Le Règlement Européen en matière de Protection des données (RGPD, plus connu sous son abréviation anglaise GDPR) a fait, continue et continuera à faire couler beaucoup d’encre.
Pour les entreprises suisses, la question se pose de savoir dans quelle mesure ce Règlement leur est applicable. Si beaucoup ont en effet brandi le spectre de sanctions colossales en cas de manquement audit Règlement, encore faut-il qu’il leur soit applicable, ce qui n’est en réalité de loin pas aussi systématique que certains ont bien voulu le faire croire.
Sans entrer dans les détails du texte même du règlement, son éventuelle application aux entreprises ayant leur siège en Suisse est déterminée par l’article 3, dont l’alinéa 2 prévoit en particulier ce qui suit :
« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées: (a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou (b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »
C’est avant tout la lettre (a) qui retiendra ici notre attention. Aux termes de cette disposition, une entreprise ayant son siège en Suisse apparaît ainsi soumise au RGPD dans la mesure où elle traite des données de personnes physiques se trouvant sur le territoire de l’Union en relation avec une offre de biens ou de services destinés à ces personnes.
Le Comité européen de la protection des données (EDPB) a eu l’occasion de se prononcer sur l’interprétation qu’il convient de donner à cette disposition dans le cadre de lignes directrices 3/2018 adoptées en leur version la plus récente le 12 novembre 2019. Que faut-il en retenir ?
On distinguera suivant que l’entreprise a ou n’a pas d’activité en ligne :
Lorsque l’entreprise suisse ne déploie ses activités que hors ligne (autrement dit sans recourir au commerce électronique), et que ses activités ne sont proposées qu’en Suisse, l’application du RGPD ne devrait alors pas entrer en ligne de compte. Deux remarques s’imposent à ce sujet :
Pour bon nombre d’entreprises suisses, c’est donc avant tout au travers d’un éventuel site Internet et des transactions en ligne qui peuvent s’ensuivre, le cas échéant de la fourniture d’un service en ligne, que la question de l’application du RGPD se pose.
Est alors déterminante la question de savoir si l’entreprise « offre des biens ou services aux personnes se trouvant sur le territoire de l’Union » au moment du traitement de leurs données.
Dans ce cadre, le simple fait pour un site Internet d’être accessible en n’importe quel endroit du globe ne suffit pas à être assimilé à une « offre ». Un certain ciblage des personnes se trouvant sur le territoire de l’Union, reflétant une démarche intentionnelle de la part de l’entreprise, est donc nécessaire.
La question de savoir si « ciblage » il y a sera appréciée au regard de différents critères, en particulier de la manière dont le site est configuré, présenté, et promu au travers de diverses campagnes marketing (en ligne ou hors ligne). Parmi les critères à retenir, on peut mentionner :
Au vu de ce qui précède, force est de constater que si l’entreprise suisse qui ne déploie ses activités qu’en Suisse hors Internet n’a donc guère de craintes à avoir, celle qui entend également promouvoir ses prestations sur Internet aura intérêt à être vigilante quant à la manière dont elle configure son site et mène ses campagnes marketing.
L’application du RGPD a évidemment de nombreuses conséquences pour l’entreprise, qui feront l’objet de développements dans des posts ultérieurs.
Parmi celles-ci, on mentionnera ici l’obligation faite de désigner un représentant au sein de l’Union Européenne (art. 27 RGPD), idéalement dans l’un des ou le pays dont les ressortissants sont ciblés, un point trop souvent ignoré ou délaissé par souci de simplification. Inutile de dire que ce point n’est pas le plus réjouissant, puisqu’il implique de trouver un tel représentant, lequel n’acceptera de jouer ce rôle que moyennant rémunération. A défaut, l’entreprise manquera à l’une des obligations faites à tout responsable de traitement de communiquer l’identité de son représentant conformément à son obligation de transparence (art. 13 et 14 RGPD). Certaines sociétés proposent aujourd’hui ce service pour un coût somme toute modique.
Vous avez des questions par rapport à la problématique abordée dans cet article ?
Nos avocats aiment et comprennent le droit des affaires, sur le plan suisse et sur le plan international. Ils sont très réactifs et portent les affaires de leurs clients aux fins d’y trouver la meilleure solution juridique et pratique. Ils sont au bénéfice d’une expérience internationale de plusieurs années en droit des affaires. Ils maîtrisent plusieurs langues étrangères et disposent de correspondants dans le monde entier.
Avenue de Rumine 13
Case Postale
CH – 1001 Lausanne
+41 21 711 71 00
info@wg-avocats.ch
©2024 Wilhelm Avocats SA – Politique en matière de confidentialité – Réalisation Mediago