Quelles adaptations pour la Suisse ?

Dès le 25 mai 2018, le règlement général sur la protection des données (GDPR UE) de l’UE est applicable avec effet direct aussi pour des entre- prises suisses. Le règlement suisse sur la protec- tion des données est en consultation, la BDSG révisée est elle aussi censée entrer en vigueur en automne 2018 – la pression de s’aligner, respec- tivement le besoin, est réel pour les entreprises suisses. Cet article élucide quelques aspects centraux du règlement général sur la protection des données de l’UE du point de vue de la Suisse.

Protection de la personne juridique
Le Parlement européen a formulé de nom- breuses nouvelles adaptations afin d’accorder le GDPR UE avec tous les États européens, concer- nant entre autres aussi l’espace de travail suisse (motif de considération 137). Ainsi donc, toutes les procédures visant des citoyens de l’UE et concernant des données personnelles de ci- toyens ou de collaborateurs de l’UE, doivent se dérouler de manière conforme au GDPR UE. L’introduction européenne du règle- ment ne met donc pas sous pression les seules entreprises au sein de l’UE, mais aussi les ex- portateurs, sociétés de vente par correspon- dance, gérants de sites online suisses, ainsi que les domaines de la branche suisse de l’ICT, de la communication, du legal/ controlling, de la pub ou de l’économie des données en général. La protection des personnes juridiques sera toutefois dégroupée. L’évaluation des risques en soi sera transmise aux collaborateurs trai- tant les données ou aux préposés à la protec- tion des données dès 2018.

Droits des personnes concernées
Le principe de base de la « libre disposition in- formationnelle » reste valable. C’est à dire que les droits et les obligations des personnes concernées se trouvent améliorés. Ces obliga- tions sont mentionnées à l’art. 7 du GDPR UE. Toutefois, la personne concernée a le droit de résilier en tout temps son accord. D’une part – vu sous l’angle d’une sanction possible et de poursuites pénales – certaines personnes, res- pectivement entrepreneurs individuels, pour- raient toutefois être confrontés à davantage de handicaps organisationnels pour ce qui est des RGL, contrats types, polices et procédures de protection des données. Au même titre, les en- quêtes pénales du Commissaire fédéral à la protection des données PFPDT seront sollici- tées plus souvent. La liste des tâches du PFPDT a été grandement élargie (entre autres les art. 37, art. 5, art. 7, art. 16, art. 17), ce qui pour- rait mener à une « bureaucratisation » de l’auto- rité (source : Management & Qualité 06/2017).

Obligations des personnes responsables
Ce qui est nouveau, est que certaines violations du droit sur la protection des données doivent être annoncées à l’autorité de surveillance responsable dans les 72 heures suivant leur découverte, et sans délai aux personnes affectées. La mise à disposition d’un préposé à la protection des données (interne ou externe) représentera un thème important également pour les employeurs suisses.

Ainsi donc, le délégué (aux données) compétent doit être en mesure de présenter, respectivement de rectifier des données à qui que ce soit et d’informer immédiatement le préposé à la protection des données au cas où des manipulations et des pertes de données personnelles (art. 17) sont à craindre. Entre dès lors en vigueur un droit permanent à l’information concernant toutes les bases de données et les faits touchant aux changements de données (art. 20). Ce droit s’applique aussi de manière explicite à la durée de la conservation.

Attention : processus automatisés
La prise en considération de nouvelles techniques ayant pris pied dans l’Internet ces dernières années est un fait nouveau de taille. En fait par exemple l’ainsi nommé profiling (art. 3 al. 1 let. f.), à savoir la génération de profils de personnalités sur la base de données publiques (sous-secteur de « Big Data »).

Également de grande importance, les décisions dites automatiques ou autonomes (art. 15). Il s’agit là de décisions online prises sur la base de processus automatiques (aucune interaction humaine, comme par ex. les examens de solvabilité entièrement automatisés). N’entrent pas dans ce domaine, les données personnelles telles que les enquêtes génétiques, biométriques ou pénales.