Les autorités chargées de la protection des données en Europe vont faire l’objet d’un examen plus approfondi quant à la manière dont elles appliquent le Règlement Général sur la Protection des Données (RGPD). L’objectif de l’Union européenne (UE) est d’accélérer les décisions relatives aux cas présumés d’infractions.
RGPD : un nouveau processus de surveillance implémenté
L’UE met en place un nouveau processus de surveillance des grandes enquêtes sur la protection des données, à la suite de critiques sur le rythme traitant de l’application de la loi, en particulier contre les Big Tech.
À la suite d’une plainte par le Conseil irlandais des libertés civiles (ICCL) au sujet de ces lenteurs, la Commission européenne a décidé que les régulateurs ayant ouvert des enquêtes à grande échelle touchant des personnes dans plus d’un pays de l’UE devront lui rendre compte de leurs progrès détaillés tous les deux mois. Depuis 2018, le régulateur irlandais a reçu des milliers de plaintes, dont 3’419 rien qu’en 2021.
Plaintes RGPD : prendre des mesures rapides
Si dans le passé, les grandes affaires restaient en sommeil pendant des années, le nouvel engagement de la Commission européenne devrait transformer l’application des lois et réduire les délais, car les entreprises sont libres de poursuivre leurs pratiques commerciales pendant que les enquêtes se déroulent.
La façon dont le RGPD est appliqué à travers l’Europe suscite le mécontentement depuis des années. Entrée en vigueur en mai 2018, il s’agit de la loi sur la confidentialité et la sécurité la plus stricte au monde. Il impose des obligations aux organisations où qu’elles soient, tant qu’elles ciblent ou collectent des données liées à des personnes dans l’UE. Cette législation inflige des amendes sévères à ceux qui enfreignent ses normes de confidentialité et de sécurité, les sanctions pouvant atteindre jusqu’à 4% du chiffre d’affaires d’un groupe d’entreprises.
Le RGPD est-il applicable en Suisse ?
Non, le RGPD n’est pas systématiquement applicable à toutes les entreprises suisses, puisque le RGPD est une loi en vigueur dans l’UE – dont la Suisse n’est pas membre. La principale loi suisse sur la protection des données est la loi fédérale sur la protection des données (LPD). Adoptée pour la première fois en 1992, la LPD a fait récemment l’objet d’une révision visant à la rapprocher des normes énoncées dans le RGPD.
Néanmoins, toute entreprise suisse proposant des produits ou des services à des clients résidant dans l’UE doit respecter le RGPD pour pouvoir traiter leurs données. Pour ELCA, sa filiale SecuTix offrant un service cloud SaaS de billetterie événementielle dans plusieurs pays de l’UE, y compris pour des événements se situant en dehors de l’UE, est naturellement sujette à l’extra-territorialité du RGPD ainsi qu’à d’autres législations similaires.
Lors de sa session d’automne 2020, le Parlement suisse a adopté la nouvelle loi fédérale sur la protection des données (nLPD). Celle-ci améliore le traitement des données personnelles et accorde de nouveaux droits aux citoyens suisses. Cette importante modification législative s’accompagne également d’un certain nombre d’obligations pour les entreprises suisses. L’ordonnance d’application entrera en vigueur en septembre de cette année.
L’avis d’ELCA sur l’application du RGPD
ELCA s’engage fortement dans la sécurité et la protection des données personnelles, de par son large champ d’activités projet dans les domaines publics, bancaires, et santé entre autres, mais également son produit TrustID certifié pour les accès au dossier patient électronique, sa filiale SecuTix internationale, ou encore NEOSIS iPension, sa plateforme unifiée de gestion couvrant les trois piliers de la prévoyance suisse.
