Quelles adaptations pour la Suisse ?
La prochaine mise en œuvre du règlement général européen sur la protection des données mettra nos entreprises à l'épreuve. Quels secteurs seront soumis à des changements majeurs et quel sera le contenu le plus important à prendre en compte par les entreprises suisses ?
À partir du 25 mai 2018, le règlement général de l'UE sur la protection des données (RPD UE) s'appliquera également directement aux entreprises suisses. La loi suisse sur la protection des données est en cours de consultation, et la loi fédérale révisée sur la protection des données devrait également entrer en vigueur à l'automne 2018 - la pression exercée sur les entreprises suisses pour qu'elles s'alignent sur les exigences est considérable. Cet article explique certains des principaux aspects du règlement général de l'UE sur la protection des données du point de vue de la Suisse.
Protection de la personne juridique
Le Parlement européen a formulé un certain nombre de nouveaux amendements afin d'aligner le PIBR de l'UE sur celui de tous les pays européens, y compris, entre autres, le marché du travail suisse (motif de réflexion 137). Ainsi, toutes les procédures concernant les citoyens de l'UE et les données personnelles des citoyens de l'UE ou des collaborateurs doivent être effectuées conformément à la GDPR. L'introduction du règlement européen ne met donc pas la pression sur les seules entreprises de l'UE, mais aussi sur les exportateurs, les entreprises qui vendent par correspondance, les propriétaires de sites en ligne en Suisse, ainsi que sur les secteurs de l'industrie suisse des TIC, de la communication, du droit/contrôle, du secteur public et de l'économie des données en général. La protection des personnes morales sera toutefois regroupée. L'évaluation des risques en tant que telle sera transmise aux collaborateurs chargés de la protection des données ou aux délégués à la protection des données à partir de 2018.
Droits des personnes concernées
Le principe de base du "libre accès à l'éducation" reste valable. Il est à noter que les droits et obligations des personnes concernées ont été améliorés. Ces obliga- tions sont mentionnées à l'art. 7 de la GDPR UE. Toutefois, la personne concernée a le droit de retirer son consentement à tout moment. D'une part - du point de vue des sanctions et des poursuites pénales possibles - certaines personnes, à savoir les entrepreneurs individuels, peuvent néanmoins être confrontées à des handicaps organisationnels plus importants en termes de protection des données, de types de contrats, de politiques et de procédures de protection des données. De même, les en- quêtes pénales du Commissaire fédéral à la protection des données PFPDT seront sollicitées plus souvent. La liste des tâches de la PFPDT a été considérablement élargie (entre autres, art. 37, art. 5, art. 7, art. 16, art. 17), ce qui pourrait conduire à une "bureaucratisation" de l'autorité (source : Management & Quality 06/2017).
Obligations des personnes responsables
Ce qui est nouveau, c'est que certaines infractions à la loi sur la protection des données doivent être signalées à l'autorité de contrôle dans les 72 heures suivant leur découverte, et sans délai aux personnes concernées. La mise à disposition d'un délégué à la protection des données (interne ou externe) est également une question importante pour les employeurs suisses.
Ainsi, le responsable du traitement doit être en mesure de présenter, ou plutôt de rectifier, les données à qui que ce soit et d'informer immédiatement le délégué à la protection des données en cas de manipulation ou de perte de données à caractère personnel (article 17). Il existe désormais un droit permanent à l'information concernant toutes les bases de données et les faits relatifs aux modifications des données (article 20). Ce droit s'applique également de manière explicite à la durée de conservation.
Attention : processus automatisés
L'adoption des nouvelles techniques utilisées sur Internet ces dernières années est une nouveauté et une évolution significative. Par exemple, le profilage (article 3, paragraphe 1, point f)), c'est-à-dire la création de profils personnels sur la base de données publiques (dites "données importantes").
Également de grande importance, les décisions dites automatiques ou autonomes (art. 15). Il s'agit de décisions en ligne prises sur la base de processus automatisés (pas d'interaction humaine, par exemple des examens de solvabilité entièrement automatisés). Les données personnelles telles que les enquêtes génétiques, biométriques ou criminelles ne seront pas incluses dans ce domaine.
