Règlement général de l’UE sur la protection des données (RGPD)
Conséquences du RGPD sur les entreprises suisses

Le nouveau règlement général de l’UE sur la protection des données (RGPD) est entré en vigueur fin mai 2018. Il devrait permettre aux citoyens de l’UE de reprendre le contrôle de l’utilisation de leurs données, ce qui a également des conséquences sur les entreprises suisses, même si elles n’ont pas de succursale dans l’UE. Sunrise a condensé les principales informations à ce sujet.

Le règlement général sur la protection des données (RGPD) est entré en vigueur dans toute l’Union européenne (UE) le 25 mai 2018. Il oblige notamment les entreprises, les associations et les institutions à divulguer la manière dont elles collectent, traitent et, le cas échéant, transmettent et utilisent les données. Le noyau dur du règlement est donc de documenter dans un registre comment et dans quel but les données sont collectées et traitées ultérieurement. De plus, les entreprises sont tenues d’informer les clients ou les membres sur l’utilisation de leurs données à caractère personnel en utilisant un langage clair et simple avant de les collecter, et d’effacer celles-ci sans délai sur leur demande. En cas de violation des données, les autorités de surveillance doivent en être immédiatement informées.

Protection des données en Suisse

De nombreuses entreprises suisses sont également concernées. Le règlement de l’UE s’applique aussi, par exemple, lorsqu’une entreprise suisse traite des données à caractère personnel pour le compte d’une entreprise européenne ou utilise des données de personnes résidant dans l’UE. C’est le cas, par exemple, lorsque des boutiques en ligne envoient des produits à des citoyens de l’UE ou lorsque des outils d’analyse suivent le comportement des visiteurs sur un site Web sans anonymiser l’adresse IP du citoyen de l’UE.

Problèmes avec WhatsApp et autres services de messagerie

Depuis fin mai 2018, les entreprises suisses concernées par le nouveau règlement de l’UE doivent, entre autres, fournir des informations sur l’utilisation des données à caractère personnel, obtenir le consentement des clients ou des utilisateurs pour traiter leurs données et établir une liste des activités de traitement. Et c’est là tout le problème pour de nombreuses petites entreprises: elles utilisent des outils, des applications et des services de tiers qui accèdent systématiquement aux données et les traitent, par exemple, sur des serveurs aux États-Unis.

Exemple le plus célèbre: WhatsApp, filiale de Facebook, que les artisans et les mécaniciens utilisent pour se faire rapidement une idée. Le service de messagerie est destiné à un usage privé, et ceux qui l’utilisent à des fins professionnelles prennent un grand risque et agissent en totale contradiction avec le nouveau règlement européen. Et ce, même s’ils utilisent le service à des fins non pas professionnelles mais privées. Si l’application est installée sur un mobile professionnel, toutes les coordonnées dans le carnet d’adresses sont généralement lues. Il faut donc séparer très distinctement son compte privé de son compte professionnel afin de respecter le règlement sur la protection des données.

Donc, si vous voulez être sûr de ne pas violer la protection des données, vous ne devriez pas autoriser vos collaborateurs à installer WhatsApp ou d’autres services de messagerie qui enregistrent des fichiers et des historiques de chat sur des serveurs aux États-Unis sur leur mobile professionnel. La même prudence est recommandée aux collaborateurs lorsqu’ils enregistrent des contacts professionnels sur leur mobile privé.

Vous ne voulez prendre aucun risque? Alors découvrez nos solutions de travail intelligent conformes au règlement   

Bien entendu, nul ne vous impose de renoncer totalement aux services de messagerie et autres outils. En fin de compte, ils combinent des fonctions pratiques telles que la messagerie instantanée, la vidéoconférence, le partage de bureau, la coordination d’équipe ou le partage de documents dans une seule application. Pensez par exemple à Threema Work ou à Microsoft Teams, qui sont sécurisés techniquement par un cryptage de bout en bout et se conforment juridiquement aux lois européennes sur la protection des données.

Il existe également des services encore plus pratiques, entièrement adaptés aux besoins des entreprises suisses et pour lesquels le fournisseur de télécommunications, par exemple Sunrise, assume la responsabilité de l’ensemble du champ d’application du règlement relatif à la protection des données. Sunrise dispose d’une équipe expérimentée de responsables de la protection des données qui connaissent les pièges du nouveau règlement et vérifient la conformité de l’ensemble de vos applications, services et outils. De plus, Sunrise garantit que les données collectées sont hébergées uniquement sur des serveurs en Suisse pour tous ses services.


Vérifier tous les contrats maintenant

En règle générale, nous vous recommandons de vérifier tous vos contrats maintenant afin de comprendre où les données et les applications sont stockées et où les données sont traitées. Il est également conseillé de contraindre le fournisseur de la solution à divulguer tous ses sous-traitants et de dresser la liste des emplacements des serveurs où les données à caractère personnel sont stockées et traitées afin qu’ils puissent être indiqués à tout moment aux personnes concernées. Par ailleurs, la Suisse travaille à l’élaboration d’une loi fédérale sur la protection des données. Les entreprises qui se sont déjà conformées au RGPD devraient gagner un temps considérable lorsque la version suisse sera prête.


Articles supplémentaires