Alter Browser

Se connecter


Bourse d'emploi

Bourse d'emploi

Postes vacants dans les entreprises de transport.

continuer
Newsletter

S'abonner à eVoyage

 

S'abonner à RTE NEWS

 

e-newsletters

Newsletter des tp
eVoyage
TECH NEWS
RTE NEWS
RhB
STI
CJ
BLS
Services > e-newsletters > eVoyage > 2-2018 > Le règlement de l’UE sur la protection des données doit être soigneusement examiné

Le règlement de l’UE sur la protection des données doit être soigneusement examiné

Le droit de la protection des données est actuellement en pleine mutation. Au niveau national, la révision de la loi fédérale sur la protection des données (LPD) est en cours. Et sur le plan européen, les dispositions du nouveau règlement général sur la protection des données (RGPD) ont déjà pris effet le 25 mai 2018. Bien que la Suisse ne soit pas membre de l’UE, le champ d’application du RGPD s’étend à certaines conditions également aux entreprises qui traitent des données personnelles dans notre pays. Pour cette raison, les entreprises ayant leur siège en Suisse, y compris celles de transports publics, ne doivent pas ignorer les effets du nouveau règlement.
 
Une large définition du «traitement»
Les dispositions du RGPD s’appliquent seulement si des données personnelles (c’est-à-dire toutes les informations qui se rapportent à une personne physique identifiée ou identifiable) sont «traitées». Cependant, le droit de l’UE adopte une définition particulièrement large du terme de «traitement», qui englobe notamment la collecte ou la classification de données personnelles, mais aussi leur modification ou leur simple consultation (cf. art. 4, ch. 2 RGPD).
 
Champ d’application géographique
Les «traitements» de données personnelles ne doivent pas automatiquement être évalués à l’aune du nouveau RGPD. L’une des trois conditions suivantes entraîne l’application des prescriptions européennes (art. 3 RGPD):
 

  • L’entreprise qui traite les données personnelles dispose d’une filiale au sein de l’UE.
  • L’entreprise (sans filiale dans l’UE) propose également ses marchandises ou ses prestations de manière ciblée à des clients potentiels au sein de l’UE.
  • L’entreprise (sans filiale dans l’UE) observe le comportement de clients potentiels dans l’UE. Par exemple, l’utilisation par une entreprise de Google Analytics afin d’observer et d’évaluer le comportement des utilisateurs de son site Internet constitue une «observation du comportement»
 
Si aucune de ces conditions n’est remplie, le droit de traiter les données est en principe déterminé par le droit suisse en matière de protection des données, ceci également après le 25 mai 2018.
 
Interdiction avec réserve d’autorisation
Contrairement au droit fédéral en vigueur (LPD), le RGPD de l’UE interdit le traitement de données personnelles; on parle de «principe d’interdiction» (art. 6 RGPD). Cette interdiction n’est cependant pas absolue. Le RGPD prévoit des exceptions et des cas dans lesquels le traitement de données personnelles est conforme à la loi («réserve d’autorisation»), par exemple si la personne concernée donne son consentement au traitement de ses données personnelles. La forme que doit prendre ce consentement pour être juridiquement valable est également indiquée dans le RGPD (à l’art. 7). Une case pré-cochée ne vaut par exemple pas comme consentement.
 
Outre les cas de consentement, le traitement de données personnelles est également autorisé s’il est nécessaire «pour l’exécution d’un contrat», «pour l’exécution d’une obligation légale», «pour la protection d’intérêts vitaux» ou «pour l’exécution d’une tâche d’intérêt public». Enfin, les «intérêts légitimes» d’une entreprise peuvent eux aussi justifier le traitement de données personnelles, mais l’intérêt de la personne concernée à protéger ses données prime ceux de l’entreprise à les traiter.
 
Dans la pratique, il s’agit d’attendre de voir comment les autorités de surveillance agiront pour que les nombreux termes abstraits qui figurent dans le RGPD prennent une forme concrète.
 
De nombreuses obligations pour les entreprises
Les entreprises concernées par le RGPD sont soumises à une multitude d’obligations. Les exigences spécifiques en matière de consentement ont déjà été citées. D’autres obligations importantes existent dans les domaines suivants:
  • Protection des données par la technique (privacy by design)
  • Réglages par défaut favorables à la protection des données (privacy by default)
  • Désignation d’un représentant dans l’UE
  • Registre des activités de traitement
  • Obligation d’annoncer (data breach notification)
  • Analyse d’impact en matière de protection des données
 
Sanctions
Des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente sanctionnent les infractions au RGPD de l’UE. Il n’est pour le moment pas possible d’évaluer si les autorités de surveillance recourront à toute l’étendue des sanctions. Outre les sanctions de l’autorité de surveillance, le RGPD contient également une disposition sur la responsabilité civile pour les cas dans lesquels une personne subirait des dommages dus à une infraction (art. 82 RGPD).
 
Questions spécifiques dans le domaine des transports publics
L’Union des transports publics (UTP) continue de suivre attentivement les développements relatifs à la protection des données afin de conseiller ses membres quant aux spécificités pouvant toucher la branche. L’UTP garde un œil sur l’évolution du droit au niveau européen, mais aussi sur la révision actuelle de la loi fédérale sur la protection des données.
 
Votre entreprise se pose-t-elle des questions qui concernent spécifiquement les transports publics par rapport au RGPD? Envoyez-les à recht@voev.ch. Le nombre et le type de questions reçues détermineront la forme sous laquelle l’UTP soutiendra au mieux ses membres.

Texte du RGPD de l’UE
Portail de la Confédération pour les PME
Notice du Préposé fédéral à la protection des données et à la transparence
Datenschutz self assessment tool (DSAT) pour l’auto-évaluation des entreprises en matière de respect de la protection des données (en allemand)