RGPD: les points clés pour les entreprises

jeudi, 30.05.2019

Manuel Hoffmann*

Manuel Hoffmann

Le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en force le 25 mai 2018. Celui-ci s’applique à toute entreprise établie sur le territoire de l’UE. Bien que la Suisse ne fasse pas partie de l’UE, les entreprises helvétiques s’interrogent sur la question de savoir si ce nouveau règlement les concerne et comment s’y conformer.

Quelques cas de figures permettent de comprendre dans quelles situations le RGPD peut s’appliquer en Suisse. Premièrement, une entreprise suisse possédant un établissement dans l’Union européenne est soumise au RGPD. Une autre circonstance concerne la clientèle européenne que cible l’entreprise. Si un site internet contient des éléments qui indiquent une intention de vendre des produits ou services en UE, le RGPD est applicable (numéro de téléphone européen ou un moyen de paiement acceptant les euros). La troisième est le suivi du comportement d’un utilisateur sur internet à l’aide de cookies par exemple.

Le devoir de s’y conformer

Le RGPD s’applique-t-il à votre entreprise? Si vous estimez que non, vous pouvez toutefois être amenés à le prouver. De plus, la Loi fédérale sur la protection des données est en cours de révision afin de s’aligner au RGPD. Tôt ou tard, toutes les entreprises suisses auront le devoir de s’y conformer. Faut-il forcément payer un avocat pour se conformer à ce règlement? Pour beaucoup d’entrepreneurs le coût initial paraît prohibitif, ce qui les pousse à courir le risque de ne pas être conformes.

La Junior Entreprise Genève s’est intéressée aux petites entreprises afin d’identifier quelles sont les modifications qui coûtent le moins cher tout en maximisant le niveau de conformité.

Tout d’abord, un inventaire de traitement des données est établi au sein de l’entreprise. Ce dernier doit spécifier, entre autres, les raisons pour lesquelles les données sont récoltées ainsi que de quelles façons elles sont utilisées. 

Puis, la conformité doit être démontrée publiquement. Il est obligatoire de rédiger une politique de confidentialité facilement accessible sur le site internet de l’entreprise. Le processus de traitement des données des personnes qui interagissent avec la société doit y figurer. Attention, ces informations doivent être compréhensibles et facilement repérables dans le document - un texte de 40 pages aux tournures juridiques alambiquées n’est pas conforme.

Finalement, il est nécessaire d’instaurer des processus internes qui permettent de garder la conformité avec le RGPD en définissant qui peut avoir accès à quel type de donnée, qui est responsable de supprimer les données qui ne sont plus utiles et comment réagir si un client veut connaître en détail les données traitées à son égard.

Ces trois points ont un rapport coût/bénéfice très favorable. Cependant, leur mise en place ne garantit pas la conformité de l’entreprise au nouveau droit sur la protection des données.

Si de premier abord ce travail semble laborieux, il faut comprendre que ces démarches font parties d’un effort collectif et permettent aux consommateurs, de se réapproprier le contrôle sur leurs propres données personnelles. Ce qui évitera, à long-terme, des scénarios dystopiques dignes de la série «Black Mirror».

* Legal Manager, Junior Entreprise Genève






 
 

AGEFI



...