Données personnelles: le sprint des entreprises suisses pour intégrer la loi européenne

Actualité

Données personnelles: le sprint des entreprises suisses pour intégrer la loi européenne

Le Règlement européen sur la protection des données entre en vigueur le 25 mai. La Fédération des entreprises romandes à Genève vient de réunir 300 de ses membres pour les inciter à se mettre à niveau. Conseils et mises en garde avec Sébastien Ziegler.

RGPD, J –100. Il y avait foule au siège de la Fédération des entreprises romandes Genève mercredi dernier, pour la conférence consacrée au Règlement européen sur la protection des données, ou RGPD. Ce dernier, qui veut redonner le contrôle de ses données au citoyen de l’Union européenne, entre en vigueur le 25 mai et concerne aussi la Suisse. Car le RGPD touche «toutes les entreprises qui offrent des biens ou des services à des personnes sur le territoire de l’UE». Tout usager pourra connaître qui a lesquelles de ses données et pour en faire quoi, il aura la possibilité de les retirer (portabilité) et bénéficiera du droit à l’oubli.
 «Sincèrement, il n’y a pas grand monde de prêt dans les pays limitrophes, et on n’attend pas des hordes de contrôleurs le 26 mai.» Le conseiller d’Etat Pierre Maudet s’est voulu d’emblée rassurant, rappelant que les risques immédiats étaient moins d’encourir contrôles et amendes que d’affronter des clients soucieux. Mais il a aussi rappelé l’importance cardinale du sujet pour un canton au biotope européen. Quelques enseignements tirés de la conférence...

Le principe de précaution: viser haut

Le voyagiste qui cible des séjours de ski vers l’Europe, l’aéroport de Cointrin, partiellement sur territoire français, et même le restaurant en zone frontalière qui utilise ses fichiers clients pour une campagne de promotion sont bien sûr concernés. Même si votre activité ne se déroule qu’en territoire suisse et qu’avec des Suisses, et que vous ne pensez donc pas être touché par le RGPD, votre serveur se trouve peut-être dans l’UE, ou votre gestionnaire de newsletters: «Concentrez donc vos efforts sur la loi européenne, il faut oublier la LPD, la loi suisse sur la protection des données», conseille l’avocat valaisan Sébastien Fanti. «Ne faites pas le service minimum, protégez votre entreprise en visant le niveau supérieur du RGPD!» Le consensus est là: il faut anticiper les risques. Bon à savoir: le Maroc, Singapour ou la Turquie préparent des lois RGPD-compatibles. Enfin, toute entreprise qui voudrait participer à un appel d’offres public dans l’UE devra évidemment remplir les exigences du RGPD.

Pas un but à atteindre, mais un processus à enclencher

Il n’y a pas de produit miracle, explique Claude Lachat, le Data Protection Officer (DPO) du groupe Ofac, et lui-même professeur en certification. «Il n’est pas possible de se mettre à jour par à-coups voire en une fois puis de ne plus rien faire ensuite. La conformité doit s’entretenir, il faut faire de la veille légale, proactive.» La protection des données doit être un souci constant, faisant l’objet d’évaluations périodiques débouchant sur des adaptations ou des améliorations. Autrement dit: les coûts de la RGPD seront pérennes. Dans le même ordre d’idées: attention aux officines qui promettent la conformité en quelques heures de travail, privilégiez les DPO certifiés.

Une démarche qui engage toute l’entreprise

La mise aux normes RGPD n’est donc absolument pas une simple mise à jour IT supplémentaire, c’est une démarche transversale, qui va devoir faire travailler ensemble l’informatique, le marketing, le commercial, les RH… «C’est un enjeu stratégique» qui engage la direction de l’entreprise, a répété Dan Spahr, pour economiesuisse. Tout commence par une «analyse d’impact relative à la protection des données». Quelles données sont collectées, comment sont-elles transmises, traitées, qui y a accès, quelles sont les données sensibles (marquage des données), peut-on les rendre (portabilité) ou les supprimer: les entreprises doivent répertorier les fichiers, cartographier les processus et les traitements, évaluer les risques, et définir une feuille de route réaliste qui sensibilise les personnels et précise clairement les responsabilités dans l’entreprise. Avec comme mantra les deux principes angulaires du RGPD, le Privacy by Design (être le moins intrusif possible) et le Security by Default (déceler les violations et alerter).

