Aller au contenu principal
Encore 1/5 articles gratuits à lire
Des passagers à l'aéroport de Genève, qui est directement concerné par le RGPD.
© SALVATORE DI NOLFI/KEYSTONE

Suisse 4.0

Données personnelles: le sprint des entreprises suisses pour intégrer la loi européenne

Le Règlement européen sur la protection des données entre en vigueur le 25 mai. La Fédération des entreprises romandes à Genève vient de réunir 300 de ses membres pour les inciter à se mettre à niveau. Conseils et mises en garde avec Sébastien Ziegler

RGPD, J –100. Il y avait foule au siège de la Fédération des entreprises romandes Genève mercredi dernier, pour la conférence consacrée au Règlement européen sur la protection des données, ou RGPD. Ce dernier, qui veut redonner le contrôle de ses données au citoyen de l’Union européenne, entre en vigueur le 25 mai et concerne aussi la Suisse. Car le RGPD touche «toutes les entreprises qui offrent des biens ou des services à des personnes sur le territoire de l’UE». Tout usager pourra connaître qui a lesquelles de ses données et pour en faire quoi, il aura la possibilité de les retirer (portabilité) et bénéficiera du droit à l’oubli.

Lire: Le RGPD, la révolution du consentement

«Sincèrement, il n’y a pas grand monde de prêt dans les pays limitrophes, et on n’attend pas des hordes de contrôleurs le 26 mai.» Le conseiller d’Etat Pierre Maudet s’est voulu d’emblée rassurant, rappelant que les risques immédiats étaient moins d’encourir contrôles et amendes que d’affronter des clients soucieux. Mais il a aussi rappelé l’importance cardinale du sujet pour un canton au biotope européen. Quelques enseignements tirés de la conférence...

Le principe de précaution: viser haut

Le voyagiste qui cible des séjours de ski vers l’Europe, l’aéroport de Cointrin, partiellement sur territoire français, et même le restaurant en zone frontalière qui utilise ses fichiers clients pour une campagne de promotion sont bien sûr concernés. Même si votre activité ne se déroule qu’en territoire suisse et qu’avec des Suisses, et que vous ne pensez donc pas être touché par le RGPD, votre serveur se trouve peut-être dans l’UE, ou votre gestionnaire de newsletters: «Concentrez donc vos efforts sur la loi européenne, il faut oublier la LPD, la loi suisse sur la protection des données», conseille l’avocat valaisan Sébastien Fanti. «Ne faites pas le service minimum, protégez votre entreprise en visant le niveau supérieur du RGPD!» Le consensus est là: il faut anticiper les risques. Bon à savoir: le Maroc, Singapour ou la Turquie préparent des lois RGPD-compatibles. Enfin, toute entreprise qui voudrait participer à un appel d’offres public dans l’UE devra évidemment remplir les exigences du RGPD.

Même si votre activité ne se déroule qu’en territoire suisse et qu’avec des Suisses, et que vous ne pensez donc pas être touché par le RGPD, votre serveur se trouve peut-être dans l’UE

Pas un but à atteindre, mais un processus à enclencher

Il n’y a pas de produit miracle, explique Claude Lachat, le Data Protection Officer (DPO) du groupe Ofac, et lui-même professeur en certification. «Il n’est pas possible de se mettre à jour par à-coups voire en une fois puis de ne plus rien faire ensuite. La conformité doit s’entretenir, il faut faire de la veille légale, proactive.» La protection des données doit être un souci constant, faisant l’objet d’évaluations périodiques débouchant sur des adaptations ou des améliorations. Autrement dit: les coûts de la RGPD seront pérennes. Dans le même ordre d’idées: attention aux officines qui promettent la conformité en quelques heures de travail, privilégiez les DPO certifiés.

Une démarche qui engage toute l’entreprise

La mise aux normes RGPD n’est donc absolument pas une simple mise à jour IT supplémentaire, c’est une démarche transversale, qui va devoir faire travailler ensemble l’informatique, le marketing, le commercial, les RH… «C’est un enjeu stratégique» qui engage la direction de l’entreprise, a répété Dan Spahr, pour economiesuisse. Tout commence par une «analyse d’impact relative à la protection des données». Quelles données sont collectées, comment sont-elles transmises, traitées, qui y a accès, quelles sont les données sensibles (marquage des données), peut-on les rendre (portabilité) ou les supprimer: les entreprises doivent répertorier les fichiers, cartographier les processus et les traitements, évaluer les risques, et définir une feuille de route réaliste qui sensibilise les personnels et précise clairement les responsabilités dans l’entreprise. Avec comme mantra les deux principes angulaires du RGPD, le Privacy by Design (être le moins intrusif possible) et le Security by Default (déceler les violations et alerter).