Conscient de la difficulté de jongler avec plusieurs législations sur la protection des données, ELCA a choisi de prendre la plus stricte, le RGPD, comme base principale de tous ses processus de traitement de données. Pour preuve, ELCA est dans les premières entreprises suisses ayant obtenu la certification ISO 27701 (extension de ISO 27001) à l’échelle du Groupe entier incluant des sites au sein de l’UE et en dehors, démontrant sa capacité à gérer efficacement les données personnelles dans tous les contextes.
Dans le futur, ELCA étendra la validation de son expertise dans ce domaine, en particulier avec la certification VDSZ/DPCO, dès que celle-ci aura été révisée d’après la nLPD, et se penchera ensuite à l’horizon 2024-2025 sur l’implémentation des Binding Corporate Rules (BCR). Supportées par la Commission européenne en marge du RGPD, les BCR doivent être approuvées par deux autorités de surveillance (régulateurs) de l’UE. Une fois approuvées, les BCR permettent aux entités participantes de transférer légalement des données personnelles en dehors de l’Espace économique européen (EEE).
*Photo by FLY:D on Unsplash
Bonjour,
Des voix se font entendre sur les coûts que représentent le RGPD pour les PME, notamment au Royaume-Uni mais aussi en France selon des contacts : http://www.linkedin.com/posts/kolochenko_gdpr-technology-privacy-activity-7039218787836952576-QAji
Quelle est la situation pour le nLPD, s’applique-t-il aveuglément pour Nestlé, TraderBitcoins SA et le boucher ou la PME conseil ?
Existe-t-il des règles d’application pour les métiers et également à quels fournisseurs les PME peuvent-elles s’adresser pour une gestion abordable ?
Merci pour votre éclairage.
Bonjour, merci pour votre question.
Les montants mentionnés comme potentielles économies dans l’article que vous mentionnez me paraissent très volontairement exagérés pour l’effet marketing. D’une manière générale, la mise en œuvre du RGPD et encore plus de la nLPD ne représente pas, à mon avis, des coûts faramineux pour la majorité de PME qui font du traitement personnel classique (p. ex. un shop en boutique et en ligne) et aucun coût notable pour un artisan par exemple. Il faut savoir également qu’une entreprise B2B uniquement, donc ne traitant pas de données personnelles autres que celles d’employés, fournisseurs et partenaires, est beaucoup moins sujette à ces règlements, quoique pas exemptée.
Les lois sur la protection des données sont souvent craintes au regard des amendes parfois énormes, et du coup souvent trop interprétées à la petite lettre alors que leur objectif est simplement de réduire au maximum les risques. Tout le monde n’est pas Google; certes, un boucher peut avoir un site web et une liste de distribution, mais sera rarement poursuivi et amendé par le régulateur, restons réalistes. Il en est tout autrement pour Nestlé ou même pour ELCA, avec de très nombreux traitements tous différents, internationaux, complexes, et dont il faut assurer le contrôle total, la conformité et la sécurité. C’est encore plus compliqué en présence de données personnelles sensibles (santé, justice, etc.). Le passage de la LPD à la nLPD peut alors représenter un challenge et la nécessité d’un DPO voire d’une équipe est alors indispensable.
La nouvelle loi anglaise simplifie et clarifie le RGPD, mais reste toujours bien plus complexe que la nLPD qui est déjà vraiment le minimum acceptable pour garder l’adéquation de la Commission européenne, et encore je n’en suis pas sûr. Le tableau comparatif de Swissprivacy.law permet de se rendre compte visuellement à quel point la nLPD est un sous-produit du RGPD si l’on fait abstraction des parties sur les organes fédéraux:
https://swissprivacy.law/wp-content/uploads/2021/02/20210211-Tableau-comparatif-nLPD-et-RGPD.pdf
Le site du PFPDT contient quelques guides par secteur d’activités mais ils ne sont pas encore mis à jour pour la nLPD et sont assez basiques. Notre filiale ELCASecurity est à même de vous aider dans vos démarches de conformité, depuis un simple “gap analysis” jusqu’à un service de DPO si nécessaire.