Des risques différents selon les entreprises

Consentement positif, droit à l’oubli, portabilité… ce sera désormais aux entreprises elles-mêmes de prouver qu’elles sont en conformité avec le RGPD. Les «petits poissons» ont moins à craindre, rassure le DPO Claude Lachat, les entreprises qui travaillent en B2B (business to business) et non en B2C (business to customer), sans traitement des données régulier, sans décision fondée sur des traitements automatisés, qui comptent moins de 250 personnes (le seuil au-dessous duquel une société peut satisfaire au RGPD sans tenir de registre des activités de traitement, sauf en cas de données sensibles). L’important le 25 mai sera de pouvoir montrer que les risques ont été compris et que des démarches correctrices sont en cours. Les sanctions financières peuvent atteindre 20 millions de francs ou 4% du chiffre d’affaires mondial. Bon à savoir: il existe des produits d’assurance contre le RGPD pour les sociétés qui n’ont pas encore pu se mettre aux normes.

Un label pour se démarquer de la concurrence

Le RGPD, un bagne? «On se fait aider d’un spécialiste en externe pour être parfaitement aux normes, expliquait à la fin de la conférence le directeur de la société de courtage en assurance BCDT Loïc Dubost. Je vois cela comme une force par rapport à la concurrence.»

Sébastien Ziegler: «Pour le RGPD, la certification constitue une sorte d’assurance»

Les entreprises, mais aussi les administrations publiques, sont concernées par le nouveau Règlement général sur protection des données (RGPD), adopté par l’Union européenne et qui entrera formellement en vigueur le 25 mai prochain. Pour les aider, le projet de recherche européen H2020 Privacy Flag a créé une certification sur la protection des données nommée EuroPrivacy. Interview de Sébastien Ziegler, coordinateur scientifique au sein de ce projet de recherche.

Le Temps: Que propose cette certification?

Sébastien Ziegler: Elle permet de certifier des entreprises et des entités publiques, mais aussi des produits et des services afin de démontrer le respect des règles européennes de protection des données. La certification couvre tant les obligations européennes (RGPD) que celles du droit fédéral qui continuera à s’appliquer après le 25 mai 2018. Or, il y a des obligations différentes et spécifiques dans les deux cas.

En quoi cette certification est-elle novatrice?

EuroPrivacy offre une évaluation beaucoup plus systématique des risques, avec jusqu’à 650 points de contrôle. Elle couvre aussi les technologies émergentes, telles que le Big Data et l’internet des objets. Elle bénéficie d’un réseau de partenaires et d’experts européens de pointe dans la protection des données et la cybersécurité. Le schéma de certification est supervisé par un conseil international d’experts avec le soutien du European Center for Certification and Privacy au Luxembourg et de la société Archimede Solutions, basée à Genève. Enfin, EuroPrivacy est conforme aux normes ISO pertinentes et peut être facilement combiné avec la certification des systèmes de gestion de la sécurité de l’information (ISO/CEI 27001).

Peut-on imaginer que ce type de certification devienne obligatoire?

Sans doute pas, mais la certification est fortement recommandée par le RGPD, dont le texte fait plus de 70 références à la certification. Les entreprises européennes devront désormais vérifier que les entreprises avec lesquelles elles partagent des données respectent les règles européennes de protection des données. La certification constitue une sorte d’assurance qui va s’imposer dans de nombreuses relations d’affaires pour réduire les risques légaux et financiers. A partir du 25 mai 2018, les tribunaux européens disposeront des bases légales pour infliger des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global d’une entreprise, où qu’elle se trouve. La certification sera aussi un critère de choix non négligeable pour les utilisateurs avec un impact concurrentiel.

Quel est le coût de cette certification?

Comme toute certification, cela variera en fonction de l’objet à certifier. EuroPrivacy a été développé de façon à optimiser les coûts et être accessible aux PME. Des demandes peuvent être directement soumises en ligne sur le site www.europrivacy.org ou via Archimede Solutions à Genève. A noter qu’il y a déjà un fort intérêt pour EuroPrivacy en Suisse, en Europe et au-delà. (Propos recueillis par Anouch Seydtaghia)


Source : Le Temps online / 27 février 2017 / Catherine Frammery

Information
  • article
  • 05 mar 2018
Formation

Formations

Toutes nos formations en un coup d'oeil.

Lire la suite +

Chambre patronale

La Chambre Patronale est l’organe politique de l’Union Patronale du Canton de Fribourg. Elle est le porte-parole des PME membres et prend les décisions pour tout ce qui concerne les consignes de vote et autres objets politiques. La défense des intérêts des PME est une des préoccupations majeures de la Chambre Patronale ...

Lire la suite +

Conseil d'administration

Lire la suite +