RGPD

Le Conseil fédéral se trompe de clavier : le projet de loi fédérale sur la protection des données est mort-né et impacte négativement l’économie suisse :((

1 commentaire

 

 

 

 

 

Le Conseil fédéral vient de rendre public le projet de loi fédérale sur la protection des données. En adoptant une position minimaliste et partiellement disruptive vis-à-vis du nouveau Règlement européen en matière de protection des données (RGPD), notre Gouvernement contraint les sociétés helvétiques à se poser la question d’une double mise en conformité mortifère et agit ainsi de manière singulièrement antinomique. Il les expose au demeurant à des sanctions astronomiques en suggérant que le droit suisse, de par sa prétendue conformité au cadre européen, est le seul à devoir être respecté. A cela s’ajoute le fait que les entreprises helvétiques devront éviter les pièges et choisir le bon partenaire parmi les multiples prétendants aux mandats qui se multiplient en matière de protection des données, aiguisant les appétits de nombreux dilettantes. Une équation plurifactorielle et protéiforme qu’il leur sera difficile de résoudre d’ici au 25 mai 2018, date d’entrée en vigueur du RGPD. 

Le communiqué de presse du Conseil fédéral met en exergue un renforcement de l’économie généré par le projet de loi fédérale sur la protection des données. Différents arguments devraient logiquement être invoqués à l’appui de cette thèse, qui se veut affriandante. Singulièrement, ce communiqué se limite toutefois à indiquer “qu’un standard élevé de protection, reconnu sur le plan international, est également propice au développement des nouveaux secteurs économiques dans le domaine de la société numérique“. En bref, de la communication politique sans réel contenu. Il est par contre évident que le Conseil fédéral a adopté une position qui confine au suivisme s’agissant des exigences formulées par les représentants de l’économie. Ainsi le projet a-t-il encore été allégé de différentes exigences figurant dans l’avant-projet, notamment en matière de sanctions (les amendes ont été réduites de 500’000 à 250’000 francs),

L’économie suisse, par ses représentants,  s’est opposée à un projet ambitieux et invoque la prétendue violation de notre souveraineté, alors que la jurisprudence actuelle permet également une application extraterritoriale de nos normes, suite à l’arrêt Google Street View.

Ce faisant elle a placé, en méconnaissance de cause, une épée de Damoclès au-dessus de la tête de nombreuses entreprises, qu’elle est censée protéger. En subodorant l’accord de l’UE avec cette stratégie solitaire, elle génère un risque conséquent.

 

Une harmonisation partielle avec le règlement européen qui relègue la future LPD au rang de norme partiellement surannée!

Le projet du Conseil fédéral n’est pas pleinement compatible avec le RGPD qui prévoit de nombreuses exigences totalement absentes du texte helvétique (droit à la portabilité des données, renversement du fardeau de la preuve, sanctions réellement dissuasives, etc.). Ce faisant, les entreprises helvétiques sont confrontées à une possible double mise en conformité qui les contraint à un exercice d’équilibriste. L’article 3 § 2 du RGPD prévoit en effet que les organisations privées ou publiques étrangères qui offrent des produits et des services aux citoyens de l’UE, ou qui analysent leur comportement en récoltant leurs données personnelles soient soumises au Règlement. En clair donc, la plupart des entreprises de notre pays et des collectivités publiques vont devoir se poser cette question, respectivement après l’avoir résolue procéder à une implémentation dans des délais très brefs, soit jusqu’au 25 mai 2018. Il n’y aura pas de délai de grâce, la Confédération, n’ayant pas engagé de négociations à ce jour avec l’UE à ce sujet. A ce stade des processus législatifs suisse et européen, il est donc possible de soutenir que la future LPD n’aura d’impact que pour les entreprises et les collectivités publiques n’ayant pas de relations commerciales avec l’UE, ce qui constituera une frange infime. La question qui se pose en conséquence est assez simple: pourquoi ne pas calquer notre future LPD sur le RGPD ?

 

Une adéquation aux standards internationaux qui fait débat et nous expose au pire.

La  Suisse offre-t-elle encore aujourd’hui un niveau de protection adéquat en matière de protection des données ? Il est légitimement permis d’en douter, à l’aune des développements sur le plan international et cette interrogation va très certainement engendrer d’intenses investigations de la part de nos partenaires européens, notamment.

De mon humble point de vue, la conformité, sur la base du framework légal qui nous est proposé, doit être qualifiée de partielle (absence de droit à la portabilité des données, pas d’applicabilité de la loi aux entreprises n’ayant pas de siège en Suisse mais y procédant à des traitements de données, absence de nécessité d’un interlocuteur en Suisse, certification des traitements de données présentant un risque particulièrement élevé…).

Le Préposé fédéral à la protection des données a émis des griefs similaires suite à la communication du Conseil fédéral. Le hic c’est que le devoir de réserve l’empêche d’attaquer frontalement une révision qui le concerne directement.

Il suffirait à cet égard qu’un seul avocat saisisse un Tribunal au sein de l’UE pour faire constater l’inadéquation de notre niveau en matière de protection des données pour que ce qui nous est présenté comme une amélioration conséquente devienne, subitement, le talon d’Achille de nos entreprises.

