Il y a de fortes chances que votre entreprise Suisse soit concernée par la loi européenne RGPD (Règlement Général sur la Protection des Données).

En premier lieu, le RGPD qu’est-ce que c’est?

Le règlement numéro 2016/679 autrement connu sous l’appellation RGPD n’est autre que le texte de référence européen concernant la protection des données personnelles des citoyens. Autrement dit, ce règlement veut contrôler et réguler la protection des données concernant et appartenant aux individus vivants au sein de l’Union européenne.






Entrée en vigueur du règlement :

Ce règlement entre en vigueur le 25 mai 2018. Entre autres termes, cela veut dire qu’à partir de cette date toute entreprise traitant et hébergeant des données personnelles de citoyens européens doit être en conformité avec la directive sous peines d’encourir des sanctions de la part de l’autorité de régulation européenne. Aujourd’hui il y a encore peu d’entreprises qui sont en conformité au sein de l’Union européenne, il y en a encore moins dans le reste du monde y compris la Suisse. Le risque immédiat, pour une entreprise, de faire l’objet d’un contrôle, et encore d’encourir une sanction est toutefois minime. Mais il ne faut pas perdre de vue, qu’en cas de plainte de la part d’un citoyen européen, l’autorité de régulation mettra la machine en route et procédera au contrôle adéquat et, le cas échéant, appliquera les sanctions conformément au règlement.

En tant qu’entreprise Suisse, puis-je être concernée ?

Le RGPD stipule clairement que sont concernées toutes les entreprises mondiales qui hébergent et traitent des données personnelles de citoyen européen. Ce qu’il faut savoir, même si vous êtes persuadé de traiter uniquement des données appartenant à des ressortissants Suisses, il se peut qu’a votre insu un citoyen européen s’inscrive sur votre site et crée un compte, et là vous hébergez des données personnelles européennes. Il existe également le cas où l’hébergement de vos données « Suisses » soit situé sur un serveur européen sans que vous le sachiez. Un abonnement souscrit par un citoyen européen à votre Newsletter représentera également des données personnelles européennes. Plutôt que de perdre une énergie conséquente à enquêter si vous êtes éligible au RGPD, activez dès maintenant le processus de mise de conformité afin de pallier à toute éventualité, il vous en coutera moins de temps.

De toute manière, la Suisse est également en train de réviser sa Loi fédérale sur la protection des données (LPD), qui date de 1992, et l’Office fédéral de la justice (OFJ) a publié à la fin 2016 un avant-projet et la LPD révisée entrer en vigueur afin la fin 2018, donc autant s'y mettre !


Tous les membres de votre entreprise sont concernés

Il n’existe pas de procédure miracle que l’on déroule une fois pour toute et, par la suite, de penser que la messe est dite. La démarche de mise en conformité concerne tous les employés de l’entreprise depuis la direction générale jusqu’à l’utilisateur final. Toute personne qui traite des informations relatives aux données personnelles d’individus est concernée et doit être au courant des directives du RGPD. Le but est que le citoyen dont les données personnelles sont hébergées et traitées par votre entreprise soit assuré que tous les traitements sont faits de manière confidentielle et en conformité avec le RGPD. L’entreprise doit également être en mesure de répondre à toute demande pouvant émaner des citoyens qui sont en droit d’avoir un regard sur les données le concernant. Les flux de traitement et de gestion des données personnelles doivent être revus du début jusqu’à la fin. L’ensemble des collaborateurs de l’entreprise qui sont en contact avec ces données doit être sensibilisé au flux de gestion des données et des règles les régissant.





Quels sont les risques ?

Une entreprise qui ne serait pas conforme au RGPD et qui serait sous le coup d’un dépôt de plainte avéré de la part d’un citoyen européen risque les sanctions suivantes :

- Avertissement et mise en demeure de procéder à la procédure de conformité
- Amende de 20 millions d’euros ou à hauteur de 4% du CA mondial (la plus élevée étant appliquée)
- Blocage des réseaux de flux concernés de données

Voici pour les sanctions principales.

Toutes les entreprises sont-elles à la même enseigne ?

La réponse est clairement non. Les entreprises de moins de 250 collaborateurs n’auront pas à supporter la procédure dans sa totalité. Ces entreprises n’auront pas à tenir un registre des activités de traitement des données de personnelles dans le cas où elles ne traitent pas des données sensibles. On comprend par données sensibles, des données personnelles concernant la santé, l’appartenance religieuse, la situation raciale, l’orientation politique, la situation civile ou encore la situation financière. Autrement dit, il y a de fortes chances que votre entreprise traite des données personnelles sensibles.





Comment une entreprise peut-elle engager le processus de mise en conformité ?

Le plus simple nous apparait de nommer un DPO (Data Protection Officer) afin qu’il gère le projet de mise en conformité relatif au RGPD, le site de la CNIL en France détaille parfaitement les différentes étapes à suivre pour atteindre l’objectif souhaité. Pour une entreprise ne souhaitant pas gérer ce processus en interne, il est possible de s’adjoindre les services d’une société de consulting qui gèrera le projet et assurera également le rôle de DPO externe face aux autorités de régulations. Alrix Consulting a développé une expertise en la matière et sera à même de vous accompagner efficacement dans la conduite de ce projet et du suivi de gestion dans le temps. Alrix Consulting se propose également d’assumer le rôle de DPO externe pour toute entreprise qui le souhaite.

A propos du DPO !

Le délégué (DPO) ne peut occuper des fonctions au sein de l’organisme le conduisant à déterminer les finalités et les moyens d’un traitement (éviter d’être « juge et partie »). L’existence d’un conflit d’intérêts est donc appréciée au cas par cas.

A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts et peut donc pas prendre un rôle de DPO dans l'entreprise : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. Un conflit d’intérêt peut également exister par exemple si un délégué sur la base d’un contrat de service représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère.

Vous trouvez toute les informations nécessaires sur le site d’Alrix Consulting, consacré à ce domaine, ainsi que pour vous accompagner dans vos démarches, en cliquant sur ce lien