GDPR et PME : dois-je m’en soucier ?
De nos jours, les nouvelles règlementations de la Communauté Européenne concernant la protection des données sont au cœur du débat pour les PME. Beaucoup d’entreprises s’interrogent sur les éventuelles conséquences de ces nouvelles règles sur leur activité.
Ces règles sont connues en Suisse sous les noms de :
- GDPR (General Data Protection Regulation) ;
- RGPD (Règlement général sur la protection des données) ;
- DSGVO (Datenschutz-Grundverordnung) ;
- RGPD (Regolamento Generale sulla protezione dei dati).
Quand le GDPR entre-t-il en vigueur ?
Le nouveau règlement est applicable à partir du 25.05.2018 et est en vigueur depuis déjà deux ans (24.05.2016).
À quelles entreprises le GDPR s’applique-t-il ?
Le GDPR s’applique à toutes les personnes, physiques et morales (autorités, individus et entreprises) qui traitent des données personnelles au sein de l’Union Européenne.
Que signifie « traiter une donnée personnelle » ?
Le traitement d'une donnée personnelle est : "Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...) " (Définition de la CNIL).
Le GDPR est-t-il aussi valable en Suisse ?
Le GDPR s’applique aux entreprises présentes dans l’Union Européenne. Ainsi, il ne s’applique en générale pas aux entreprises, autorités et individus suisses.
Exceptionnellement, le GDPR s’applique aussi aux entreprises situées hors UE si (Le RGPD et ses conséquences sur la Suisse) :
- Des données de personnes se trouvant dans l’UE sont traitées, ET
- Si le traitement est lié à l’offre de biens et services pour des personnes dans l’UE ou à leur profilage.
Mon entreprise emploie des salariés résidents dans l’UE. Le GDPR me concerne-t-il ?
Dans ce cas de figure, le GDPR ne s’applique pas à l’entreprise.
Il est vrai que l’entreprise traite des données concernant des personnes qui se trouvent dans l’UE. Cependant, ce traitement n’est ni du profilage, ni lié à une offre de biens et de services.
Mon entreprise vend des biens et services exclusivement en Suisse. Le GDPR me concerne ?
Dans ce cas le GDPR ne concerne pas l’entreprise.
L’offre de biens et services à des personnes dans l’UE n’est pas présente, ainsi l’entreprise n’est pas soumise au GDPR.
Mon entreprise vend des biens et des services en Suisse. De temps à autre des clients qui se trouvent dans l’EU achètent aussi des biens et des services. Le GDPR me concerne-t-il ?
Dans ce cas, le GDPR peut concerner l’entreprise.
Le fait qu’il soit possible pour une personne résident dans l’UE, d’acheter des biens et services ne suffit pas. Pour être soumise au GDPR, il doit y avoir l’intention de fournir ces biens et services au sein de l’UE.
L’intention de fournir des biens et services peut être par exemple indiqué par l’affichage de prix en EUR, la présence d’offres promotionnelles ou de conditions de vente destinés aux personnes de l’UE.
Mon entreprise vend des biens et services en Suisse et dans l’UE. Le GDPR me concerne-t-il ?
Dans ce cas le GDPR s’applique à l’entreprise.
Dès que l’intention d’offrir des biens et services dans l’UE est claire, le GDPR s’applique. Ainsi, le traitement des données de personnes doit respecter les règles contenues dans le GDPR.
Est-ce que la situation va évoluer ? Est-ce que le GDPR sera un jour appliqué à toutes les entreprises suisses ?
La Suisse est en train de réviser la Loi fédérale sur la protection des données (LPD). Cette loi est rendue obsolète par les changements technologiques, la propagation des réseaux sociaux, l’affinement et la démocratisation des techniques de profilage.
Ce projet de révision soutient les droits des personnes dont les données sont traitées et renforce les obligations des responsables du traitement.
Le projet de révision est moins important que le GPRD et prévoit une période transitoire de 2 ans pour l’adopter.