«Nous sommes déjà prêts pour le RGPD et vous?», «Ne passez pas à côté du RGPD!», «Attention aux sanctions du RGPD!» Si vous êtes un patron de PME un peu largué par les nouveaux standards de l’UE en matière de protection des données (RGPD), vous avez sûrement pris peur en consultant votre e-mail ces dernières semaines. L’entrée en vigueur, le 25 mai dernier, de la réglementation européenne sur les données personnelles, donne en effet lieu à un intense démarchage électronique promettant monts et merveilles aux sociétés crédules. Mais surtout, une mise en conformité par rapport aux nouveaux standards qui s’avérera inutile.
A l’origine de ces mailings anxiogènes, on trouve des agences de web marketing ou de communication – essentiellement françaises – en mal de clients qui brandissent le spectre des sanctions (de l’amende en l’occurrence) en cas de non-conformité au RGPD pour vous faire signer un accompagnement. Abstenez-vous, cela vous permettra d’économiser beaucoup d’argent! Depuis le début de l’année, les préposés cantonaux à la protection des données, les fédérations d’entreprises et les avocats spécialisés en droit des médias et des nouvelles technologies, voient fleurir ces sollicitations abusives. Surtout les plaintes de PME qui prennent conscience d’avoir perdu des dizaines de milliers de francs dans des certifications «RGPD-compatible» inutiles.
Le spectre des sanctions
Petit retour arrière: le 25 mai dernier, le règlement européen sur la protection des données (RGPD) est entré en vigueur dans l’Union. Celui-ci vise ni plus ni moins à redonner le pouvoir aux citoyens de l’UE en matière de données personnelles. Dans les grandes lignes, la RGPD accorde davantage de droits aux particuliers comme le droit à l’oubli et à la portabilité. En d’autres termes, chaque Européen pourra exiger de connaître quelles entreprises collectent ses données, dans quel cadre et à quelles fins. Il pourra décider de transférer ses informations personnelles à la plateforme ou à l’entreprise de son choix.
Si ce règlement donne le pouvoir aux citoyens, il contraint les entreprises à s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données. Un changement de mentalité et de pratiques dont les entreprises peinent à prendre la mesure (lire notre édition de mai). Toutes celles qui ne seraient pas conformes aux nouveaux standards prennent le risque de se voir infliger une amende qui peut aller jusqu’à 4% de leur chiffre d’affaires annuel mondial de l’exercice précédent, si ce montant dépasse 20 millions d’euros.
Se méfier si l’on vous promet une conformité après quelques séances PowerPoint!
Le spectre de ces sanctions a eu le mérite de réveiller certaines entreprises. Il a surtout donné du grain à moudre à des sociétés peu scrupuleuses pour vendre de nouveaux services: une mise en conformité. Elles capitalisent également sur le flou entourant la réglementation. Car la RGPD est un texte européen complexe, sujet à de multiples interprétations et qui concerne aussi les entreprises suisses.
L’échéance du 25 mai était connue depuis longtemps, mais les autorités chargées de la question ont brillé par leur manque de communication. Du moins, en ce qui concerne les sociétés hors de l’UE. Mal informées, face à un texte complexe et à la peur des sanctions, beaucoup d’entreprises ont fait confiance à ces marchands de bonheur.
Processus complexe
L’avocat Nicolas Capt est un expert en droit des médias et des technologies de l’information au barreau de Genève et de Paris. Depuis 2012, il est à la tête de son étude qu’il a cofondée avec Nicolas Wyss. Comme beaucoup d’experts en Suisse romande, il reçoit les doléances des PME bernées. «Face au RGPD, les entreprises suisses sont livrées à elle-même. Elles ne savent pas nécessairement vers qui se tourner pour un accompagnement vers une mise en conformité au règlement, atteste l’avocat. Pourtant, les fédérations d’entreprises et les préposés cantonaux et fédéraux à la protection des données et à la transparence ont fait un gros travail d’explication et de sensibilisation.» A l’instar de la Fédération des entreprises romandes (FER) et d’Economiesuisse.
La multiplication des sollicitations frauduleuses vient brouiller ce travail d’information. «Une conformité au RGPD est un processus assez complexe et dynamique qui s’envisage dans le temps, insiste Nicolas Capt. Elle exige la mise en place de compétences techniques, juridiques, organisationnelles et humaines. C’est un changement de paradigme pour l’entreprise qui requiert un effort continu. Il est donc très douteux que des entreprises frauduleuses promettent une mise en conformité à l’issue de quelques séances PowerPoint. Cela ne se règle pas en deux semaines.»
L’avocat genevois n’est pas surpris que certaines PME tombent dans le panneau: «Face à un texte difficile, c’est très compliqué pour une entreprise de juger si l’accompagnement sera bon. Elles font confiance, paient, puis se rendent compte de l’arnaque.»
En France, la Commission nationale de l’informatique et des libertés (CNIL) – l’équivalent du Préposé fédéral à la protection des données et à la transparence – a publié des avertissements en ligne. En Suisse, Nicolas Capt conseille aux PME de ne pas succomber aux premières sollicitations: «Avant de signer quoi que ce soit, une entreprise suisse doit d’abord se demander si elle est concernée par le nouveau règlement.»
Les critères sont en théorie très simples. Pour l’entreprise, il s’agit de savoir si elle exploite un établissement physique dans l’Union européenne. Si ce n’est pas le cas, est-ce qu’elle propose des biens et des services aux Européens?
Violation directe de la RGPD
Ce dernier critère est le plus complexe. Dans la pratique, l’application extraterritoriale au RGPD touche toutes les entreprises suisses sans présence dans l’UE, mais qui traitent – sur sol suisse – des données personnelles des Européens. Les entreprises suisses qui proposent de la publicité ciblée sur le marché européen ou encore celles qui utilisent les données européennes à des fins de suivi du comportement de consommation sont également concernées.
Ces critères sont sujets à interprétation. D’où l’importance pour la PME de frapper à la bonne porte pour se faire conseiller et accompagner. C’est peut-être la meilleure solution pour casser ce marché frauduleux. «En sollicitant commercialement par e-mail des clients en Suisse, ces agences de web marketing françaises sont en violation directe avec le RGPD. C’est assez marrant, car c’est exactement ce qu’on ne veut pas.»