La RGPD : quelle application en Suisse ? Réponses et conseils méthodologiques

Chez ALTEA, nous collaborons depuis quelques mois avec Alexis Kiefer sur ce sujet dont nous verrons qu’il impacte finalement également les entreprises suisses. Alexis Kiefer est le fondateur de la société OPTYMA qui s’est spécialisée dans l’accompagnement des entreprises pour la mise en place de dispositifs de protection de données. Alexis a développé cette compétence sur ces dix dernières années durant lesquelles il a travaillé sur des sujets de gestion des risques et de gouvernance des données en entreprise.

LA RGPD EST UN RÈGLEMENT EUROPÉEN, EN QUOI LES ENTREPRISES SUISSES SONT-ELLES IMPACTÉES?

Depuis sa mise en application le 25 mai 2018 en Europe, les sociétés et organismes extraterritoriaux peuvent être concernés par ce règlement dans trois cas précis :

• La société commercialise des biens ou des services pour une clientèle européenne. Ce cas de figure peut aussi s’appliquer à une société qui proposerait des services à des citoyens européens ne donnant pas lieu nécessairement à des transactions. Par exemple, une société suisse qui affiche ses prix en euros peut être considérée comme rentrant dans le périmètre.
• La société est amenée à traiter des données personnelles de citoyens européens pour le compte de sociétés européennes. Ce pourrait être le cas d’une société comptable ou financière, d’une société de logiciel de type SaaS, d’un organisme d’enquêtes.
• La société effectue des traitements liés au suivi du comportement de citoyens européens. Le profilage est notamment utilisé pour effectuer du ciblage marketing.

Les entreprises suisses traitant exclusivement un marché local ne sont donc normalement pas concernées par le règlement GDPR.

En revanche, la Suisse, dans le cadre de ses accords européens, a mis en place un projet de mise à jour de la loi sur la protection des données, à l’image des dispositions de la GDPR. Le projet de loi a été rédigé mais sa validation n’est pas pour le moment programmée. Si ce projet avance, à terme, l’ensemble des entreprises et organisations suisses seront alors concernées.

Cela signifie qu’une entreprise suisse, quelle que soit sont activité, doit se préparer à mettre en place un système de protection des données, afin de respecter la loi Suisse et/ou la RGPD.

LA DATE BIEN CONNUE DU 25 MAI 2018 EST PASSÉE. QUE DOIT FAIRE UNE ENTREPRISE QUI NE SE SERAIT PAS PRÉOCCUPÉE DE CE SUJET POUR LE MOMENT ?

Pour une entreprise qui ne se serait pas jusqu’à maintenant intéressée au sujet de la protection des données personnelles, la première chose à faire est une évaluation en 4 étapes :

• Quelles sont les données personnelles traitées par l’entreprise? Il s’agit ici d’identifier les données associées à un client, un patient, un prospect, un candidat, un salarié, puis d’inventorier les données détenues : un nom, un prénom, une adresse, une date de naissance etc.

• Quelles sont les personnes concernées par ces informations? Cette étape est importante car pour chaque type de personne concernée, l’on pourrait avoir des prises en compte et des solutions différentes.

• Les données en question sont elles sensibles au titre de la GDPR ? Une donnée sensible pour le règlement européen serait par exemple liée à des notions de santé ou alors rattachée à des personnes mineures. Ainsi les coordonnées d’un mineur pourraient être considérées sensibles au titre de la GDPR mais pas au niveau de l’entreprise. A l’inverse, le salaire d’un employé sera toujours sensible pour l’entreprise mais non impacté par la RGPD.

• Quels sont les traitements appliqués à ces données? Une fois que l’inventaire des données et le lien avec les personnes concernées a permis de définir le niveau de sensibilité, il convient d’identifier les type de traitement sur ces données : comment les données sont collectées ? Comment sont-elles mises à jour ? Quel est le dispositif de stockage et de sauvegarde ?

UNE FOIS CE TRAVAIL D’INVENTAIRE RÉALISÉ, QUELLES SONT LES DISPOSITIONS À METTRE EN PLACE ?

L’inventaire documenté va démontrer que l’on s’est posé les bonnes questions. Une première analyse de risques doit être alors réalisée. Par exemple, si l’entreprise dispose d’une base de candidats significative, avec des données personnelles, une attention particulière doit être portée sur les moyens de protection de ces informations.

Le règlement impose, dans certains cas, de faire une analyse d’impact (ou DPIA) ciblée sur des données considérées à risque. Le volume des données concernées entre en ligne de compte dans la nature des dispositions à mettre en œuvre.

COMMENT INTERVIENT OPTYMA DANS CE CONTEXTE ?

Le rôle d’OPTYMA est d’accompagner les clients en proposant une démarche dite en entonnoir permettant d’identifier étape par étape les dispositions à mettre en œuvre. Le but est de mettre en place un plan d’actions ciblées sur le strict périmètre nécessaire et pouvoir démontrer que le dispositif de protection des données personnelles est pertinent. Cette approche évite de déclencher des actions sur des données qui ne seraient pas concernées.

OPTYMA travaille en collaboration avec ALTEA qui est justement en mesure de mettre en place les dispositifs de protection des données personnelles en appliquant les technologies et services ad hoc.

COMMENT S’APPLIQUE LA GDPR DANS LE CAS D’UNE ENTREPRISE AYANT CHOISI D’EXTERNALISER SON SYSTÈME D’INFORMATION ET LA GESTION DES DONNÉES ASSOCIÉES ?

Dans tous les cas la responsabilité ultime de protection des données personnelles incombe à l’entreprise. En revanche le prestataire d’hébergement, du fait qu’il traite les données, porte une partie des responsabilités. Cette entreprise doit donc mettre en place et pouvoir justifier de dispositifs de protection des données personnelles identifiées comme sensibles.

Lorsque l’entreprise utilise les services d’acteurs tels que AZURE elle doit également en premier lieu s’assurer de sa conformité GDPR. Le simple fait que Microsoft apporte des garanties solides en matière de protection des données n’exonère pas l’entreprise de sa responsabilité. Celle-ci devra notamment pouvoir justifier la façon dont les données sensibles sont collectées ou la nature des traitements appliqués.

COMMENT UNE ENTREPRISE PEUT-ELLE TIRER PARTIE DE CETTE NOUVELLE RÉGLEMENTATION PERÇUE LE PLUS SOUVENT COMME UN VÉRITABLE FARDEAU?

Effectivement, de premier abord, la réglementation peut apparaitre comme une contrainte. Notre approche, chez OPTYMA, est d’aider l’entreprise à transformer ces contraintes en opportunités. Plusieurs pistes sont alors explorées :

• Valoriser les données : la donnée est un actif clé de l’entreprise. En transformant par exemple des données personnelles issues des ventes et en anonymisant les résultats, les données peuvent être alors partagées avec dans l’entreprise ou avec des tiers sous forme de statistiques sans qu’elles soient considérées comme données personnelles au sens de la RGPD (données anonymisées).
• Renforcer le lien avec ses clients : demander un consentement par exemple permet de démontrer au client que l’entreprise respecte la RGPD en protégeant les données de ses clients, et donc de renforcer ce lien de confiance qui devient un réel facteur différenciateur.
• Mettre le client au centre de son activité commerciale : la RGPD replace le client au centre des interactions, lui permettant d’effectuer des demandes d’accès ou de modification des données. C’est donc aussi l’opportunité d’étendre les services proposés au client, renforçant là encore le lien privilégié entre le client et l’entreprise.