Le 25 mai 2018 entretra en application le Règlement Général sur la Protection des Données (RGPD). Il impactera toutes les entreprises opérant du traitement de données à caractère personnel sur des résidents européens.

A l’aube de cette échéance, beaucoup de fausses informations circulent au sein des entreprises suisse. L’objectif de ce blog est d’apporter quelque lumière sur les questions qui se posent. Pour ce faire, nous avons demandé à Me Metille, avocat spécialisé en protection des données de répondre aux questions en lien avec le RGPD susceptibles d’être posées par une entreprise suisse.

1. Q. Est-ce qu’un sous-traitant d’une entreprise soumise au RGPD est obligatoirement soumis au RGPD, ceci en lien avec la chaîne de solidarité entre le responsable du traitement et ses fournisseurs ?
A. > Certains spécialistes considèrent que le sous-traitant est soumis, mais la plupart retiennent que le sous-traitant n’est pas soumis du seul fait qu’il est sous-traitant. En revanche, le sous-traitant qui vise de manière intentionnelle des clients européens sera soumis. Dans tous les cas le sous-traitant aura des obligations liées au RGPD, notamment celles de l’article 28.

2. Q. Est-ce qu’une entreprise suisse qui emploie des personnes dans l’Union Européenne est systématiquement soumise au RGPD ?
A. > Non, une entreprise n’est pas soumise au RGPD sous prétexte qu’elle emploie des ressortissants de l’union européenne.

3. Q. Est-ce qu’une entreprise suisse qui emploie des personnes dans l’Union Européenne est soumise au RGPD si ses employés ont une activité commerciale dans l’Union Européenne ?
A. > Cela dépend de plusieurs facteurs tel que le lieu d’émission des factures, le lieu depuis lequel est initié l’activité ou encore une volonté de développer une activité en Europe, mais il y a un risque que les personnes employés soient qualifiées d’établissement et que ‘entreprise suisse soit assimilée à une entreprise présente dans l’Union Européenne.

4. Q. En tant que sous-traitant, est-ce qu’il y a une obligation de conseil par rapport aux données qui sont traitées ?
A > Le sous-traitant doit principalement s’assurer de la sécurité des données traitées et du respect du contrat. Si le sous-traitant à connaissance d’un élément qui peut potentiellement mettre en péril la sécurité des données il se doit de l’annoncer. (ex. Connexion VPN non sécurisée permettant d’accéder à des données sensibles). Dans certains cas, il sera de son devoir de refuser d’exécuter les tâches qui lui sont mandatées (ex. faire un export de données sensibles non crypté et l’envoyer à un destinataire hors de l’Union Européenne) La responsable de traitement est celui qui a le plus de responsabilités et qui doit s’assurer que le traitement est licite.

5. Q. Est-ce que le droit à l’effacement ou droit à l’oubli spécifié dans l’article 17 de la RGPD est contradictoire avec des articles de loi nécessitant de conserver des données pour une durée déterminée?
A. > Si une loi suisse indique qu’il est nécessaire de conserver des informations pour une durée déterminée c’est cette loi qui prévaut.

6. Q. Comment concilier droit à l’oubli et politique de sauvegarde de données ?
A. > La sauvegarde ne doit pas être utilisée dans un autre but, et en particulier pas pour retrouver des données que l’on aurait pas le droit de conserver. Il faut prendre les mesures nécessaires afin que d’une part seules les personnes autorisées puissent accéder aux médias de sauvegarde et que d’autre part en cas de restauration d’un jeu de sauvegarde seule les données pouvant l’être soient exploitées (on retirera des données privées, des données qui ont été effacées du support original après la sauvegarde ou que le droit à l’oubli implique de ne pas conserver.)

7. Q. Combien de temps peut-on conserver des données personnelles ?
A. > Il ne faut pas les conserver  plus longtemps que le temps nécessaire à atteindre le but visé au moment de leur collecte. On peut néanmoins ajouter une marge de sécurité raisonnable. Un délai de quelques mois peut être considéré comme une marge de sécurité raisonnable

8. Q. Peut-on conserver ad vitam aeternam la postulation d’un employé ?
A. > Non, si le candidat n’est pas retenu, il faut retourner ou détruire son dossier de candidature. Une conservation durant 3-4 mois, pour pouvoir se justifier en cas de reproches liés au non-engagment, est admise.
Si on veut conserver le dossier en vue d’un autre poste, il faut explicite du candidat (et dans ce cas on se limitera à 2-3 ans).

