Mon entreprise est-elle soumise au RGPD ?

Remarques générales

Le Règlement Européen en matière de Protection des données (RGPD, plus connu sous son abréviation anglaise GDPR) a fait, continue et continuera à faire couler beaucoup d’encre.

Pour les entreprises suisses, la question se pose de savoir dans quelle mesure ce Règlement leur est applicable. Si beaucoup ont en effet brandi le spectre de sanctions colossales en cas de manquement audit Règlement, encore faut-il qu’il leur soit applicable, ce qui n’est en réalité de loin pas aussi systématique que certains ont bien voulu le faire croire.

Sans entrer dans les détails du texte même du règlement, son éventuelle application aux entreprises ayant leur siège en Suisse est déterminée par l’article 3, dont l’alinéa 2 prévoit en particulier ce qui suit :

« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées: (a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou (b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

C’est avant tout la lettre (a) qui retiendra ici notre attention. Aux termes de cette disposition, une entreprise ayant son siège en Suisse apparaît ainsi soumise au RGPD dans la mesure où elle traite des données de personnes physiques se trouvant sur le territoire de l’Union en relation avec une offre de biens ou de services destinés à ces personnes.

Le Comité européen de la protection des données (EDPB) a eu l’occasion de se prononcer sur l’interprétation qu’il convient de donner à cette disposition dans le cadre de lignes directrices 3/2018 adoptées en leur version la plus récente le 12 novembre 2019. Que faut-il en retenir ?

On distinguera suivant que l’entreprise a ou n’a pas d’activité en ligne :

L’impact du commerce hors ligne sur l’éventuelle application du RGPD

Lorsque l’entreprise suisse ne déploie ses activités que hors ligne (autrement dit sans recourir au commerce électronique), et que ses activités ne sont proposées qu’en Suisse, l’application du RGPD ne devrait alors pas entrer en ligne de compte. Deux remarques s’imposent à ce sujet :

• Tout d’abord, le fait que le RGPD ne s’applique que dans l’hypothèse où le traitement concerne des données de personnes se trouvant sur le territoire de l’Union au moment de ce traitement. Autrement dit, un traitement de données survenant alors qu’un tel résident se trouve en Suisse n’entraîne pas l’application du RGPD. A titre d’exemple, le traitement de données en Suisse d’un résident européen se trouvant de passage en Suisse pour quelques jours n’entraîne pas l’application du RGPD aux entreprises amenées à traiter des données de ce résident durant son séjour. Lorsque l’entreprise ne commercialise et ne déploie ses activités qu’en Suisse, l’application du RGPD n’entre dès lors pas en matière, quand bien même l’entreprise serait amenée à traiter des données de ressortissants européens dans le cadre de ses activités.
• Ensuite, le RGPD ne s’applique qu’en relation avec une offre de produits ou de services visant des personnes se trouvant sur le territoire de l’Union. Tel n’est dès lors pas le cas d’une entreprise suisse qui emploierait des étrangers ressortissants, voire résidents de l’Union Européenne. Le traitement opéré est alors rendu nécessaire pour exécuter le contrat de travail qui lie l’entreprise suisse à ses employés, il ne survient en principe que sur le territoire suisse et ne se trouve pas en relation avec une offre de produits ou services. Autrement dit, le fait pour une entreprise suisse d’avoir des employés frontaliers n’entraîne pas la soumission de cette entreprise au RGPD.

Pour bon nombre d’entreprises suisses, c’est donc avant tout au travers d’un éventuel site Internet et des transactions en ligne qui peuvent s’ensuivre, le cas échéant de la fourniture d’un service en ligne, que la question de l’application du RGPD se pose.

L’impact du commerce en ligne sur l’éventuelle application du RGPD

Est alors déterminante la question de savoir si l’entreprise « offre des biens ou services aux personnes se trouvant sur le territoire de l’Union » au moment du traitement de leurs données.

Dans ce cadre, le simple fait pour un site Internet d’être accessible en n’importe quel endroit du globe ne suffit pas à être assimilé à une « offre ». Un certain ciblage des personnes se trouvant sur le territoire de l’Union, reflétant une démarche intentionnelle de la part de l’entreprise, est donc nécessaire.

