C’est le cauchemar de l’année pour les entreprises. Le 25 mai prochain, le règlement européen sur la protection des données (RGPD) entrera en vigueur dans l’Union européenne. Il vise ni plus ni moins à redonner le pouvoir aux citoyens de l’UE en matière de données personnelles. Dans les grandes lignes, le RGPD accordera davantage de droits aux particuliers, comme le droit à l’oubli et à la portabilité. En d’autres termes, chaque Européen pourra exiger de connaître quelles entreprises collectent ses données, dans quel cadre et à quelles fins. Il pourra décider de transférer ses informations personnelles à la plateforme ou l’entreprise de son choix. Prenons l’exemple du client d’Amazon qui veut désormais faire ses courses en ligne sur Zalando. Il pourra transférer ses données de l’un à l’autre (portabilité) et exiger qu’Amazon efface toutes ses données (droit à l’oubli).
Amende jusqu’à 4% du chiffre d’affaires
Si le règlement donne le pouvoir aux citoyens, il contraint les entreprises à s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données. Un changement de mentalités et de pratiques dont les entreprises peinent à prendre la mesure. En effet, l’échéance du 25 mai était connue depuis longtemps. Mais à un mois de la date butoir, seule une poignée d’entreprises qui gèrent, collectent et monétisent les données personnelles se sont mises en conformité.
Quant aux autres, elles prennent le risque de se voir infliger une amende qui peut aller jusqu’à 4% de leur chiffre d’affaires annuel mondial de l’exercice précédent si ce montant dépasse 20 millions d’euros. Des sanctions qui ont eu le mérite de réveiller – tardivement – certains chefs d’entreprise. Ne leur jetons pas la pierre. Le RGPD est un texte complexe, sujet à de multiples interprétations. De plus, les autorités chargées de la question ont brillé par leur manque de communication. Du moins en ce qui concerne les sociétés hors de l’UE.
Difficile dans ce contexte de mobiliser les entreprises qui peinent à s’y retrouver. En Suisse particulièrement. Car si le règlement est européen, il concerne aussi les entreprises suisses – les PME comme les multinationales. Mais lesquelles? Pour quels services? Dans quel secteur? Et qu’entend-on par données personnelles? Comment traduire ce changement législatif dans les faits? Quels sont les coûts d’une mise en conformité au règlement européen? Les questions des entreprises suisses s’entrechoquent et participent au flou entourant le RGPD. Pas de panique! Prenons les choses dans l’ordre.
Biens et services vendus dans l’UE
Les critères qui déterminent si votre entreprise est concernée sont «en théorie très simples, souligne Sylvain Métille, avocat lausannois spécialiste de la protection des données, du droit de l’informatique et des technologies. Est-ce que la société exploite un établissement physique dans l’Union européenne? Si ce n’est pas le cas, est-ce qu’elle propose des biens et des services aux Européens?» Ce deuxième critère est sujet à interprétation.
Prenons l’exemple fictif d’un site d’e-commerce neuchâtelois vendant des articles pour enfants. Son portefeuille de clients est situé en Suisse. Si un client belge, allemand ou espagnol passe occasionnellement commande, cela ne contraint pas le site à se conformer au RGPD. «Il faut avoir l’intention de cibler le marché européen, précise Sylvain Métille. Si ce site d’e-commerce propose explicitement de livrer dans les marchés de l’Union européenne, mène des campagnes marketing dans ces pays ou assure le dédouanement et le remboursement de la TVA suisse, il doit alors se mettre en conformité avec le RGPD.»
Ciblage des consommateurs
Faute de chiffres précis, il est pourtant difficile de déterminer le pourcentage d’entreprises helvétiques concernées. Certains organismes l’estiment à 75% – probablement pour inciter les entreprises à se mobiliser. D’autres, à 30%. La réalité se niche peut-être entre les deux. Dans les faits, seuls les multinationales et les grands groupes suisses qui jouissent déjà de succursales dans l’UE ont commencé leur mise en conformité. D’autres entreprises sont beaucoup moins en avance. Il s’agit notamment des sociétés concernées uniquement par l’application extraterritoriale du RGPD.