9. Q. Quels moyens techniques peuvent participer concrètement à la protection des données ?
A. > Logiciel d’encryption, de disponibilité et d’intégrité des données. Tous ce qui permet de retracer ce qui a été fait (contrôle d’accès, log, documentation, hardening, etc..)

10. Q. Est-ce que les sanctions liées au RGPD s’appliquent uniquement en cas de faille de sécurité ou de vol de données ?
A. > Les sanctions s’appliquent en cas de violation des règles du RGPD et donc pas uniquement en cas de faille de sécurité. Il pourrait même y avoir une double sanction en cas de faille de sécurité si l’entreprise n’annonce pas une faille. Dans un premier temps l’entreprise soumise au RGPD pourrait être sanctionnée pour n’avoir pas assuré la sécurité des données et dans un deuxième temps car l’entreprise qui a subi un vol de données ne l’a pas annoncé. Même sans se faire voler les données, elle pourrait déjà être amendée pour ne pas avoir pris des mesures élémentaires visant à assurer la sécurité.

11. Q. Quel pays de l’Union Européenne va appliquer les sanctions sur le territoire suisse ?
A. > Vraisemblablement chaque autorité nationale d’un pays de l’Union européenne ou des résidents sont concernés. Il n’est pas certain que les actes d’enquêtes et la sanction soient valablement reconnus par un juge suisse, ce qui rendrait l’encaissement difficile.

12. Q. Est-ce qu’il y a des assurances pour couvrir les risques liés au RGPD ?
A. > Oui il existe des produits pour couvrir certains risques mais on trouve de tout et certains produits sont fantaisistes. Il est important de distinguer ce qui est couvert de ce qui ne l’est pas, les conditions d’exclusion, le franchises et les limites de couverture.

13. Q. Est-ce qu’une entreprise soumise au RGPD à l’obligation d’informer un sous-traitant qu’il travaille sur des données personnelles ?
A.> L’entreprise soumise au RGPD doit non seulement indiquer à son sous-traitant qu’il travaille sur des données personnelles, mais en plus lui indiquer précisément ce qu’il doit faire.

14. Q. Faut-il avoir un DPO externe ou interne ?
>A. Le DPO est exigé dans des cas limités (autorité publique, suivi systématique à grande échelles, données sensibles). Il peut être interne ou externe.
Indépendamment de l’obligation légale, l’important est que le DPO dispose d’une bonne connaissance de l’entreprise et soit disponible pour les employés ou chefs de projets. Si le DPO n’a pas les connaissances juridiques ou techniques, il pourra demander de l’aide extérieure, mais si il ne connaît pas bien l’entreprise, il aura de la peine à se faire aider sur les aspects métiers.
>A. Le rôle de DPO peut être assumé par plusieurs personnes (un comité) mais il faut que les responsabilités soient clairement définies au préalable et qu’il y ait un seul point de contact externe.

15. Q. Quel lien doit-il y avoir entre le DPO et la Direction ?
>A. Le DPO doit faire rapport au plus haut niveau de la Direction. Il exerce ses tâches de manière indépendante et ne reçoit pas d’instruction. Il peut aussi assumer d’autres tâches et être rattachés administrativement à un service et pas directement à la Direction.

16. Q. Existe-t-il un/des liens entre GDPR et ISO 27000 ?
A. > Les thèmes tel que Identification des traitements, audit, data maping, contrôle d’accès et documentation sont très semblables.

Vous trouverez d’autres informations en lien avec le RGPD sur le blog de Me Metille à l’adresse suivante : https://smetille.ch/2017/12/14/la-suisse-et-le-rgpd/ ou encore dans l’article du temps, Le RGPD, la révolution du consentement, daté du 12 février 2018.

En espérant que ce blog ait pu répondre à certaines de vos questions.