RGPD: Me Stephan Kronbichler, spécialiste du droit “numérique”

 Le RGPD et son application : Me Stephan Kronbichler, spécialiste du droit “numérique” nous donne son point de vue

Le droit lié au monde numérique, Me Stephan Kronbichler le connaît. Il est en effet reconnu comme un des spécialistes du domaine « Telecommunications, Media & Technology » par le Who’s Who Legal en Suisse, de même que par Best Lawyers pour la catégorie « Information Technology Law ».

Stephan Kronbichler avocat : le droit numérique | conférence RGPD Bureau des Métiers Sion

À l’occasion de sa prochaine conférence, le 7 mars à Sion, il nous a accordé un entretien :

On parle de règlement ici. Selon le droit, quelle est la différence avec une loi ? Est-ce moins contraignant qu’une loi ?

Non, il s’agit en fait d’une loi européenne. Au niveau européen, on fait une distinction entre directive et règlement. Une directive oblige les Etats-membres à légiférer, tandis qu’un règlement est directement applicable dans les Etats-membres. Auparavant, il y avait une directive sur la protection des données que les pays de l’Union ont dû transcrire dans leur droit interne ; donc chaque pays avait sa propre loi. Avec le RGPD, le même droit sera applicable pour l’ensemble des pays-membres. C’est une des nouveautés.

Le RGPD exige-t-il que l’on s’annonce ? Une entreprise suisse avec des données personnelles de citoyens européens devra-t-elle s’annoncer auprès d’un organe de surveillance européen ?

Non, il n’y a pas d’obligation de s’annoncer pour les entreprises suisse, étant toutefois précisé que le règlement impose aux entreprises hors-UE de désigner un représentant au sein de l’Union. Le respect du RGPD est contrôlé par des autorités de surveillance nationales dans chaque Etat-membre. Quand bien-même le champ d’application géographique du RGPD fait que ce règlement concerne également les entreprises suisses dès qu’elles traitent des données de personnes se trouvant dans l’UE, les autorités de surveillance étrangères ne peuvent pas intervenir directement en Suisse, et le préposé suisse à la protection des données lui n’est pas chargé de veiller au respect du droit européen.

Pour une entreprise européenne ?

Dans le cas d’une entreprise européenne, c’est assez simple, car l’autorité de surveillance compétente est en principe celle de son siège. Pour une entreprise suisse, c’est une difficulté supplémentaire. Elle peut en effet faire l’objet d’une enquête par n’importe quelle autorité de surveillance, lorsque celle-ci est par exemple saisie d’une plainte par une personne concernée.

Le cœur du RGPD sont les données à caractère personnel. Existe-t-il une définition claire de ce que c’est ?

Oui et non. L’article 4 ch. 1 donne certes une définition, mais celle-ci est très large : « … toute information se rapportant à une personne physique identifiée ou identifiable… ». A l’évidence, le nom, l’adresse, la date de naissance en font partie, mais pas uniquement : l’adresse IP, des données biométriques et d’autres données parfois très techniques également.

Le RGPD traite aussi du profilage des données personnelles. L’outil Google Analytics est utilisé par beaucoup d’entreprises en Suisse. Des données sur le comportement des visiteurs d’un site sont récoltées afin d’établir des profils de comportement. Ne pourra-t-on plus utiliser cet instrument sans l’accord des internautes ?

Le règlement vise spécifiquement le suivi des activités d’une personne sur internet. Les données récoltées sont pratiquement toujours des données personnelles. Dès lors, les internautes doivent être informés de cette collecte de données et y consentir (en cliquant le bouton « OK » dans la fenêtre qui est affichée à ce sujet).

On parle de conformité au droit. Faut-il l’être en permanence ? Y aura-t-il un cycle ?

Vous ne pouvez pas être dans l’illégalité de janvier à novembre. Puis vous mettre en ordre en décembre. Si vous mettez en place un nouveau système récoltant et traitant des données, il faudra qu’il soit RGPD-compatible dès le tout début. D’ailleurs, je reviendrai sur des notions importantes lors de la conférence, à savoir le « privacy by design » et le « privacy by default ». Il s’agit de la conformité des systèmes dès leur conception et au niveau de leur configuration.

L’obligation de désigner un responsable de la protection des données dépende de l’activité et non de la taille de l’entreprise. Que fait-on si la taille de l’entreprise ne permet pas de recruter un tel responsable ?

Effectivement, si votre activité implique le traitement de données à grande échelle, c’est obligatoire, quelle que soit la taille de votre entreprise. Vous avez toutefois la possibilité de confier ce rôle à un prestataire externe.

No Comments
 

Laissez votre avis

Autres articles du blog