|
Le droit de la protection des données est actuellement en pleine mutation. Au niveau national, la révision de la loi fédérale sur la protection des données (LPD) est en cours. Et sur le plan européen, les dispositions du nouveau règlement général sur la protection des données (RGPD) ont déjà pris effet le 25 mai 2018. Bien que la Suisse ne soit pas membre de l’UE, le champ d’application du RGPD s’étend à certaines conditions également aux entreprises qui traitent des données personnelles dans notre pays. Pour cette raison, les entreprises ayant leur siège en Suisse, y compris celles de transports publics, ne doivent pas ignorer les effets du nouveau règlement.
Si aucune de ces conditions n’est remplie, le droit de traiter les données est en principe déterminé par le droit suisse en matière de protection des données, ceci également après le 25 mai 2018. Interdiction avec réserve d’autorisation Contrairement au droit fédéral en vigueur (LPD), le RGPD de l’UE interdit le traitement de données personnelles; on parle de «principe d’interdiction» (art. 6 RGPD). Cette interdiction n’est cependant pas absolue. Le RGPD prévoit des exceptions et des cas dans lesquels le traitement de données personnelles est conforme à la loi («réserve d’autorisation»), par exemple si la personne concernée donne son consentement au traitement de ses données personnelles. La forme que doit prendre ce consentement pour être juridiquement valable est également indiquée dans le RGPD (à l’art. 7). Une case pré-cochée ne vaut par exemple pas comme consentement. Outre les cas de consentement, le traitement de données personnelles est également autorisé s’il est nécessaire «pour l’exécution d’un contrat», «pour l’exécution d’une obligation légale», «pour la protection d’intérêts vitaux» ou «pour l’exécution d’une tâche d’intérêt public». Enfin, les «intérêts légitimes» d’une entreprise peuvent eux aussi justifier le traitement de données personnelles, mais l’intérêt de la personne concernée à protéger ses données prime ceux de l’entreprise à les traiter. Dans la pratique, il s’agit d’attendre de voir comment les autorités de surveillance agiront pour que les nombreux termes abstraits qui figurent dans le RGPD prennent une forme concrète. De nombreuses obligations pour les entreprises Les entreprises concernées par le RGPD sont soumises à une multitude d’obligations. Les exigences spécifiques en matière de consentement ont déjà été citées. D’autres obligations importantes existent dans les domaines suivants:
Sanctions Des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente sanctionnent les infractions au RGPD de l’UE. Il n’est pour le moment pas possible d’évaluer si les autorités de surveillance recourront à toute l’étendue des sanctions. Outre les sanctions de l’autorité de surveillance, le RGPD contient également une disposition sur la responsabilité civile pour les cas dans lesquels une personne subirait des dommages dus à une infraction (art. 82 RGPD). Questions spécifiques dans le domaine des transports publics L’Union des transports publics (UTP) continue de suivre attentivement les développements relatifs à la protection des données afin de conseiller ses membres quant aux spécificités pouvant toucher la branche. L’UTP garde un œil sur l’évolution du droit au niveau européen, mais aussi sur la révision actuelle de la loi fédérale sur la protection des données. Votre entreprise se pose-t-elle des questions qui concernent spécifiquement les transports publics par rapport au RGPD? Envoyez-les à recht@voev.ch. Le nombre et le type de questions reçues détermineront la forme sous laquelle l’UTP soutiendra au mieux ses membres. Texte du RGPD de l’UE Portail de la Confédération pour les PME Notice du Préposé fédéral à la protection des données et à la transparence Datenschutz self assessment tool (DSAT) pour l’auto-évaluation des entreprises en matière de respect de la protection des données (en allemand) |