PME suisses : le RGPD en 4 points

P

Le 10 avril, et pour préparer l’entrée en vigueur du RGPD le 25 mai 2018, la FER Genève proposait une conférence “pratique” pour informer les entreprises, et plus particulièrement les PME des tenants et des aboutissants de ce règlement qui inquiète./i>

1. Le boom des datas

Enrico Viganò (Président du Clusis) le rappelle,les données sont “l’or du 21ème siècle”.

Vitales pour les entreprises, elles constituent une valeur marchande très importante et impliquent des responsabilités accrues. Nicholas Niggli, (DG de la Direction générale du développement économique, de la recherche) note même que ces deux dernières années, nous avons récolté plus de données que dans toute notre histoire passée (au total, 4,4 zettabytes de données soit plus de 4 trillions de gigabytes). Une partie de ces données sont en fait collectées et analysées pour aider les entreprises, les institutions et les autres acteurs à mieux comprendre les comportements (de consommation, mais pas seulement) et ainsi mieux cibler les actions entreprises. En effet, si l’on peut voir le boom des datas comme une intrusion dans la vie privée et que l’on associe souvent son développement à une logique marchande pour vendre mieux, n’oublions pas qu’elle permet aussi à des domaines plus “éthiques” d’améliorer leurs efficacité (Ex.: santé, sport, etc.)

2. Une norme européenne qui concerne aussi la Suisse

Mais alors, pourquoi ce règlement touche le peuple suisse alors qu’il s’agit d’une norme européenne? À cette question, Alexandre Staeger, avocat-stagiaire du Cabinet Lexing de Sion répond simplement : bien que les entreprises ne soient pas “établies” sur un territoire de l’UE, les activités de traitement liées à l’offre de biens ou services dans l’UE restent concernées. Plus encore, les activités de traitement liées au suivi du comportement de personnes au sein de l’UE sont aussi en cause. Jean-Philippe Walter, (préposé fédéral suppléant à la protection des données et à la transparence) rappelle que Genève fût le premier canton à adopter une loi sur la protection des données. Pas étonnant donc que les suisses suivent le mouvement.

 

Définition 

Règlement : s’applique directement dans l’État membre

V.S.

Directive : doit être transposée par des lois au sein des États

3. Pas d’inquiétude !

Souvent alarmiste, le ton employé pour faire état de ce règlement ne doit toutefois pas “faire paniquer” les entreprises. Avant toute chose, posez-vous les bonnes questions. Votre entreprise est-elle concernée? Si oui, que devez-vous faire? Comment procéder et où trouver de l’aide? Nicholas Niggli propose une approche optimiste : le RGPD doit être vu comme une opportunité. Même si les coûts sont élevés, il peut être vu comme un nouveau savoir-faire à obtenir. Et Claude Lachat d’ajouter que le mieux à faire est de suivre la transformation “sans avoir peur des sanctions”, d’apprendre à former les collaborateurs et de procéder par étapes.

4. Bien s’entourer

À l’issue de la conférence, Claude Lachat (DPO &CISO chez OPAC)fournit ces quelques étapes-clés:

  • Analyser la nature des données et la fréquence des traitements
  • Déterminer l’exposition aux risques (menaces, vulnérabilité, enjeux, sous-traitance…)
  • Qui sont les responsables des traitements réels?
  • Choisir une organisation adaptée à votre taille (DPO, SGPD, GISO)
  • Déterminer l’enveloppe budgétaire
  • Former les acteurs
  • Formaliser les relations de sous-traitance et les maîtriser
  • Former et sensibiliser ses collaborateurs
  • Documenter

Alexandre Staeger l’a justement souligné, “beaucoup d’incertitudes et un manque d’anticipation” règnent autour du RGPD. Si l’on évoque de possibles dégâts sur l’image comme le risque le plus grave, il ne faut pas oublier que de nombreuses entreprises ont déjà fait face à ce genre de retombées bien avant la mise en place du RGPD (Facebook tout récemment). Considérons le RGPD comme la suite logique des différentes lois déjà en vigueur et comme une volonté de la part des autorités de rassurer les individus en matière de vie privée.  

Votre anticèche RGPD

Source : Viuz – Se préparer au RGPD sans consultant ni avocat

 

PME, demandez un entretien individuel avec la FER le 07 mai 2018

 

Liens utiles :

Règlement (UE)  2016/679 du parlement européen et du conseil 

Base légale du Préposé fédéral à la protection des données et à la transparence