De quoi s’agit-il? L’application extraterritoriale touche toutes les entreprises suisses sans présence dans l’UE, mais qui traitent – sur sol suisse – des données personnelles des Européens. Mais aussi les entreprises suisses qui proposent de la publicité ciblée sur le marché européen ou encore celles qui utilisent les données européennes à des fins de suivi du comportement de consommation. Un hôtelier du val d’Hérens qui crée des profils de ses clients italiens, suédois ou allemands afin de leur proposer des offres pour d’autres séjours sera concerné par le règlement. De même qu’un exploitant de site web qui recourt au webtracking pour observer le comportement de navigation de ses clients. La raison? Cette activité lui permet de dresser précisément le comportement et les habitudes de consommation des internautes. Jusque-là, les organismes étrangers ont très peu informé les entreprises hors de l’UE sur le processus de mise en conformité. C’est pour pallier ce vide d’informations et rassurer que plusieurs acteurs suisses communiquent – certes tardivement – sur la question.
A l’instar du préposé fédéral à la protection des données et à la transparence qui publie un guide pratique et explicatif sur son site. Les chambres cantonales du commerce et de l’industrie se sont aussi mobilisées à travers des conférences et des guides. De même que la Fédération romande des consommateurs (FRC). Quant à economiesuisse, elle a mis en ligne un questionnaire gratuit au service des entreprises qui seraient encore dans le flou sur leur situation. Au sein d’economiesuisse, Cécile Rivière est responsable de projets pour la concurrence et la réglementation. C’est elle qui suit le dossier RGPD en Suisse romande.
Elle confesse avoir eu peu de retours directs des entreprises: «Mais je constate que les discussions ont tout de même lieu dans des cercles plus sectoriels.» Les débats divergent selon les branches. «Dans la finance et la santé par exemple, il y a la tendance à se conformer au règlement européen même si certaines entreprises dans ces secteurs ne sont pas concernées», souligne Cécile Rivière. La responsable de projets d’economiesuisse table sur une généralisation de cette tendance dans les branches les plus concernées par les données. «Certaines se disent que ce qui est déjà fait n’est plus à faire.»
Révision de la loi suisse en 2019
Car pour l’heure, toutes les entreprises helvétiques qui ne seraient pas concernées par le RGPD peuvent bénéficier de la lenteur législative suisse en matière de protection des données. En l’état actuel des choses, toutes les sociétés traitant des données personnelles en Suisse sont soumises au droit suisse. Ce dernier ne prévoit pas de sanctions, mais formule peu ou prou les mêmes exigences que le RGPD. Le 15 septembre 2017, le Conseil fédéral approuvait la révision de la loi suisse sur la protection des données (LPD) qui date de 1992 pour l’aligner avec le standard européen en été 2018. Mais cette révision a été repoussée à début 2019. Et peut-être au-delà si l’on se base sur les récentes prises de position de la Commission des institutions politiques du Conseil national.
Sylvain Métille ne craint pas trop que ces divergences de réglementation alimentent un tourisme de mauvais élèves. «L’entreprise européenne qui voudrait se réfugier en Suisse parce qu’elle y bénéficie d’une loi moins contraignante devrait couper tous ses liens avec le marché européen. Le risque est donc limité si elle vise le marché européen. Ce sera en revanche une difficulté supplémentaire pour les entreprises suisses tournées vers l’étranger.» Quant aux entreprises suisses qui freineraient des quatre fers pour se conformer, elles font un mauvais calcul. Le message est donc clair: divergence de réglementation ou pas, toutes les entreprises suisses – concernées ou pas par le RGPD – ont meilleur temps de se conformer maintenant. De toute manière, elles devront le faire dès la révision de la LPD.