Imaginez ne serait-ce qu’un instant une décision négative et ses conséquences en termes de flux de données. Ainsi que le relève le Conseil fédéral lui-même, la nouvelle décision d’adéquation que prendra l’Union européenne est la condition pour que les échanges de données transfrontières restent possibles, chose extrêmement importante pour l’économie suisse. En clair donc si l’adéquation ne devait pas nous être reconnue, les flux de données pourraient s’avérer problématiques, exactement comme cela s’est produit avec les Etats-Unis suite à la décision de la justice européenne dans l’affaire Schrems. La bouée de sauvetage des entreprises consiste donc clairement à anticiper ces éventuelles difficultés en adoptant le standard le plus élevé en termes de protection des données, le RGPD!

 

Conclusion: oubliez le future LPD, concentrez vos efforts de conformité sur le RGPD et choisissez le bon partenaire !

Le monde de l’entreprise est relativement simple, contrairement à celui des circonvolutions politico-juridiques. Aujourd’hui la question qui est sur toutes les lèvres est celle de savoir ce qu’il convient de faire face à une telle double régulation. Et la réponse très claire: si vous avez des relations avec l’UE susceptibles de générer l’application du RGPD concentrez vos efforts sur une mise en conformité avec ce texte. L’adéquation avec la future LPD ne sera alors qu’une question simple à résoudre, de nature infinitésimale. Mais prenez garde à ceux qui vont vous assister dans le cadre de ces démarches complexes:

Depuis quelques mois tout le monde est devenu, par un tour de baguette magique, spécialiste du RGPD. Les charlatans pullulent et, lorsque les problèmes surgiront, respectivement les sanctions seront prononcées, ils s’évanouiront aussi rapidement qu’ils sont apparus. Le Contrôleur européen de la protection des données Giovanni Butarelli a rappelé que les contrôles seront aussi orientés en fonction de l’identité des responsables de la mise en conformité. En clair, l’Europe veut faire disparaître les mercantis de la protection des données !

 

Voici quelques éléments fondamentaux à examiner lors du choix du prestataire qui implémentera le RGPD au sein de votre entreprise et qui en assurera le suivi:

  • Sollicitez la preuve des compétences réelles des personnes qui prétendent être en capacité de réaliser une mise en conformité: il ne s’agit en effet pas d’appliquer du droit suisse, mais du droit européen, de surcroît un nouveau texte complexe, ce qui est fondamentalement différent. Il existe des standards de compétence (CIPP-E, formations universitaires) auxquels vous référer.
  • Interrogez vos prestataires potentiels sur leur capacité à vous représenter devant les autorités de régulation européennes et nationales de même que devant les tribunaux en cas de litiges. Il s’agira en effet de pouvoir assurer votre défense devant les autorités de protection des données, mais également devant des tribunaux étrangers. Si celui qui a procédé à l’implémentation dans votre entreprise ne peut assumer le service après-vente, votre nouveau mandataire devra prendre connaissance de ce qui a été fait avant sa constitution ce qui accroîtra les coûts et annihilera l’efficience de vos démarches.
  • Vérifiez que votre prestataire dispose d’une assurance responsabilité civile équivalente à tout le moins au montant maximal des sanctions (20 millions voire plus en fonction du bilan de votre entreprise).
  • Assurez-vous que le secret professionnel couvre les activités déployées dans le cadre de l’implémentation et du suivi; à défaut en cas de procédure, vous vous retrouverez littéralement nu devant les autorités de régulation, voire les autorités pénales.
  • Optez pour des partenaires solides sur le plan économique et qui ne dissoudront pas leur Sàrl à capital minimal à la première anicroche: il s’agit d’un travail de longue haleine qui va phagocyter le temps et l’énergie de votre entreprise ce qui signifie que se tromper dans le choix initial vous contraindra à recommencer l’exercice, à tout le moins partiellement.
  • Et surtout, exigez une garantie, une certification de conformité au RGPD au terme du mandat que vous confiez! Rappelez-vous qu’il s’agit de droit européen et pas de droit suisse et la conformité peut être contractuellement assurée. En clair, un document doit vous être remis au terme de l’exercice du mandat. Il existe également désormais un référentiel en cette matière qui a été agréé par l’autorité de régulation et qui peut donc constituer une garantie supplémentaire.
  • Ne rêvez pas: aucune structure de très petite taille n’est pas à même d’assurer un niveau de prestation suffisant: lorsque vous recevez une offre qui prévoit 2 jours de travail par mois et que votre entreprise totalise des milliers d’employés, c’est tout simplement impossible et cela devrait vous inciter à la prudence surtout si le prix est très intéressant. Exigez à cet égard, dans le mandat qui vous lie, des pénalités en cas de retard.

 

Si un problème devait survenir, l’autorité vérifierait assurément le soin que vous avez porté au choix du prestataire d’implémentation, lequel en cas de choix manifestement inopportun, pourrait influer à tout le moins sur la sanction administrative que vous auriez à honorer, en espèces sonnantes et trébuchantes. Sur le plan pénal certains Etats vont sanctionner les violations et poursuivre les responsables notamment le DPO.

Choisir un fiscaliste pour implémenter le RGPD relève à ce titre de l’hérésie, lorsque l’on sait que des procédures pénales pourront être diligentées ! Imaginez un seul instant ce qu’un procureur va lui poser comme questions… Il faut compartimenter les mandats de conseil et ne jamais confier à la même société deux tâches aussi antinomiques, car l’entreprise risque sa survie économique, à l’aune de l’ampleur des sanctions prévues par le RGPD.

 

Un article scientifique consacré à cette thématique sera publié dans la revue Expert Focus en novembre, article intitulé: Le nouveau Règlement général sur la protection des données et la Suisse : le nœud gordien de la double régulation et le fragile substrat législatif.