Un nouveau Règlement général sur la protection des données (RGPD) entrera en vigueur dans l’Union européenne à partir du 25 mai 2018. Celui-ci s’appliquera à tous responsables (entreprises, sous-traitant compris) du traitement de données personnelles établis à l’intérieur de l’UE mais également aux responsables du traitement de données personnelles établis en dehors de l’UE et qui offrent des biens et des services à l’intérieur de l’UE, si les données concernent des personnes établies dans l’UE. On estime que 80% des entreprises suisses sont concernées par l’application extraterritoriale de ce règlement. Les violations des prescriptions du RGPD peuvent faire l’objet de sanctions allant jusqu'à 4 % du chiffre d'affaires annuel mondial total ou 20 millions d’euros.

Le groupe de pratique « Digital, Data Protection & E-Commerce » de Meyerlustenberger Lachenal, avec le soutien de son centre d’expertise à Bruxelles, est à la disposition des entreprises suisses pour les assister dans leur mise en conformité aux normes européennes en la matière.

Les points suivant mettent en évidence les principales modifications du droit européen de la protection des données:

1. Nouveau principe de responsabilité

Les responsables du traitement de données personnelles ont l’obligation mettre en œuvre des mesures techniques et organisationnelles appropriées ainsi que des politiques de protection des données afin de démontrer que le traitement est effectué conformément au RGPD.

Ces mesures peuvent inclure en pratique: l’adhésion à des codes de conduite (élaborés par les Etats membres de l’Union européenne, les autorités de contrôle, le Comité européen de la protection des données ou la Commission européenne) ou la mise en œuvre d’un mécanisme de certification en matière de protection des données.

2. Délégué à la protection des données (DPD)

Dans certaines circonstances, les responsables du traitement de données personnelles doivent désigner un DPD, lequel doit répondre d’un certain nombre d’obligations et satisfaire à diverses conditions personnelles et professionnelles.

3. Droits individuels

Le RGPD précise et amplifie les obligations des responsables du traitement de données personnelles:

• Droit d'accès et droit de rectification : la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées, où elles sont stockées et pour quelles finalités ainsi que le droit d’obtenir une copie des données personnelles sous forme électronique. Si la personne concernée découvre une erreur dans le traitement de ses données, elle peut en demander la rectification.

• Droit à l'effacement ou «droit à l'oubli» : ce droit nouveau accorde à la personne concernée le droit de requérir l’effacement de ces données personnelles pour divers motifs.

• Droit à la limitation du traitement : la personne concernée peut demander la limitation du traitement relatif à ses données personnelles, auquel cas le responsable du traitement des données ne peuvent que conserver celles-ci.

• Droit à la portabilité des données : la personne concernée a le droit de demander au responsable du traitement des données une copie des données qui font l'objet d'un traitement automatisé et qui permet à la personne concernée de transmettre ces données à un autre responsable du traitement des données.

4. Renforcement du principe du consentement

Le consentement doit être donné par la personne concernée de manière explicite et aisément accessible. De plus, les personnes concernées peuvent retirer leur consentement en tout temps.

5. Notification obligatoire en cas de violation

Un responsable du traitement de données personnelles devra notifier aux autorités de contrôle dans les 72 heures au plus tard un cas de violation, à moins qu'il ne soit peu probable que la violation en question n’engendre un risque pour les droits des personnes concernées. Les responsables du traitement de données qui ne sont pas établis dans l'UE doivent traiter avec les autorités de contrôle de chaque Etat membre dans lequel ils sont actifs à travers leurs représentants locaux.

6. Transfert international de données prohibé

Tout transfert de données vers un pays qui ne fait pas partie de l'Espace économique européen (EEE) est prohibé, à moins que le destinataire des données ne fasse l’objet d’un niveau adéquat de protection dans la juridiction où il est établi. Le RGPD maintient les mécanismes de transferts internationaux existants et prévoit des mécanismes additionnels incluant codes de conduite et programmes de certification.

7. Mécanisme de guichet unique intégré

L'autorité de contrôle située dans la juridiction des principaux établissements du responsable du traitement des données à l'intérieur de l'UE sera l'autorité de contrôle "chef de file".

Les responsables de traitement de données qui n'ont pas d'établissement à l'intérieur de l'UE devront traiter avec les autorités de contrôle dans chaque Etat membre dans lequel ils sont actifs, à travers leurs représentants locaux.

Des mécanismes spécifiques s’appliquent lorsqu’un sous-traitant est impliqué.