Nou­velles règles euro­péennes de pro­tec­tion des don­nées et révi­sion de la loi suisse sur la pro­tec­tion des don­nées: les PME suisses sont concer­nées

La révi­sion de la loi suisse sur la pro­tec­tion des don­nées est, entre autres, liée à l’en­trée en vigueur, le 25 mai pro­chain, du règle­ment géné­ral sur la pro­tec­tion des don­nées de l’UE (RGPD). Ce règle­ment s’ap­pli­quera éga­le­ment aux entre­prises implan­tées hors de l’UE (cf. l’article du 6 décembre 2017). Avec son règle­ment, l’UE ins­taure de fait un nou­veau stan­dard inter­na­tio­nal en matière de pro­tec­tion des don­nées. Celui-ci s’ap­pli­quera en effet au-delà des entre­prises entrant direc­te­ment dans son champ d’ap­pli­ca­tion. La CIP-N décidé de divi­ser le pro­jet suisse en deux volets. Les adap­ta­tions urgentes, en rai­son de l'ac­cord de Schen­gen, seront débat­tues en pre­mier. Cette déci­sion ne doit cepen­dant pas faire oublier qu'une révi­sion totale de loi sur la pro­tec­tion des don­nées est néces­saire et qu'elle doit être trai­tée rapi­de­ment. 

Des pres­crip­tions suisses trop timides entraî­ne­raient des frais sup­plé­men­taires pour les PME suisses

Les PME suisses ont tout inté­rêt à ce que la loi suisse sur la pro­tec­tion des don­nées se rap­proche du RGPD. Il est dans l’in­té­rêt de la Suisse que l’UE consi­dère que notre pays dis­pose d’une régle­men­ta­tion adé­quate dans ce domaine. Si ce n’est pas le cas, il fau­drait s’at­tendre à des com­pli­ca­tions dans la ges­tion cou­rante de nos entre­prises. En effet, si la Suisse ne met pas en place un niveau de pro­tec­tion des don­nées suf­fi­sant par rap­port à l’UE, celle-ci la consi­dé­rera comme un État tiers doté d’une régle­men­ta­tion insuf­fi­sante. La pro­tec­tion des don­nées deman­dée implique des charges pour nos entre­prises, cela ne fait pas de doute, mais celles-ci sont inévi­tables.

Nos par­te­naires com­mer­ciaux euro­péens seront sou­mis aux nou­velles dis­po­si­tions et donc contraints de les impo­ser à leurs clients et à leurs four­nis­seurs. Des consé­quences concrètes au quo­ti­dien pour­raient être:

• Obs­tacles opé­ra­tion­nels: Si la régle­men­ta­tion suisse n’est pas adé­quate, les dis­po­si­tions euro­péennes seront impo­sées contrac­tuel­le­ment aux entre­prises suisses: les négo­cia­tions de contrats pour­raient deve­nir pénibles et des entre­prises euro­péennes pour­raient refu­ser de faire affaires avec des PME suisses (des ven­deurs de logi­ciels et de ser­vices infor­ma­tiques en nuage euro­péens, par exemple).
• Obs­tacles tech­niques: À l’ère de l’éco­no­mie numé­rique, les don­nées tra­versent les fron­tières. Des obs­tacles d’ordre tech­nique, qui résultent de niveau de pro­tec­tion dif­fé­rents, frei­ne­raient les évo­lu­tions en Suisse.

Cela peut même concer­ner la bou­lan­ge­rie du vil­lage

Mis à part les «débor­de­ments» opé­ra­tion­nels du RGPD qui s’étend à des entre­prises qui ne sont pas direc­te­ment concer­nées sous l’angle juri­dique, une PME numé­ri­sée peut tom­ber dans le champ d’ap­pli­ca­tion juri­dique du RGPD plus vite qu’il n’y paraît. Ainsi, il arrive sou­vent que les four­nis­seurs de solu­tions en nuage pour notre smart­phone et les ser­veurs de mes­sa­ge­ries élec­tro­niques ne se trouvent pas en Suisse. Ne serait-ce que pour envoyer une news­let­ter, on uti­lise sou­vent des pres­ta­taires implan­tés dans l’UE. Il peut arri­ver que le bou­lan­ger du vil­lage ou l’ex­ploi­tant d’une petite bou­tique en ligne ou de ser­vices en ligne entre dans le champ d’ap­pli­ca­tion du RGPD.