Le Règlement général sur la protection des données (RGPD) a été approuvé le 14 avril 2016 par le Parlement européen et entrera en vigueur en mai 2018. Il vise à unifier les lois sur la protection des données dans les 28 pays membres de l’Union européenne (UE) à l’ère du numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens et entreprises. Le RGPD touchera largement les compagnies suisses qui seraient en retard par rapport aux autres pays.
Comme on peut le lire sur le site du Parlement européen, le RGPD remplace la directive courante qui date de 1995, alors qu’Internet était encore à ses débuts, et a pour but de convertir «le patchwork actuel des législations nationales en un ensemble unique de règles» afin de donner aux citoyens «plus de contrôle sur leurs propres informations privées dans un monde numérique de téléphones intelligents, de médias sociaux, de services bancaires sur Internet et de transferts mondiaux.»
La révision porte sur deux textes législatifs: un règlement général sur le traitement des données personnelles dans l’UE et une directive sur les données traitées par les autorités policières et judiciaires qui forment ensemble le paquet sur la protection des données.
Qui le RGPD concerne-t-il?
Le Règlement général sur la protection des données s’appliquera non seulement aux entreprises européennes, mais également aux sociétés étrangères qui offrent des produits et services aux citoyens de l’UE, ou qui analysent leur comportement en récoltant leurs données personnelles. «Le RGPD a une portée beaucoup plus large que la directive existante qui a plus de 20 ans et qui n’est plus adaptée aux besoins actuels», explique Nicolas Vernaz, Senior Manager Cyber Security chez PwC, interviewé lors de The Digital Trust Conference 2017. «Pendant de nombreuses années, le volume des données récoltées et stockées a augmenté sans vraie prise de conscience quant au risque que cela pouvait représenter. Pour la première fois, une initiative massive visant à protéger la vie privée aboutit, ce qui est très positif même si cela représente un énorme travail d’adaptation pour les compagnies.»
Les entreprises suisses seront donc largement touchées et, selon Nicolas Vernaz, le 90% d’entre elles ne sont pas prêtes: «La Suisse est en retard par rapport aux autres pays», relève-t-il. «Beaucoup de sociétés n’ont pas encore commencé à s’intéresser au nouveau règlement et n’ont rien mis en place. Pourtant, mai 2018 c’est demain», s’alarme-t-il.
A terme, il n’y aura cependant pas d’autre choix que de s’aligner avec le RGPD, d’autant plus que la révision totale de la loi fédérale sur la protection des données est en cours (le 21 décembre dernier, le Conseil fédéral a mis un avant-projet en consultation jusqu’au 4 avril). La nouvelle loi vise, notamment, à répondre aux défis du numérique et doit aussi permettre à la Suisse de s’adapter au cadre juridique européen.
Renforcement du droit à l’oubli et facilité d’accès aux données
Parmi les principaux changements du RGPD se trouvent:
- Le renforcement du «droit à l’oubli numérique»: les individus pourront obtenir la suppression de leurs données s’ils souhaitent qu’elles ne soient plus traitées et s’il n’y a pas de motif légitime pour les conserver. Les règles visent à donner aux individus les moyens de faire valoir leurs droits, et non à effacer le passé, à réécrire l’histoire ou à restreindre la liberté de la presse.
- La garantie de la facilité d’accès à ses propres données, avec l’établissement d’un droit au transfert gratuit de ses données à caractère personnel d’un prestataire de services à un autre (portabilité des données).
- La garantie que le consentement doit être donné au moyen d’une déclaration ou d’un acte positif univoque lorsque celui-ci sert de base juridique au traitement des données.
- La désignation de délégués à la protection des données pour les entreprises dont les principales activités consistent à traiter des données à caractère personnel, et l’intégration des principes de la protection des données «par défaut» («privacy by default») et «dès la conception» («privacy by design») afin de garantir que les biens et services intègrent une démarche de sécurité de bout en bout – depuis la création et le stockage des données jusqu’à leur obsolescence.
- La possibilité pour les citoyens et les groupes de pression d’engager des litiges de masse («class actions») pour être indemnisés en cas d’infractions à la loi.
Que se passe-t-il en cas d’infraction?
Le RGPD prévoit deux niveaux de sanctions en cas de non-respect de la réglementation. En fonction des articles du Règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20 millions d’euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
«D’une part, les pénalités financières peuvent être très importantes, ajoute Nicolas Vernaz. D’autre part, c’est la réputation de l’entreprise qui se joue.» En cas de brèche par exemple, le responsable du traitement a 72 heures pour notifier la violation en question à l’autorité de contrôle compétente. «Si les entreprises n’ont pas de moyens efficaces pour agir rapidement en cas de violation de données à caractère personnel, les conséquences pour leur image seront désastreuses», conclut-t-il.
Attitudes à l’égard de la protection des données
