Nouvelles règles européennes de protection des données et révision de la loi suisse sur la protection des données: les PME suisses sont concernées
Lors de sa séance du 11 janvier 2018, la Commission des institutions politiques du Conseil national (CIP-N) a décidé, sans opposition, d'entrer en matière sur le projet de révision de la loi suisse sur la protection des données.
La révision de la loi suisse sur la protection des données est, entre autres, liée à l’entrée en vigueur, le 25 mai prochain, du règlement général sur la protection des données de l’UE (RGPD). Ce règlement s’appliquera également aux entreprises implantées hors de l’UE (cf. l’article du 6 décembre 2017). Avec son règlement, l’UE instaure de fait un nouveau standard international en matière de protection des données. Celui-ci s’appliquera en effet au-delà des entreprises entrant directement dans son champ d’application. La CIP-N décidé de diviser le projet suisse en deux volets. Les adaptations urgentes, en raison de l'accord de Schengen, seront débattues en premier. Cette décision ne doit cependant pas faire oublier qu'une révision totale de loi sur la protection des données est nécessaire et qu'elle doit être traitée rapidement.
Des prescriptions suisses trop timides entraîneraient des frais supplémentaires pour les PME suisses
Les PME suisses ont tout intérêt à ce que la loi suisse sur la protection des données se rapproche du RGPD. Il est dans l’intérêt de la Suisse que l’UE considère que notre pays dispose d’une réglementation adéquate dans ce domaine. Si ce n’est pas le cas, il faudrait s’attendre à des complications dans la gestion courante de nos entreprises. En effet, si la Suisse ne met pas en place un niveau de protection des données suffisant par rapport à l’UE, celle-ci la considérera comme un État tiers doté d’une réglementation insuffisante. La protection des données demandée implique des charges pour nos entreprises, cela ne fait pas de doute, mais celles-ci sont inévitables.
Nos partenaires commerciaux européens seront soumis aux nouvelles dispositions et donc contraints de les imposer à leurs clients et à leurs fournisseurs. Des conséquences concrètes au quotidien pourraient être:
- Obstacles opérationnels: Si la réglementation suisse n’est pas adéquate, les dispositions européennes seront imposées contractuellement aux entreprises suisses: les négociations de contrats pourraient devenir pénibles et des entreprises européennes pourraient refuser de faire affaires avec des PME suisses (des vendeurs de logiciels et de services informatiques en nuage européens, par exemple).
- Obstacles techniques: À l’ère de l’économie numérique, les données traversent les frontières. Des obstacles d’ordre technique, qui résultent de niveau de protection différents, freineraient les évolutions en Suisse.
Cela peut même concerner la boulangerie du village
Mis à part les «débordements» opérationnels du RGPD qui s’étend à des entreprises qui ne sont pas directement concernées sous l’angle juridique, une PME numérisée peut tomber dans le champ d’application juridique du RGPD plus vite qu’il n’y paraît. Ainsi, il arrive souvent que les fournisseurs de solutions en nuage pour notre smartphone et les serveurs de messageries électroniques ne se trouvent pas en Suisse. Ne serait-ce que pour envoyer une newsletter, on utilise souvent des prestataires implantés dans l’UE. Il peut arriver que le boulanger du village ou l’exploitant d’une petite boutique en ligne ou de services en ligne entre dans le champ d’application du RGPD.