Home / Articles / Innovation numérique et protection des données selon le RGPD
Legal

Innovation numérique et protection des données selon le RGPD

par Sandrine Barrucand

Quelles sont les principales exigences et comment les entreprises suisses peuvent-elles transformer leur processus d’adaptation ?

Le règlement général sur la protection des données (RGPD) est devenu conforme pour tous le 25 mai 2018. « Tous » comprend de nombreuses entreprises suisses, qui relèvent du champ d’application du RGPD en raison de la configuration de leurs activités commerciales.

Cependant, en particulier parmi les PME suisses, seules quelques-unes ont pris au sérieux les besoins d’adaptation et ont effectué une analyse approfondie de leurs processus internes concernant les données personnelles. Le langage juridique du règlement n’est pas facile à comprendre. Le sujet est complexe et trouver un moyen efficace d’implémenter les changements requis sans créer un monstre (financier et informatique) n’est pas simple.

Cet article vise à aider les entreprises suisses et en particulier les PMEs à comprendre quelles mesures concrètes elles devraient entreprendre pour se conformer aux exigences du RGPD, et à considérer cette nécessité d’ajustement comme une opportunité commerciale pour l’innovation numérique. 

Appel au réveil pour les entreprises suisses

Le RGPD réglemente les données personnelles des citoyens et résidents de l’UE. Elle porte intrinsèquement un effet extraterritorial car elle doit être respectée au niveau mondial par les entreprises traitant ces données, y compris les entreprises suisses. Les banques suisses qui annoncent leurs services de banque privée en ligne pour des prospects dans l’UE, une entreprise suisse de machines qui livre des produits à la succursale européenne d’un groupe chinois ou à une organisation suisse utilisant des outils Web pour suivre les cookies ou les adresses IP des personnes visitant son site Web depuis l’UE pays, tous relèvent du RGPD. Tous sont désormais responsables en vertu du RGPD des données personnelles qu’ils contrôlent et / ou traitent.

Les amendes pour non-conformité sont importantes : elles peuvent s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Par exemple, des amendes ont été annoncées jusqu’à : 50 millions € pour Google, 183 millions £ pour British Airways, 99 millions £ pour Marriott et 2,2 milliards $ pour Facebook, le tout en 2019. L’Europe veut déclarer clairement qu’elle n’acceptera plus de « jouer » avec les données personnelles. En plus de ces amendes, chaque personne concernée se réserve le droit de demander en outre une indemnisation personnelle pour les dommages.

Jusqu’à présent, dans les affaires judiciaires, les amendes les plus élevées étaient infligées pour violation de la vie privée dès la conception ou du consentement explicite (voir les définitions via le lien ci-dessous).

Lors de la définition du montant d’une amende, les autorités de protection des données évaluent non seulement les conséquences d’une violation du RGPD, par exemple d’un piratage informatique, mais également les types de garanties mises en place précédemment, à savoir si le responsable du traitement / le processeur de données « avait fait son travail » : si les données personnelles ou les e-mails étaient cryptés, les serveurs et les systèmes informatiques jusqu’aux programmes de fidélisation (traditionnellement moins ciblés, par opposition aux transactions) sécurisés, si les entreprises avaient effectué des audits de données et identifié la manière dont les données clients sont collectées, traitées, stockées, qui peut y accéder et comment, des employés suffisamment formés, une due diligence informatique appropriée effectuée avant une acquisition, etc. comme nous le verrons.

Pour devenir conforme au RGPD, il faut un changement culturel à l’échelle de l’entreprise et une réingénierie d’importants processus internes. Dans ce contexte, il pourrait être utile aux entreprises suisses de toutes tailles de rechercher des conseils professionnels et de renforcer leurs processus de (cyber) sécurité afin de passer de manière proactive d’une approche manuelle et périodique à une approche continue. 

Cliquez ici pour continuer la lecture de l’article sur SwissQ

Vous découvrirez quatre notions centrales pour mieux comprendre le RGPD, 13 exigences en matière de conformité et en quoi la conformité au RGPD est une opportunité pour l’innovation numérique.

Merci à l’auteur Anne-Liliane Jorand, Déléguée à la protection des données (DPO) certifiée, consultante senior, experte Alp ICT, fondatrice et PDG de DynaMetrics

Scroll up