Le Règlement européen général sur la protection des données (RGPD) est applicable depuis le 25 mai 2018. Comme expliqué précédemment ici, ce Règlement peut s’appliquer également aux sociétés suisses.
Pour les entreprises concernées, tant européennes que suisses, diverses mesures devaient être mises en place jusqu’au 25 mai dernier. Il s’agissait par exemple de nommer un DPO (data protection officer), ajouter un bandeau sur son site web, adapter la politique de confidentialité et les conditions générales d’utilisation, créer une page cookies, adapter son formulaire de contact, informer les destinataires de sa newsletter, vérifier la sécurité du parc informatique, former son personnel et adopter des règles internes, analyser les contrats conclus et conclure des avenants le cas échéant.
Dans le cadre de nos activités, nous avons constaté qu’un grand nombre d’entreprises n’avaient, en date du 25 mai 2018, pas encore mis en place les mesures idoines. Certaines se sont à ce jour contentées d’adopter des mesures que nous qualifierons d’« urgentes », à savoir l’insertion du bandeau, la création d’une page cookies et l’adaptation de la politique de confidentialité.
Nous soulignons toutefois le fait que la seule adoption des mesures dites urgentes n’est pas suffisante pour être en conformité avec le RGPD. Les sanctions qui peuvent être ordonnées sont conséquentes, puisqu’elles peuvent aller jusqu’à la limitation définitive des traitements de données et/ou l’amende administrative jusqu’à EUR 20 millions ou 4% du chiffre d’affaires annuel mondial (83 RGDP).
Il est donc primordial de poursuivre ce travail de longue haleine qu’est la mise en conformité de la société concernée si ses activités tombent dans le champ d’application du RGPD.
Des premières sanctions sont d’ailleurs d’ores et déjà intervenues. En France, la formation restreinte de la CNIL a prononcé récemment une sanction de EUR 75’000.- à l’encontre de l’Association pour le Développement des Foyers (ADEF) en raison d’une défaillance dans la protection des données des utilisateurs de son site internet. Cette formation restreinte a également prononcé une sanction à l’encontre de la société OPTICAL CENTER à hauteur de EUR 250’000.-, estimant que la société avait manqué à son obligation de sécurité des données personnelles, En effet, il était possible en manipulant l’URL d’accéder à des centaines de factures de clients de la société qui contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.
Dans ces deux cas, compte tenu de l’ampleur des données concernées et du caractère particulièrement intime et complet, la formation restreinte a décidé de rendre publique sa décision. Il doit toutefois être précisé que la CNIL avait, préalablement aux décisions précitées, alerté les intéressés sur la défaillance de leur système et leur avait demandé d’y remédier, sans succès.
WILHELM Avocats SA – 2 Juillet 2018
Vous avez des questions par rapport à la problématique abordée dans cet article ?
Nos avocats aiment et comprennent le droit des affaires, sur le plan suisse et sur le plan international. Ils sont très réactifs et portent les affaires de leurs clients aux fins d’y trouver la meilleure solution juridique et pratique. Ils sont au bénéfice d’une expérience internationale de plusieurs années en droit des affaires. Ils maîtrisent plusieurs langues étrangères et disposent de correspondants dans le monde entier.
Avenue de Rumine 13
Case Postale
CH – 1001 Lausanne
+41 21 711 71 00
info@wg-avocats.ch
©2024 Wilhelm Gilliéron Avocats SA – Politique en matière de confidentialité – Réalisation Mediago