Tout est sous contrôle avec le RGPD de l'UE ?
Il est en vigueur depuis fin mai, le règlement général européen sur la protection des données (RGPD). Même s'il s'agit du droit de l'UE, cette réglementation concerne tout à fait les entreprises suisses. Comment les PME se sont-elles préparées à cet égard ?
Le RGPD de l'UE a avant tout un objectif : mieux protéger les données personnelles des clients contre les abus et accorder plus de droits aux utilisateurs. Les législateurs de l'UE visent avant tout les très grands "collecteurs de données" comme Google, Amazon, Facebook, etc. Mais toutes les entreprises qui traitent et stockent des données personnelles sous une forme ou une autre sont concernées, et les lois sont implacables dans ce domaine.
Beaucoup d'efforts
Partout, y compris en Suisse, on entend dire que le RGPD de l'UE a surtout entraîné un surcroît de travail. En effet, même les entreprises de la "petite" Suisse ont dû faire face au "Moloch" du RGPD européen, ce qui s'est traduit ces dernières semaines par d'innombrables e-mails demandant de confirmer ou de renouveler des données personnelles. En effet, le nouveau règlement stipule que les données à caractère personnel ne peuvent être enregistrées qu'avec un consentement explicite. Ce sont surtout les entreprises disposant de vastes ensembles de données, y compris celles qui ont été stockées pendant des années mais qui n'ont pratiquement plus été utilisées, qui ont eu plus de travail. Elles ont donc dû demander une nouvelle fois le consentement de tous les destinataires. De nombreux utilisateurs ont saisi l'occasion pour dire définitivement adieu à la base de données de l'expéditeur. Pour les spécialistes du marketing par e-mail, ce re-opt-in était donc une épée à double tranchant : d'un côté, ils couraient le risque de perdre plus ou moins définitivement de nombreux destinataires, mais d'un autre côté, la qualité de la base de données augmentait : celui qui répond positivement au re-opt-in montre clairement qu'il veut continuer à recevoir des informations et donc faire partie du groupe cible. Selon les experts, ce re-opt-in n'aurait toutefois pas été absolument nécessaire : Celui qui a déjà demandé des données par opt-in est déjà du côté de la sécurité selon le RGPD.
Protéger les citoyens de l'UE à l'échelle mondiale
Deux critères sont déterminants pour l'applicabilité du RGPD de l'UE aux entreprises suisses : d'une part le lieu d'établissement, d'autre part le marché cible. Ainsi, si une boutique en ligne établie en Suisse propose ou vend des marchandises à des personnes résidant dans un pays de l'UE, elle entre dans le champ d'application du RGPD. Cela concerne également de nombreuses mesures publicitaires. Le législateur se concentre surtout sur la publicité dite comportementale. Si, par exemple, un exploitant d'hôtel suisse établit des profils de ses clients de l'UE afin de pouvoir leur proposer de nouvelles offres "sur mesure", cela tombe également sous le coup du RGPD "dans la mesure où le profil est établi sur la base d'un comportement dans l'UE", comme l'indique un document d'information du Préposé fédéral à la protection des données et à la transparence (PFPDT). Le RGPD devrait également s'appliquer au cas où l'exploitant d'un site web utilise le webtracking pour obtenir des conclusions sur les préférences de produits ou autres sur la base du comportement de navigation des utilisateurs. Cela signifie que les sites web doivent d'abord demander aux visiteurs s'ils sont d'accord pour utiliser des cookies. Car ce sont eux qui permettent le tracking.
Un nettoyage des données attendu depuis longtemps
Les entreprises que nous avons interrogées semblent avoir fait leurs devoirs. C'était un effort, mais l'effet positif est sans doute le suivant : maintenant "l'ordre règne dans l'écurie" sous la forme d'une base de données interne épurée sans "cadavres de fichiers". Et l'on peut à tout moment informer les clients des données que l'on a enregistrées à leur sujet et l'on est tenu de les effacer sur demande - à moins qu'un droit supérieur ne s'y oppose.
Et que se passe-t-il en cas de non-respect du RGPD de l'UE ? Les menaces de sanctions sont à prendre au sérieux. Mais ceux qui ont toujours traité les données personnelles en toute confiance ne devraient pas avoir grand-chose à craindre de ces menaces de sanctions. Il reste de toute façon à voir quelle sera la jurisprudence effective et si une avalanche de procès se produira. Dès que les premiers jugements seront rendus, on verra si l'on doit réajuster ses propres processus de données et sous quelle forme.
"Mes données m'appartiennent"
Malgré toutes les critiques formulées à l'encontre du RGPD de l'UE - une révision de la loi suisse sur la protection des données est, comme on le sait, également dans le pipeline et devrait encore une fois donner du travail -, il faut retenir ceci : L'utilisation des données en tant que "nouvelle monnaie" nécessite des règles du jeu universelles. Il est en fin de compte juste que chacun d'entre nous, qui diffuse quotidiennement ses données via des canaux en ligne quasiment "à discrétion", puisse toujours avoir un aperçu de ce qui se passe avec ses informations personnelles. C'est comme si l'on consultait régulièrement l'état de son compte bancaire. Et qui ne prend pas soin de son argent ?
Comment les PME suisses se sont penchées sur le RGPD de l'UE
Les PME suisses ont abordé les exigences du RGPD de l'UE de manière différente. Nous en avons parlé avec Gaby Stäheli, co-CEO de GRYPS Offertenportal AG à Rapperswil, qui emploie 17 personnes.
Madame Stäheli, quelle charge de travail (supplémentaire) le RGPD de l'UE vous a-t-il imposée jusqu'à présent de manière générale ?
Gaby Stäheli : Pour la préparation et la mise en œuvre des tâches les plus importantes jusqu'à l'introduction, nous avons eu besoin d'environ 10 à 15 jours-personnes. Pour une entreprise de 17 personnes travaillant à plein régime, cela représente un surcroît de travail considérable. Nous nous attendons à une charge de travail supplémentaire lorsque la Suisse suivra.
Où, par exemple sur vos sites web, avez-vous dû procéder aux adaptations les plus importantes ?
La formulation de la déclaration de confidentialité, qui est désormais beaucoup plus complète, et la conception de nos questionnaires en ligne. La définition des processus internes liés aux futures demandes d'informations et à l'effacement des données a également demandé beaucoup de travail.
Comment garantissez-vous que les clients, par exemple, puissent exercer le "droit à l'oubli" de leurs données ?
Un processus défini en interne est lancé dès qu'un client demande ou veut faire effacer ses données. Mais cela n'est possible que si cela ne va pas à l'encontre du délai légal de conservation des données pour les transactions des clients.
De manière générale, comment assurez-vous la sécurité des données à caractère personnel que vous gérez ?
Tous les systèmes et serveurs sur lesquels se trouvent les données des clients sont cryptés. Ils se trouvent dans des centres de données professionnels dont les normes de sécurité sont garanties élevées. Nos collaborateurs sont en outre formés en conséquence.
Information : Vous trouverez d'autres interviews dans le Édition papier ORGANISATEUR 6-2018.
