RGPD en Suisse, un an après….. et la LPD alors ?

LPD_RGPD
RGPD en Suisse, un an après….. et la LPD alors ?

Voici près d’un an que le règlement européen RGPD est entré en vigueur, à savoir le 25 mai 2018, alors qu’en est-il en Suisse sur sa mise en application par les entreprises ?

Rappel du règlement

Tout d’abord un rappel de ce qu’est ce règlement européen RGPD et qui est concerné.

Le règlement européen vise à protéger les personnes sur l’utilisation que l’on fait de leurs données personnelles. On peut dire que le premier objectif de ce règlement est la défense du droit qu'a chaque individu de disposer des informations le concernant.

Ce règlement concerne toute entreprise, privée ou publique, travaillant sur le territoire européen ou ayant à traiter des données à caractères personnel de résidents de l’Union Européenne, dans un but de fournir un bien ou un service, qu’il soit payant ou non. Les entreprises suisses sont donc concernées si elles répondent à l’un de ces critères.

Les employés frontaliers des entreprises Suisses sont-ils soumis au RGPD

Non, les travailleurs frontaliers salariés en Suisse ne sont pas soumis au RGPD lorsqu'ils travaillent en Suisse et que leurs données sont traitées par leur employeur établi en Suisse. Ils peuvent cependant invoquer les dispositions du RGPD contre leur employeur lorsqu'ils retournent sur le territoire européen pour autant que cet employeur suive leur comportement dans l'UE pour leur offrir un bien ou un service, par exemple s’ils sont client de l’entreprise.

Mise en application en Suisse

Après un an de mise en application de la règlementation on peut constater clairement qu’autant les grandes sociétés, nationales et internationales, sont pour la plupart en conformité ou en phase de l’être, par contre, en ce qui concerne les petites et moyennes entreprises suisses ce n’est pas du tout le cas. En effet peu sont en conformité, certaines ont entamé les démarches mais ne les ont pas terminées. Et pour les autres ce n’est apparemment pas une priorité pour elles.

Pourquoi cette latence ?

Les raisons sont diverses mais pour certaines PME c’est surtout une question de temps et de ressources pour mettre en route un processus de mise en conformité, notamment pour effectuer un état des lieux et créer la documentation concernant le traitement des données, de plus, elles n’ont pas forcément les compétences en interne pour le faire et externaliser complètement le projet peut devenir coûteux. En outre certaines entreprises ne se sentent pas concernées ou estiment que le risque d’avoir une amende est faible.

Les sanctions

S’il est vrai que le risque pour une entreprise suisse d’être amendé est très faible, voire difficile, ce n’est pourtant pas une raison de négliger ce règlement et de ne pas mettre en place de bonnes pratiques éthiques dans son entreprise. Pourquoi ne pas voir cela comme une opportunité pour marquer des points vis-à-vis des concurrents en communiquant que l’on apporte une grande importance aux données de ses clients et prospects.

Que dit la loi Suisse (LPD)

La Suisse a également sa propre règlementation depuis 1992, la LPD (Loi fédérale sur la protection des données), dont l’autorité de contrôle est le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT).

Cette loi, sur certains points est assez proche du RGPD, mais actuellement l’amende maximale à laquelle une personne peut être condamnée s’élève à CHF 10’000.-. Un montant dérisoire face au RGPD qui prévoit des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire total de l’entreprise (le montant le plus élevé étant retenu).

Cependant, la LPD fait actuellement l’objet d’une révision totale (projet P-LPD) pour tendre vers une harmonisation du droit suisse avec les standards européens et, dans ce cadre, les dispositions pénales seront complétées et l’amende maximale sera augmentée à CHF 250’000.- (initialement prévu à CHF 500'000.- dans l’avant-projet mais finalement abaissé).

Différence fondamentale entre LPD et RGPD

Même si ce montant parait encore faible par rapport au RGPD, il y a une différence majeure entre le RGPD européen et la LPD Suisse, c’est que du point de vue du RGPD, le « Responsable du traitement », à savoir l’organe qui détermine les finalités et les moyens du traitement des données personnelles, reste généralement l’entreprise elle-même, alors que le cas de la LPD Suisse le responsable de traitement est une personne physique ! Il est alors à craindre que les employés ou administrateurs soient condamnés personnellement à payer cette amende, dont le montant apparaît alors tout de suite exorbitant !

Cette nuance rendra encore plus difficile la nomination ou le recrutement de personnel qualifié et motivé qui seront responsable des données dans l’entreprise.

Notre recommandation

En dehors des risques que nous venons de souligner, c’est surtout contre le risque de l’e-réputation (dégât d’image) que les entreprises doivent se mobiliser. Il faut en effet éviter d’exposer son entreprise aux vols ou fuite d’informations, qui pourraient profiter à des organismes malintentionnés qui ont compris la valeur de ces précieuses données.

Nous recommandons donc fortement les entreprises suisses à démarrer ou poursuivre leur mise en conformité, afin de mieux maitriser leurs données sensibles d’une part, mais également pour des questions de bienveillance vis-à-vis de leurs clients et pour minimiser les risques de fuite de données qui peuvent venir aussi bien de l’extérieur que de l’intérieur de l’entreprise...


Alain Lacroix
Alrix Consulting

Interview donné à Léman Bleu TV pour l’émission 3D ECO - le 21 mai 2019
Lien sur le replay de l'émission