• 20180528 RGPD protection des données.jpg

La protection des données et le monde du vin suisse

Recherche
25-05-2018
Jean-François Genoud

Le 25 mai 2018 le RGPD (Règlement sur la protection des données en Europe) entre en application. Ce règlement était entré en vigueur le 24 mai 2016 et concerne la collecte et l’utilisation de données personnelles notamment à des fins promotionnelles et commerciales. Il n’y a donc pas de délai de grâce, étant donné qu’un délai de deux ans a déjà été prévu pour permettre aux entreprises de se mettre en conformité.


Ce règlement n’est pas seulement intra Européen, il touche toutes les entreprises extérieures à l’Europe (dont la Suisse) qui traite des données avec ou en relation avec l’Europe. Le non respect de ce règlement peut entraîner des amendes jusqu’à 4% du chiffre d’affaire et au maximum de 20 millions d’Euros. Voilà qui retiendra l’attention.

La Suisse est-elle concernée par la RGPD?

Le 15 septembre 2017 le conseil fédéral a déjà annoncé son intention de faire évoluer la LPD (loi sur la protection des données) dans le sens européen. Le chantier doit aboutir à l’horizon 2019 selon les experts.

Cette décision du CF est logique, d’abord ce règlement est une véritable avancée pour la protection des données personnelles, en particulier vis à vis d’entreprises (notamment les GAFA – Google, Apple, Facebook, Amazon) qui opèrent sur le territoire européen et suisse. 

Les entreprises (touristiques notamment) qui opèrent de nombreuses transactions avec le reste du monde et l’Europe en particulier doivent déjà être en conformité avec le nouveau règlement européen. Il serait dès lors aberrant de ne pas mettre tout le monde à pied d’égalité et les entreprises elles-mêmes apprécieront de ne pas avoir à opérer avec des standards doubles. Car au delà du droit, l’affaire est aussi technique.


En quoi le monde du vin suisse est-il concerné PAR LE RGPD?

Les petits producteurs avec leur centaines de client pourraient être tenté d’ignorer la chose mais doivent se souvenir que la loi est la même pour tous. Si l’on veut encadrer les activités des grands groupes et mieux protéger les consommateurs que nous sommes, il faut créer un cadre juridique qui s’applique à tous. 

Dans l’immédiat le monde du vin suisse est moins impacté que le monde du tourisme, qui doit lui constamment recruter une partie importante de sa clientèle à l’étranger et en Europe en particulier.

On pourrait argumenter que pour des entreprises travaillant en Suisse et dont les activités commerciales se limitent à la Suisse il n’y aurait pas lieu d’évoluer mais cette attitude ne trouvera pas grâce auprès des consommateurs qui n’apprécient guère le flou des pratiques actuelles. 

Par ailleurs en étant proactif et réfléchi on peut implémenter les bonnes pratiques de la protection des données européennes qui renforceront la confiance du consommateur dans le commerce et les démarchages en ligne. Alors pourquoi s’en priver?

Quels sont les points importants de la RGPD ?

L ‘essentiel de ci qui suit est extrait des pages Wikipedia relatives à la RGPD, corroborées par divers articles et white paper.

La RGPD offre un cadre juridique harmonisé

Il y aura un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l'Union Européenne, (et à terme la Suisse) atténuant ainsi la fragmentation actuelle des lois nationales de protection des données.

Une application extraterritoriale

Le règlement s'appliquera aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. 
Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens.

Un consentement du consommateur « explicite » et « positif » 

Les citoyens doivent être informés de l’usage qui sera fait de leurs données et les entreprises et organismes qui récoltent des données doivent donner aux citoyens davantage de contrôle sur leurs données privées. 

Note de l’auteur : A tout point de vue c’est sans doute l’élément le plus important et qui peut facilement être implémenté de manière réfléchie dans les petites entreprises lors de l’acquisition des données.

Le droit à l’effacement (version allégée du droit à l'oubli)

La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais.

Le droit à la portabilité des données personnelles

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement. 

Profilage

Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

Des principes de « protection des données dès la conception » et de « sécurité par défaut »

Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. 
De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé. 

Note de l’auteur: c’est sans doute l’aspect technique le plus impactant sur les modes de faire actuels. Il faut en effet réfléchir en amont à la manière d’acquérir et d’utiliser les données afin de se faciliter la tâche et d’être en conformité par la suite.

Des notifications en cas de fuite de données

Les entreprises et les organismes seront tenus de notifier dès que possible l'autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement).

La nomination d'un délégué à la protection des données

(Data Protection Officer en anglais). Cette nomination est obligatoire dans certains cas de figure. Pour les petites entreprises ce sera le responsable légal de l'entreprise.

Les principes généraux étant donnés, nous aborderons dans un prochain article les aspects pratiques de ce nouveau règlement lors de l’acquisition et l’utilisation des données de vos clients. 

 

A propos de l’auteur

Jean-Francois Genoud est un économiste de formation, passionné de technologie et de vin, il est le consultant en charge de l’univers digital de Swiss Wine. Après une carrière chez Logitech et dans le monde, il est devenu sommelier ASSP afin de réunir ses deux passions dans son activité professionnelle.

 

Sources :
Le RGPD et ses conséquences sur la Suisse – PPPD 14 décembre 2017 
Message du Conseil Fédéral – 15 septembre 2017
Wikipedia – RGPD protection des données