Union du Commerce et de l'Industrie du Canton de Berne · Kramgasse 2 · 3001 Berne · Tel. 031 388 87 87 · Fax 031 388 87 88 · info@bern-cci.ch

RGPD 2018 - L’essentiel en bref

Quand et où le RGPD entre-t-il en vigueur ?
Le Règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 au sein de l’Union européenne et en Suisse (voir ci-dessous). Le non-respect de ses dispositions entraînera l’application de sanctions pouvant atteindre 4% du chiffre d’affaires annuel mondial d’un groupe/d’une entreprise

Mon entreprise est-elle concernée ?
•    Si vous offrez des biens ou des services à des personnes se trouvant dans l’UE (p. ex. offres internet adressées à des personnes établies dans l’UE).
•    Si vous travaillez avec des fournisseurs dans l’UE.
•    Si vous traitez, sur mandat, des données à caractère personnel relatives à des personnes qui se trouvent dans l’UE. p. ex. : holding suisse hébergeant sur son serveur les données salariales des collaborateurs de ses filiales dans l’UE.
•    Si vous suivez le comportement de personnes dans l’UE (profilage). p. ex. : site internet d’une entreprise suisse recueillant les cookies de visiteurs établis dans l’UE.

Quelles sont les données concernées ?
Les données à caractère personnel (nom et prénom plus données personnelles telles que téléphone, e-mail, adresse, date de naissance, origine, état civil, immatriculation du véhicule, adresse IP). Elles peuvent être traitées uniquement de manière licite,
à savoir :

•    si le consentement a été donné ;
•    pour l’exécution d’un contrat ou des clarifications précontractuelles ;
•    pour respecter des obligations légales ;
•    pour protéger l’intérêt vital d’une personne physique ;
•    lorsque cela est nécessaire pour l’exercice d’une tache qui relève de l’intérêt public ou de l’exercice de la puissance publique ;
•    pour la sauvegarde d’intérêts légitimes.

Les données personnelles sensibles (origine raciale/ethnique, opinions politiques, convictions religieuses/philosophiques, appartenance syndicale, données génétiques/biométriques/de santé, vie/orientation sexuelle, casier judiciaire) ne doivent faire l’objet d’aucun traitement, sauf :

•    en cas de consentement express ;
•    lorsque cela est nécessaire pour défendre des droits relevant du droit du travail et de la protection sociale ;
•    En cas de protection d’intérêts vitaux, si la personne ne peut donner son consentement ;
•    si le traitement est effectué sur la base de garanties suffisantes d’une organisation d’utilité publique dans le respect d’autres dispositions ;
•    si les données sont rendues publiques par la personne concernée ;
•    s’il est nécessaire de faire valoir des droits devant un tribunal ;
•    si ce traitement est effectué sur la base du droit d’un État membre, d’un intérêt public et d’autres motifs similaires décrits précisément.

Quelles sont les mesures à prendre ?
►   Inventorier, trier et sécuriser les données (papier ou électroniques)
>     Quelles sont les catégories de données exploitées et leur sensibilité, à quelles fins, où sont-elles hébergées, jusqu’à quand, comment ?
>     Le PIA (Privacy Impact Assessment) permet de minimiser les risques futurs et de prévenir les violations de données. Il consiste notamment à identifier la nature des risques encourus pour la vie privée dès la conception d’un nouveau produit ou service ; à déterminer la nature de traitement des données personnelles et sa finalité ; à inventorier les moyens mis en place pour en sécuriser le traitement et en garantir la confidentialité ; à valider les solutions (techniques et organisationnelles) pour minimiser les risques inhérents au traitement.
>     Ces solutions consistent notamment à définir les propriétaires de données (data owner) et les responsables de traitement ; à minimiser les données en les chiffrant et en les anonymisant ; à les sauvegarder ; à gérer leurs violations ; à contrôler les accès ; à gérer les tiers ; à lutter contre les codes malveillants ; à réduire les vulnérabilités des matériels, des logiciels, des réseaux, des documents papier, etc.

►   Mettre à jour les règles internes
>     Instaurer des procédures et pratiques garantissant la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (failles de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.)

►   Mettre à jour les contrats
>     Notamment en insérant des clauses dans les contrats des sous-traitants et des salariés garantissant que ces documents respectent les dispositions légales relatives aux données qui vous sont confiées.

Liens utiles
•   Check-list et Guide de mise en œuvre
•   Préposé fédéral à la protection des données et le RGPD sur le portail PME de la Confédération