Article Out of the box

Big data, protection des données

Le RGPD et ses conséquences pour les entreprises suisses

 

Le 25 mai prochain entrera en vigueur le règlement général pour la protection des données (RGPD) au sein de l’Union européenne. Objectif : donner aux citoyens plus de contrôle et de visibilité sur le traitement de leurs données personnelles et ce, afin de mieux les protéger. Quel impact pour les entreprises suisses ?

Le RGPD, ce qu'il faut retenir...

Ce règlement s’applique à toutes les données personnelles d’une personne physique quelle que soit sa nationalité ou sa résidence. Cela signifie que toutes les données personnelles d’une personne domiciliée en Suisse traitées dans un pays de l’UE entrent dans le champ d’application du RGPD. Ce dernier oblige le responsable du traitement des données à prévoir des procédures et des moyens pour permettre aux personnes d’exercer leurs droits (cf. ci-dessous).

Quelle applicabilité aux entreprises suisses ?

Le RGPD s’appliquera aux entreprises suisses dès lors qu’elles manipulent des données personnelles provenant de l’UE. C’est le cas des entreprises suisses qui possèdent une succursale européenne ou encore celles dont plusieurs collaborateurs résident en UE. Sont également concernées celles qui traitent des données personnelles de résidents de l’UE pour leur offrir des biens ou des services ou pour établir un suivi de leur comportement. Ainsi, une entreprise suisse qui vend des produits en Europe depuis une boutique en ligne devra appliquer le RGPD. Idem pour une société suisse qui créé des profils clients afin de leur proposer une offre adaptée établie sur la base de leur comportement dans l’UE.

Quelles obligations ?

Le RGPD entend responsabiliser les entreprises. Il concerne tous les acteurs dans l’entreprise et pas uniquement le responsable informatique ou de la sécurité.
Les sociétés devront tenir en interne un registre des traitements des données personnelles dans lequel elles indiqueront la finalité de chaque collecte et le nom d’un responsable. Pour chaque processus de traitement des données, elles devront mener une étude d’impact pour s’assurer qu’elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens. En cas d’infraction, elles s’exposeront à des sanctions lourdes (pouvant aller jusqu’à 4 % du chiffre d’affaires).

Les droits des personnes concernées

Les citoyens pourront demander aux entreprises dont l’activité entre dans le champ du RGPD d’exercer leurs droits :

 

Le droit à l’information : le responsable du traitement doit fournir à la personne toute une série d’informations au moment de la collecte.


Le droit de rectification : la personne a le droit de demander que ses données soient rectifiées ou complétées.
Le droit à la limitation du traitement : lorsque ce droit est demandé, le responsable du traitement ne pourra que stocker les données sans faire d’autres opérations.
Le droit à l’oubli : la personne peut demander l’effacement de ses données dans les meilleurs délais y compris si les données ont été transmises à d’autres entités.

Le droit de ne pas être soumis à une décision individuelle automatisée, tel le profilage, par exemple.

Le droit d’accès : la personne concernée a le droit de savoir si ses données sont traitées ou non.


L’obligation de notification du responsable : la personne doit être informée de toute rectification, effacement ou limitation des données.
Le droit à la portabilité des données : la personne a le droit de récupérer les données qu’elle a fournies.

Le droit d’opposition : la personne peut s’opposer à tout moment à un traitement des données. Elle peut également s’opposer à ce que ses données soient traitées à des fins de marketing direct.
Le droit à la communication en cas de violation de données à caractère personnel, en cas de cyber attaque, par exemple.
 

Les 6 grands principes du RGPD

  1. La transparence envers la personne concernée
  2. La limitation des finalités de la collecte des données. Ces finalités doivent être explicites et légitimes
  3. La minimisation de la quantité de données collectées
  4. La rectification et la mise à jour de ces données
  5. La limitation du temps de conservation des données (au regard des finalités)
  6. La sécurisation des données

Les 6 étapes de mise en place du RGPD

  1. Désigner un pilote
  2. Cartographier le traitement de données personnelles
  3. Prioriser les actions à mener
  4. Gérer les risques identifiés
  5. Organiser les processus internes
  6. Documenter la conformité
 

Sources :

  • Confédération suisse – Préposé fédéral à la protection des données et à la transparence
  • neoledge.com « Bien se préparer au RGPD pour en faire un accélérateur de croissance ».
  • cnil.fr

Chez Swiss Risk & Care

La sécurisation des données de nos clients est une priorité absolue. Ces données sont traitées avec la plus grande confidentialité et ne sont pas vendues à des tiers. Nous sommes en train d’adapter nos procédures pour nous conformer au RGPD.

Par ailleurs, notre équipe Risques Spéciaux se tient à votre disposition pour l’étude et la mise en place d’une garantie cyber.

Sophie Di Meglio +41 58 178 85 38

Etienne Verret + 41 58  178 85 19

Nos Experts

Sophie Di Meglio
Directrice Risques Spéciaux
Etienne Verret, Special Risk Expert
Etienne Verret
Expert Risques Spéciaux
Article publié en février 2018

Articles associés

  • Assurance

    Cyberattaques

    Les technologies numériques ont engendré l’apparition de nouveaux dangers et de garanties d’assurance spécifiques. Une réflexion sur l’opportunité d’un transfert de risque auprès des assureurs est à l’ordre du jour.
    En savoir plus

Services associés