La protection des données personnelles en politique et dans les médias a été très populaire avant même les dernières révélations d’éventuelles violations de la protection des données dans le contexte des plate-formes de médias sociaux. Avec le nouveau Règlement européen sur la protection des données (RGPD), l’UE a déjà mis en place un nouvel ensemble de règles il y a quelques temps. Celles-ci deviendront contraignantes le 25 mai 2018. Dans le cadre de la révision de la loi sur la protection des données (LPD) en instance au Parlement, la Suisse adoptera le niveau de protection européen dans la mesure nécessaire pour que la transmission transfrontalière des données reste possible. Quelle que soit l’évolution de la révision de la protection des données, le règlement européen sera directement applicable à de nombreuses entreprises suisses dès son entrée en vigueur. Les parties concernées ne sont pas toujours conscientes que la protection des données personnelles affecte pratique­ment toutes les transactions commerciales d’une entreprise.

Commandes transfrontalières

Le droit européen en matière de protection des données devient pertinent pour les entreprises suisses en cas de traitement des données par une succursale dans l’UE, que le traitement y ait lieu ou non. En outre, la RGPD fait valoir sa validité auprès d’entreprises étrangères (également sans succursale) lorsqu’elles offrent des biens ou des services à des personnes dans l’UE (par exemple sur Internet) ou observent le comportement de ces personnes (par exemple sur leur propre site web). La commande transfrontalière de traitement de données à des tiers (traitement des données de commande) conduira aussi régulièrement à l’applicabilité (extra­terri­toriale) de la RGPD si, par exemple, une société allemande charge une telle société en Suisse de traiter les données des clients. L’évaluation de l’applicabilité peut s’avérer difficile dans des cas individuels.

Droits et obligations élargis

Le nouveau cadre repose sur les 
anciens principes de protection des données (légalité, affectation des crédits, transparence, minimisation des données, sécurité des données, etc.). Dans le même temps, les droits et obligations des personnes et des entreprises concernées seront considérablement élargis. Les exigences de forme et de fond pour le consentement des personnes concernées sont ainsi considé­rable­ment accrues. À l’avenir, les entreprises devront tenir à jour un répertoire détaillé de traite­ment des données et devront être en mesure de prouver qu’elles respectent les principes pertinents. En outre, des évaluations d’impact sur la protection des données ou même des délégués à la protection des données au sein de l’UE doivent être nommés dans le cas de traitements particulièrement sensibles. En cas de violation de la protection des données, il peut y avoir une obligation de fournir des informations. En conséquence, le règlement renforce les droits d’accès, de recti­fi­cation, d’annulation, d’opposition, de transfert, etc. des personnes concernées.

Gestion appropriée des risques

Les violations de la protection des données représentent de plus en plus de risques commerciaux pertinents. Non seulement les amendes élevées ou les réclamations civiles des personnes touchées sont menacées. Comme le montre la pratique, la 
sensibilisation croissante comporte égale­ment des risques considérables pour la réputation. Les entreprises sont bien avisées de relever les nouveaux défis dans le contexte de la gouvernance d’entreprise d’une 
manière opportune et appropriée.

Matthias Amgwerd, associé, Burkhalter Avocats Berne/Zurich

LIEN

www.drpb.ch