Le service minimum, si telle est l’option d’un entrepreneur suisse, fait courir de grands risques économiques à sa société. En effet, toutes les entreprises qui voudraient participer à des appels d’offres publics dans l’UE devront se mettre au standard du RGPD. Il y a donc le risque de perdre des marchés et de nuire à la compétitivité économique de la Suisse. C’est d’ailleurs pour des raisons concurrentielles que plusieurs pays du Maghreb, comme le Maroc, mais aussi Singapour ou la Turquie préparent des lois compatibles avec le RGPD.
Un marché unique du numérique
Pour les entreprises suisses concernées, la mise en conformité aux normes RGPD ne revient pas à un simple lifting de leurs conditions générales. La nouvelle réglementation a un coût organisationnel, humain et financier. En effet, chaque entreprise doit passer en revue sa politique de traitement des données et analyser clairement quelles sont les informations collectées, comment elles sont traitées, qui y a accès, si l’entreprise peut les effacer. Pour elle, il s’agit donc de s’assurer que d’un bout à l’autre de la chaîne du traitement des données les nouvelles normes sont respectées. Cette démarche implique naturellement tous les départements de l’entreprise et force la direction générale à revoir ses processus et à engager, le cas échéant, de nouvelles ressources compétentes.
Selon Jean-Philippe Walter, préposé suppléant à la protection des données et à la transparence, le RGPD n’est pas une révolution. «Les entreprises suisses qui, déjà, respectent la loi fédérale ou la réglementation européenne n’ont pas beaucoup de souci à se faire. Elles devront opérer certaines corrections. Par contre, toutes celles qui se sont montrées laxistes par le passé ont de quoi s’inquiéter.»
Malgré tout, l’ensemble des entreprises vont devoir adopter de nouvelles méthodes de travail. «Certaines devront engager des conseillers en protection des données et à la transparence, poursuit Jean-Philippe Walter. C’est un investissement au même titre que pour la sécurité informatique. Il y a les entreprises qui sont prêtes et les autres qui pleurent dès qu’elles sont victimes d’une faille.»
L’Europe fait donc changer la donne pour les entreprises suisses. Et selon Cécile Rivière d’economiesuisse, l’entrée en vigueur du RGPD s’inscrit dans une volonté plus large de Bruxelles de bâtir un marché européen unique sur le numérique. «La fin du roaming, la protection des données… Ce sont autant d’exemples qui expriment cette volonté de l’UE. L’économie numérique ne se réduit pas à la protection des données, analyse-t-elle. Il s’agit de la pointe de l’iceberg d’une stratégie qui vise à rapporter 415 milliards d’euros à l’UE.» A l’avenir, il ne fait donc aucun doute que les entreprises suisses vont devoir se plier à de nouvelles directives si elles veulent rester compétitives sur le marché européen.
Deux exemples dans les données médicales
- Pierre-Mikael Legris, directeur général de Pryv. Les solutions de cette PME, qui a bâti son modèle d’affaires sur les données médicales, répondent déjà aux contraintes du règlement puisqu’elles permettent la fluidité des données dans le respect du consentement des personnes. «Beaucoup d’entreprises nous sollicitent pour des questions multiréglementaires. L’enjeu est avant tout réputationnel. Dans la pratique, le RGPD ne cristallise que des normes qui existent déjà. Certaines entreprises qui paniquent aujourd’hui étaient déjà dans une situation illégale depuis longtemps.»
- Nicolas Durand, directeur général d’Abionic. La jeune pousse vaudoise, spécialisée dans les solutions de diagnostic rapide basées sur les nanotechnologies, affirme être aux normes RGPD avant l’heure. Son directeur explique qu’il a fallu se positionner sur le traitement de ces données très en amont. Nicolas Durand et ses associés décident alors de ne pas commercialiser les données anonymisées qu’ils collectent et gèrent. «Il n’y avait aucune valeur à connaître les identités derrière ces informations. Nos diagnostics ne permettent donc pas de retrouver le praticien, ni le patient.»