Le règlement de l’UE sur la protection des données concerne également des PME établies en Suisse. Ces dernières doivent, à partir du 25 mai prochain, respecter sept obligations légales, sous peine de sanctions pécuniaires.
Pour déterminer si une entreprise tombe dans le champ d’application du RGPD, la localisation dans l’UE des individus dont les données sont traitées se révèle importante, tout comme l’intention de cibler des personnes dans l’espace européen.
Les entreprises sous le coup du RGPD doivent respecter sept devoirs principaux. Le cabinet suisse d’avocats Kellerhals Carrard les résume ainsi:
Nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées: Lorsque la légitimité d’un traitement de données repose sur le consentement de la personne concernée, son accord doit être libre et se baser sur une information complète, reconnaissable et certaine. Il doit être explicite. En revanche il n’est soumis à aucune exigence de forme et peut être donné oralement. L’important est que la société soit en mesure d’en apporter la preuve. Enfin, ce consentement doit pouvoir être révocable à tout moment.
Assurer le «Privacy by design» et le «Privacy by default»: Dès la conception du traitement, l’entreprise doit prendre des mesures techniques et organisationnelles afin de s’assurer du respect du RGPD et de protéger les droits des personnes concernées (Privacy by design). Elle doit, en outre, s’assurer, au moyen de paramètres par défaut, que seules les informations utiles à la finalité prévue seront traitées (Privacy by default).
Désigner un représentant dans l’UE: Le devoir de désigner un représentant dans l’UE tombe lorsque les traitements de données ne sont qu’occasionnels, n’impliquent pas des catégories de données particulières et n’engendrent quasiment aucun risque.
Tenir un registre des activités de traitement: L’entreprise ou ses sous-traitants doivent tenir à jour un document contenant une série d’informations sur les méthodes de traitement des données.
Déclarer les cas de violation des données à l’autorité de contrôle: La société doit prévoir des mécanismes rapides d’information des personnes concernées et des autorités de contrôle compétentes en cas de violation des données.
Procéder à une analyse d’impact relative à la protection des données: Un type de traitement susceptible d’engendrer un risque élevé de violation des droits et des libertés doit faire l’objet d’une analyse d’impact.
Régler des amendes en cas de violation du RGPD: Pour les entreprises, l’amende en cas de violation de la protection des données peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent.
(Newsletter Portail PME 2/2018, 22.2.2018, www.kmu.admin.ch)