Les autorités chargées de la protection des données en Europe vont faire l’objet d’un examen plus approfondi quant à la manière dont elles appliquent le Règlement Général sur la Protection des Données (RGPD). L’objectif de l’Union européenne (UE) est d’accélérer les décisions relatives aux cas présumés d’infractions.
RGPD : un nouveau processus de surveillance implémenté
L’UE met en place un nouveau processus de surveillance des grandes enquêtes sur la protection des données, à la suite de critiques sur le rythme traitant de l’application de la loi, en particulier contre les Big Tech.
À la suite d’une plainte par le Conseil irlandais des libertés civiles (ICCL) au sujet de ces lenteurs, la Commission européenne a décidé que les régulateurs ayant ouvert des enquêtes à grande échelle touchant des personnes dans plus d’un pays de l’UE devront lui rendre compte de leurs progrès détaillés tous les deux mois. Depuis 2018, le régulateur irlandais a reçu des milliers de plaintes, dont 3’419 rien qu’en 2021.
Plaintes RGPD : prendre des mesures rapides
Si dans le passé, les grandes affaires restaient en sommeil pendant des années, le nouvel engagement de la Commission européenne devrait transformer l’application des lois et réduire les délais, car les entreprises sont libres de poursuivre leurs pratiques commerciales pendant que les enquêtes se déroulent.
La façon dont le RGPD est appliqué à travers l’Europe suscite le mécontentement depuis des années. Entrée en vigueur en mai 2018, il s’agit de la loi sur la confidentialité et la sécurité la plus stricte au monde. Il impose des obligations aux organisations où qu’elles soient, tant qu’elles ciblent ou collectent des données liées à des personnes dans l’UE. Cette législation inflige des amendes sévères à ceux qui enfreignent ses normes de confidentialité et de sécurité, les sanctions pouvant atteindre jusqu’à 4% du chiffre d’affaires d’un groupe d’entreprises.
Le RGPD est-il applicable en Suisse ?
Non, le RGPD n’est pas systématiquement applicable à toutes les entreprises suisses, puisque le RGPD est une loi en vigueur dans l’UE – dont la Suisse n’est pas membre. La principale loi suisse sur la protection des données est la loi fédérale sur la protection des données (LPD). Adoptée pour la première fois en 1992, la LPD a fait récemment l’objet d’une révision visant à la rapprocher des normes énoncées dans le RGPD.
Néanmoins, toute entreprise suisse proposant des produits ou des services à des clients résidant dans l’UE doit respecter le RGPD pour pouvoir traiter leurs données. Pour ELCA, sa filiale SecuTix offrant un service cloud SaaS de billetterie événementielle dans plusieurs pays de l’UE, y compris pour des événements se situant en dehors de l’UE, est naturellement sujette à l’extra-territorialité du RGPD ainsi qu’à d’autres législations similaires.
Lors de sa session d’automne 2020, le Parlement suisse a adopté la nouvelle loi fédérale sur la protection des données (nLPD). Celle-ci améliore le traitement des données personnelles et accorde de nouveaux droits aux citoyens suisses. Cette importante modification législative s’accompagne également d’un certain nombre d’obligations pour les entreprises suisses. L’ordonnance d’application entrera en vigueur en septembre de cette année.
L’avis d’ELCA sur l’application du RGPD
ELCA s’engage fortement dans la sécurité et la protection des données personnelles, de par son large champ d’activités projet dans les domaines publics, bancaires, et santé entre autres, mais également son produit TrustID certifié pour les accès au dossier patient électronique, sa filiale SecuTix internationale, ou encore NEOSIS iPension, sa plateforme unifiée de gestion couvrant les trois piliers de la prévoyance suisse.
Conscient de la difficulté de jongler avec plusieurs législations sur la protection des données, ELCA a choisi de prendre la plus stricte, le RGPD, comme base principale de tous ses processus de traitement de données. Pour preuve, ELCA est dans les premières entreprises suisses ayant obtenu la certification ISO 27701 (extension de ISO 27001) à l’échelle du Groupe entier incluant des sites au sein de l’UE et en dehors, démontrant sa capacité à gérer efficacement les données personnelles dans tous les contextes.
Dans le futur, ELCA étendra la validation de son expertise dans ce domaine, en particulier avec la certification VDSZ/DPCO, dès que celle-ci aura été révisée d’après la nLPD, et se penchera ensuite à l’horizon 2024-2025 sur l’implémentation des Binding Corporate Rules (BCR). Supportées par la Commission européenne en marge du RGPD, les BCR doivent être approuvées par deux autorités de surveillance (régulateurs) de l’UE. Une fois approuvées, les BCR permettent aux entités participantes de transférer légalement des données personnelles en dehors de l’Espace économique européen (EEE).
*Photo by FLY:D on Unsplash