La question de savoir si « ciblage » il y a sera appréciée au regard de différents critères, en particulier de la manière dont le site est configuré, présenté, et promu au travers de diverses campagnes marketing (en ligne ou hors ligne). Parmi les critères à retenir, on peut mentionner :

• La langue du site. La rédaction d’un site en une langue autre qu’une langue officielle peut être considérée comme un ciblage de ressortissants étrangers. Il convient toutefois de nuancer et ce seul critère ne sera pas toujours déterminant. Ainsi, on devrait pouvoir admettre qu’une version anglaise est admissible en Suisse compte tenu de l’importante communauté anglophone qui se trouve sur notre territoire. De même, un site dédié à des minorités se trouvant en Suisse, proposant des produits d’origine et rédigé en la langue de cette minorité, ne devrait pas être interprété du même coup comme un ciblage de ces ressortissants dans leur pays d’origine.
• Les conditions générales peuvent le cas échéant également être prises en considération pour apprécier d’un éventuel ciblage. A mon sens cependant, là encore, le fait de ne pas limiter les livraisons à la Suisse ne devrait pas encore suffire à y voir un ciblage de ressortissants européens ; à l’image de l’accessibilité du site, l’achat spontané d’un produit par un ressortissant européen sur un site en « .ch » et la livraison qui s’ensuit, soit une forme de vente passive, ne devrait pas, en soi, être considéré comme un ciblage. Il pourrait en aller différemment lorsque les conditions prévoient au contraire expressément qu’une livraison est possible en toute l’Union Européenne. On se montrera cependant prudent en ce sens que, à mon sens, de simples ventes passives (soit initiées spontanément par des ressortissants européens sans pour autant avoir été sollicitées d’une manière ou d’une autre par l’exploitant du site) ne semblent pas pouvoir être considérées comme le reflet d’un « ciblage» au sens où l’exige le RGPD.
• L’indicatif international impliquera une ouverture en faveur d’une clientèle étrangère. En soi, toutefois, la précision du + 41 ne devrait cependant pas suffire à permettre d’en conclure à un ciblage international lorsque cet élément n’est pas appuyé par d’autres critères. Il va sans dire que l’indication en revanche d’un point de contact et numéro au sein du territoire de l’Union impliquera en revanche un tel ciblage. D’autres critères apparaissent à cet égard beaucoup plus probants, tels que :
• La devise. Contrairement aux critères précédents qui, en soi, peuvent s’avérer insuffisants à en conclure à un « ciblage», le fait de permettre le paiement en une devise autre que le franc suisse sera un indice probant du fait que l’entreprise suisse vise également des ressortissants étrangers, et donc potentiellement européens si le paiement peut se faire en euros.
• Le ccTLD, c’est-à-dire l’extension sous laquelle est enregistrée un nom de domaine. Ainsi l’enregistrement sous une extension géographique donnée (par exemple « .fr » ou « .de ») impliquera-t-elle que l’entreprise entend fournir ses prestations au public en question. A mon sens, le simple fait de détenir en revanche un gTLD comme un « .com » ne devrait pas, en soi, là encore suffire.
• Les démarches marketing. Le fait de mener des campagnes marketing au sein du territoire de l’Union sera évidemment le signe d’une volonté de cibler les ressortissants européens. A cet égard, l’entreprise aura tout intérêt à se montrer vigilante en cas de campagnes en ligne au travers de services comme Google Adwords ou sur les réseaux sociaux ; le fait de ne pas limiter l’étendue géographique des publicités au seul territoire suisse mais d’en permettre le visionnement sur le territoire de l’Union devra être interprété comme une volonté de cibler l’Union Européenne.

L’impact de l’application du RGPD

Au vu de ce qui précède, force est de constater que si l’entreprise suisse qui ne déploie ses activités qu’en Suisse hors Internet n’a donc guère de craintes à avoir, celle qui entend également promouvoir ses prestations sur Internet aura intérêt à être vigilante quant à la manière dont elle configure son site et mène ses campagnes marketing.

L’application du RGPD a évidemment de nombreuses conséquences pour l’entreprise, qui feront l’objet de développements dans des posts ultérieurs.

Parmi celles-ci, on mentionnera ici l’obligation faite de désigner un représentant au sein de l’Union Européenne (art. 27 RGPD), idéalement dans l’un des ou le pays dont les ressortissants sont ciblés, un point trop souvent ignoré ou délaissé par souci de simplification. Inutile de dire que ce point n’est pas le plus réjouissant, puisqu’il implique de trouver un tel représentant, lequel n’acceptera de jouer ce rôle que moyennant rémunération. A défaut, l’entreprise manquera à l’une des obligations faites à tout responsable de traitement de communiquer l’identité de son représentant conformément à son obligation de transparence (art. 13 et 14 RGPD). Certaines sociétés proposent aujourd’hui ce service pour un coût somme toute modique.