché) aux ressources humaines en passant l’archivage. L’essentiel est d’avoir une vue transversale des données en confiant leur traçabilité à des collaborateurs en lien avec tous les départements.

4) Sur quelles bases s’appuyer ?
Le niveau préalable de préparation des entreprises varie beaucoup, surtout en fonction de leur registre clientèle. Il faut en tous les cas adapter ses logiciels et applications, après identification par son conseil juridique.

5) De combien de temps dispose-t-on ?
Le délai du 25 mai 2018 doit en principe être respecté, après quoi on est juridiquement attaquable. L’essentiel est surtout d’avoir analysé le système, d’avoir fait une marche à suivre précise des tâches à accomplir, surtout en cas de réclamation.

6) Par quoi commencer ?
Entre l’immobilisme et une approche extrémiste qui nécessiterait des outils coûteux, le mieux est d’adopter une attitude pragmatique intermédiaire ciblant les besoins de l’entreprise. Voici une suggestion de check-list :

1. Mon entreprise traite-t-elle des données personnelles ? Si oui, de quel type sont-elles et comment sont-elles répertoriées et comment les classer ? Qui dans l’entreprise est responsable des données, qui y a accès ? Et quel circuit empruntent-elles dans la chaîne de production ou service ?
2. Quels contrats faut-il réviser ?
3. De quels moyens techniques dispose mon entreprise ? Et lesquels faut-il acquérir pour se mettre en conformité ?

7) Quel impact sur la gouvernance ?
Seuls les particuliers sont propriétaires de leurs données personnelles. Ils ne pourront les livrer aux entreprises qu’avec un consentement explicite. Ils ont le droit en tout temps de savoir à quoi servent leurs données et de les consulter. Ils peuvent exiger de les rectifier, de les récupérer, voire de les supprimer (droit à l’oubli). S’il devait y avoir un risque élevé sur la vie privée d’autrui, le mandataire serait tenu de faire une étude d’impact (audit interne) ou du moins de prévenir la personne concernée. Les employés doivent avoir une formation interne spécifique.

8) Quels nouveaux rôles ?
Le Data Protection Officer, un référent à mi-chemin entre juriste et spécialiste de la sécurité, qui saura renseigner les clients et procéder aux éventuelles rectifications / Le responsable des traitements, un spécialiste qui définira comment mettre en œuvre la gestion des données.

9) Quel impact sur la sécurité informatique ?
Quatre domaines sont à prendre en compte. Les contrats avec les fournisseurs cloud : quand des données sont stockées, elles doivent être soumises à des clauses précises et à un accès facile en cas de litige / L’Identity Access Management : une stratégie précise doit être établie dans l’entreprise pour attribuer la responsabilité et la mission à un préposé / L’anonymisation des données sont, autant que possible, une protection supplémentaire pour éviter un piratage / Le Master Data Management doit permettre une classification centralisée des données, faciles à récupérer lors d’éventuelles corrections.


En résumé, pour les entreprises, voici les nouveautés à mettre en place :

  • créer un inventaire des données personnelles collectées (voire un registre des activités)
  • gérer les droits d’accès aux données personnelles
  • adapter ses contrats
  • adapter ses logiciels et ses applications
  • former ses employés
  • désigner un délégué à la protection des données interne ou externe (voire d’un représentant dans l’UE)
  • notifier obligatoirement les infractions à la protection des données dans les 72 heures à l’autorité de contrôle compétente
  • introduire un audit interne préalable, lors de risques élevés pour les droits des particuliers.

economiesuisse permet, via un test sur son site, de vérifier l’impact pour son entreprise.


Les articles clés du RGPD

tiré du site du Préposé fédéral à la protection des données

L’article 24 : Il prévoit que le responsable des traitements de données mette en place un système de contrôle assurant une totale conformité au règlement.

L’article 25 : Il introduit les principes de la protection des données dès la conception et par défaut. Autrement dit, des garanties en matière de protection des données doivent être intégrées aux produits et services dès leur élaboration.

L’article 30 : Il prévoit la tenue d’un registre électronique des activités de traitement (pour les entreprises de plus de 250 employés).

L’article 32 : Il oblige le responsable du traitement des données à mettre en œuvre le diagnostic établi au préalable (comme la « pseudonymisation »).

L’article 33 : Il oblige le même responsable à garder une trace documentée de chaque violation commise et de toute la procédure élaborée autour.

L’article 34 : Il prévoit les modalités pour communiquer une éventuelle brèche sécuritaire à qui de droit.

L’article 35 : Il prévoit la conduite d’une analyse d’impact pour tout risque élevé sur la protection des données.


Un spécialiste décrit les démarches entreprises

 

En guise d’exemple concret, Jean-Marie Gomila, CEO de l’agence de conseil en communication Net Design, a accepté d’identifier les tâches de sa société pour s’adapter au RGPD. « Les entreprises ne pourront plus gérer leurs affaires comme avant, précise-t-il, qu’il s’agisse de collecter des cartes de visite ou d’échanger par mailing avec un partenaire un fichier Excel d'adresses e-mail ».

Net Design appréhende la mise en œuvre à deux niveaux :

1) Celui d'une entreprise comme une autre qui doit elle-même se mettre en conformité avec la règlementation.

Net Design a créé un groupe de travail interne en y associant l’ensemble de ses collaborateurs. Elle a cartographié ses systèmes de stockage de données personnelles avant de modéliser les processus de captation, d’incrémentation et de modification de ces données. Elle a étudié les nouveaux processus et développements à intégrer.

Il lui reste encore à désigner son futur D.P.O (Data Protection Officer), à définir précisément la nature des données qui comptent pour son business et celles qui ne sont pas justifiées ; enfin, à développer les nouveaux processus, interfaces, modules de gestion complémentaires qui seront implémentés dans le système.

Selon Jean-Marie Gomila, « le chantier est d’envergure, toutes les pratiques jusqu’alors banales sont à reconsidérer, mais ce n’est pas démesuré. Notre PME ne compte que quelques dizaines de collaborateurs et le système de gestion de nos données demeure centralisé dans un système intranet ».

2) Celui d'une agence digitale qui doit aussi accompagner ses clients dans LEUR mise en conformité.

Il est urgent que les entreprises s’informent sur le RGPD, faute de quoi le réveil risque d’être brutal et stressant. Car contrairement au bug de l’an 2000, beaucoup de PME ne se sentent pas du tout concernées et ne se sont pas mises au travail.


Une protection numérique accrue des Suisses en vue


Une initiative fédérale, qui sera lancée à l’automne prochain, proposera d’ajouter à la Constitution fédérale le concept d’intégrité numérique (article 10 consacré au droit à la vie). Son initiateur est le Genevois Alexis Roussel, spécialiste des crypto-monnaies et ex-président du Parti pirate suisse. Ce renforcement proposé des droits démocratiques vise en particulier des poids lourds de la communication comme Facebook ou Google. Le texte veut mettre des garde-fous face à une utilisation abusive des données sur internet et les réseaux sociaux.


Pour en savoir plus

Article du 8 janvier 2018 d'economiesuisse : Nouvelles règles européennes de protection des données et révision de la loi suisse sur la protection des données: les PME suisses sont concernées

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

0 commentaire


Les commentaires sont modérés avant d'être publiés