Lire: Mes données sur Internet, ou le consentement prisonnier

Des risques différents selon les entreprises

Consentement positif, droit à l’oubli, portabilité… ce sera désormais aux entreprises elles-mêmes de prouver qu’elles sont en conformité avec le RGPD. Les «petits poissons» ont moins à craindre, rassure le DPO Claude Lachat, les entreprises qui travaillent en B2B (business to business) et non en B2C (business to customer), sans traitement des données régulier, sans décision fondée sur des traitements automatisés, qui comptent moins de 250 personnes (le seuil au-dessous duquel une société peut satisfaire au RGPD sans tenir de registre des activités de traitement, sauf en cas de données sensibles). L’important le 25 mai sera de pouvoir montrer que les risques ont été compris et que des démarches correctrices sont en cours. Les sanctions financières peuvent atteindre 20 millions de francs ou 4% du chiffre d’affaires mondial. Bon à savoir: il existe des produits d’assurance contre le RGPD pour les sociétés qui n’ont pas encore pu se mettre aux normes.

Un label pour se démarquer de la concurrence

Le RGPD, un bagne? «On se fait aider d’un spécialiste en externe pour être parfaitement aux normes, expliquait à la fin de la conférence le directeur de la société de courtage en assurance BCDT Loïc Dubost. Je vois cela comme une force par rapport à la concurrence.»


Pour aller plus loin:

Le test en ligne d’economiesuisse

Les explications de la Fédération des entreprises romandes

Les explications de la CNIL française sur le RGPD


Sébastien Ziegler: «Pour le RGPD, la certification constitue une sorte d’assurance»

Les entreprises, mais aussi les administrations publiques, sont concernées par le nouveau Règlement général sur protection des données (RGPD), adopté par l’Union européenne et qui entrera formellement en vigueur le 25 mai prochain. Pour les aider, le projet de recherche européen H2020 Privacy Flag a créé une certification sur la protection des données nommée EuroPrivacy. Interview de Sébastien Ziegler, coordinateur scientifique au sein de ce projet de recherche.

Le Temps: Que propose cette certification?

Sébastien Ziegler: Elle permet de certifier des entreprises et des entités publiques, mais aussi des produits et des services afin de démontrer le respect des règles européennes de protection des données. La certification couvre tant les obligations européennes (RGPD) que celles du droit fédéral qui continuera à s’appliquer après le 25 mai 2018. Or, il y a des obligations différentes et spécifiques dans les deux cas.

En quoi cette certification est-elle novatrice?

EuroPrivacy offre une évaluation beaucoup plus systématique des risques, avec jusqu’à 650 points de contrôle. Elle couvre aussi les technologies émergentes, telles que le Big Data et l’internet des objets. Elle bénéficie d’un réseau de partenaires et d’experts européens de pointe dans la protection des données et la cybersécurité. Le schéma de certification est supervisé par un conseil international d’experts avec le soutien du European Center for Certification and Privacy au Luxembourg et de la société Archimede Solutions, basée à Genève. Enfin, EuroPrivacy est conforme aux normes ISO pertinentes et peut être facilement combiné avec la certification des systèmes de gestion de la sécurité de l’information (ISO/CEI 27001).

Peut-on imaginer que ce type de certification devienne obligatoire?

Sans doute pas, mais la certification est fortement recommandée par le RGPD, dont le texte fait plus de 70 références à la certification. Les entreprises européennes devront désormais vérifier que les entreprises avec lesquelles elles partagent des données respectent les règles européennes de protection des données. La certification constitue une sorte d’assurance qui va s’imposer dans de nombreuses relations d’affaires pour réduire les risques légaux et financiers. A partir du 25 mai 2018, les tribunaux européens disposeront des bases légales pour infliger des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global d’une entreprise, où qu’elle se trouve. La certification sera aussi un critère de choix non négligeable pour les utilisateurs avec un impact concurrentiel.

Quel est le coût de cette certification?

Comme toute certification, cela variera en fonction de l’objet à certifier. EuroPrivacy a été développé de façon à optimiser les coûts et être accessible aux PME. Des demandes peuvent être directement soumises en ligne sur le site www.europrivacy.org ou via Archimede Solutions à Genève. A noter qu’il y a déjà un fort intérêt pour EuroPrivacy en Suisse, en Europe et au-delà. (Propos recueillis par Anouch Seydtaghia)

Publicité
Publicité

La dernière vidéo economie

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

Candidate au prix SUD de la start-up durable organisé par «Le Temps», la société Oculight est une spin-off de l’EPFL qui propose des aides à la décision dans l’architecture et la construction, aménagement des façades, ouvertures en toitures, choix du mobilier, aménagement des pièces, pour une utilisation intelligente de la lumière naturelle. Interview de sa cofondatrice Marilyne Andersen

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

n/a
© Gabioud Simon (gam)