Qu’implique le RGPD pour votre entreprise? – SWISS21

Avec le RGPD, les choses se compliquent un peu pour les annonceurs et entrepreneurs. Que signifie vraiment ce sigle et à quoi doit-on faire attention si on fait des affaires avec l’UE?

datenschutz swiss21 1080x720 1

Il s’agit du nouveau Règlement Général de Protection des Données (RGPD) de l’Union Européenne (UE). Il garantit l’harmonisation à l’échelle de l’UE de la protection des données dans le traitement des données à caractère personnel. Il est valable pour tous les états-membres depuis le 25 mai 2018. Le RGPD renforce les droits de la population européenne en ce qui concerne leurs données; les entreprises doivent gérer celles-ci de manière responsable et éviter les abus.

 

Le RGPD est-il également valable pour les entreprises suisses?

Les entreprises suisses qui offrent leurs produits ou services à des clients européens, et qui stockent et traitent des données personnelles sont soumises aux exigences de la législation européenne sur la protection des données.

Cela se réduit en gros à deux critères fondamentaux. D’une part, il s’agit du champ d’application matériel du RGPD. Art. 2 § 1: Le RGPD «s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.» Pour faire court: dès que les données d’un client potentiel ou existant (données personnelles, photos, etc.) sont enregistrées, le RGPD prend effet.  Important : Cela ne concerne que les données qui sont sauvegardées dans un but commercial.

Le second critère concerne le champ d’application géographique (Art.3 RGPD). Il stipule que le RGDP s’applique aux mandataires ou entrepreneurs ayant leur siège social dans l’UE (critère d’établissement) ou aux transactions ou observations de personnes dans l’UE (critère du marché cible). Peu importe si ces personnes sont citoyennes de l’UE ou y résident. Par « observation des personnes », on comprend principalement le suivi et le ciblage du marketing en ligne.

Qu’en est-il des employés européens travaillant en Suisse?

Le RGPD s’applique pour toutes les personnes qui sont observées ou dont les données sont enregistrées. Étant donné que les employés se trouvent généralement en Suisse lorsqu’ils travaillent avec des entreprises suisses, le RPGD s’applique, par exemple, dans le cas où « l’observation » est effectuée à travers les appareils électroniques lorsque les employés se trouvent dans l’UE.

Quels sont les droits des personnes concernées? Quelles sont les obligations pour les entrepreneurs?

Dès que des données concernant des personnes de l’UE sont enregistrées, un grand catalogue de droits s’applique. Il s’agit notamment du droit d’information, de rectification, d’annulation et d’opposition. Cela signifie, en cas d’enregistrement des données, que les personnes concernées doivent en être informées, que les données peuvent être complétées ou supprimées à tout moment, et que les décisions antérieures concernant le stockage des données peuvent être contestées à tout moment.

Quels sont les domaines d’activité concernés?

Quasiment tous les processus de marketing, de vente ou du CRM sont concernés. Suivant la situation des employés, cela peut également concerner les RH.

Exemples :

Sur internet:
Un site internet doit désormais être crypté par protocole SSL afin d’être considéré comme sécurisé. Bien qu’une mention légale soit obligatoire en Suisse depuis le 1er avril 2012, elle devient désormais encore plus importante. L’exploitant du site web avec nom et adresse doivent être visibles. La déclaration de confidentialité doit indiquer quels outils sont utilisés pour collecter des données en ligne. Enfin, le visiteur d’un site internet doit être informé que des cookies sont utilisés.

Un point important pour les sites internet d’entreprises suisses est que ceux qui n’offrent pas leurs produits et services dans l’UE de manière explicite ne sont pas soumis à la RGPD. La révision 23 du RGPD dit: «Alors que la simple accessibilité du site internet du responsable du traitement, d’un sous-traitant ou d’un intermédiaire dans l’Union, d’une adresse électronique ou d’autres coordonnées, ou l’utilisation d’une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention.»

Marketing direct
Il est désormais d’autant plus important d’utiliser une procédure Opt-in, par exemple pour les newsletters. Cela signifie que le destinataire des news doit les demander explicitement. Avant de remplir un formulaire en ligne, un consentement est également nécessaire pour que les données puissent être enregistrées.

Lors d’évènements:
Cela concerne les photos prises et des vidéos tournées lors d’évènements publics dans l’UE. Jusqu’à présent, la personne photographiée devait donner son consentement – même si les organisateurs ne le demandaient pas très souvent. Avec l’arrivée du RGPD, peu de choses changent dans ce cas de figure. Lors d’évènements publics, les entreprises sont avisées d’informer le public au moment de l’inscription que des photos seront prises et des vidéos seront tournées, et sont tenues d’expliquer comment elles comptent les utiliser. Le RGPD s’applique principalement pour la « sauvegarde des intérêts légitimes ». Cela signifie que les intérêts des organisateurs, comme la promotion de l’évènement, où des photos sont évidemment indispensables, peuvent être considérés comme étant plus importants que de droit fondamental des personnes participant à l’évènement. Six mois après l’entrée en vigueur du RGPD, il était encore difficile de prévoir quelles en sont les répercussions. Pour être sûr, il vaut mieux récolter les consentements avant l’évènement.

Un hôtel recueille les données de ses clients européens:
Le tourisme doit également prendre en compte le RGPD. En principe, lorsqu’un hôtelier suisse recueille les données de ses clients européens en Suisse, le RGPD ne s’applique pas. Mais, s’il traque ses clients en ligne et que leurs comportements sont suivis lorsqu’ils se trouvent dans l’espace européen, le RGPD s’applique. Ici encore, pour être sûr, il vaut mieux obtenir un consentement et informer de manière pro-active, en particulier demander l’autorisation aux clients de pouvoir les contacter à l’avenir, notamment pour des fins publicitaires.

Et en cas de violation du RGPD?

Le décret officiel prévoit toute une série de mesures dissuasives (cf. art. 58 § 2 RGPD) telles que des mises en garde et rappels. En dernier recours, les responsables devront payer des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaire annuel mondial. Actuellement, on ne sait pas encore quel genre de jugements seront rendus et s’il y aura des avocats spécialisés pour poursuivre légalement les entrepreneurs fautifs.

 

Liens utiles: