Données personnelles: ce qui va changer en Suisse aussi avec le RGPD

Les Suisses sont tous concernés par l’entrée en vigueur, le 25 mai, du Règlement général sur la protection des données. Ils seront mieux protégés sur internet et pourront faire valoir davantage de droits auprès de centaines de milliers de fournisseurs de services, tant américains, européens que suisses.
Quel est le point commun entre le FC Barcelone, l’aéroport de London City et l’éditeur de photos en ligne américain Pixlr? Les trois ont écrit, ces derniers jours, à des internautes suisses pour leur demander s’ils veulent rester dans leur base de données. Si les internautes ne le confirment pas d’un clic, toutes leurs informations seront effacées. C’est un exemple concret de l’application directe, ce 25 mai, du Règlement général sur la protection des données (RGPD). Cette loi a été élaborée par l’Union européenne mais concerne de très près tous les internautes suisses.

Les Suisses sont d’autant plus visés par le RGPD que des entreprises helvétiques comme Logitech, le service de mesures sportives Datasport ou encore l’IMD de Lausanne ont envoyé des courriels similaires à leurs contacts. Une preuve supplémentaire que ce règlement touche tous les Suisses. En parallèle, Google, Facebook ou WhatsApp ont modifié leurs conditions générales, qui s’appliquent de la même façon pour les Européens et, encore, les Suisses.

Le Temps a sélectionné les points les plus importants de ce règlement pour les internautes et les a analysés avec l’expertise de Jean-Philippe Walter, suppléant du préposé fédéral à la protection des données et à la transparence, et Michel Jaccard et Lê-Binh Hoang, de l’étude spécialisée Id Est avocats à Lausanne, qui accompagnent des dizaines d’entreprises dans des programmes de mise en conformité avec la nouvelle réglementation.

Une récolte minimale de données
Dès le 25 mai, les entreprises ne doivent récolter qu’un minimum de données utiles sur leurs clients. Une société qui vend par exemple des parfums via internet n’a besoin de connaître ni le numéro de téléphone de ses clients, ni leur nombre d’enfants. L’expéditeur d’une newsletter n’a pas non plus, a priori, à savoir votre âge ou votre sexe. Mais voilà, le RGPD ne précise pas quelles sont ces données minimales à récolter. «Le responsable de traitement doit déterminer si et quelles données personnelles sont nécessaires pour atteindre le but qu’il poursuit et il doit être en mesure de démontrer que ces données sont vraiment nécessaires», explique Jean-Philippe Walter.

Selon le spécialiste, le prestataire «doit effacer les données qui ne sont plus nécessaires», et il est possible qu’à l’avenir les fournisseurs de services demandent moins d’informations. L’internaute doit donc faire confiance au prestataire du service. Mais il peut aussi le questionner. «Il ne pourra être sûr de rien sans être un minimum proactif, notamment en faisant valoir son droit à une information transparente aux finalités des traitements, et son droit d’accès et de rectification de ses données personnelles», explique Michel Jaccard. Le RGPD prévoit en effet clairement le droit de demander des comptes à son prestataire, et de télécharger facilement l’ensemble des données qu’il possède sur lui.

Facebook, Twitter ou encore Instagram permettent ainsi de télécharger plus facilement un fichier regroupant l’ensemble des données envoyées sur leurs serveurs. Toutes ces sociétés modifient actuellement leurs conditions générales, mais, d’après Jean-Philippe Walter, «selon une première analyse, elles ne sont pas suffisamment claires. Nos collègues européens vont examiner ces clauses dans le détail.»

Un droit à l’oubli… tout relatif
Le RGPD stipule noir sur blanc qu’un prestataire de services doit, si un client le demande, effacer toutes les données qu’il possède sur lui. Là encore, peut-on lui faire confiance? «Il devra le faire s’il n’a pas de motif légitime prépondérant justifiant la conservation des données», estime Jean-Philippe Walter, qui précise que «la loi sur la protection suisse actuelle permet déjà à un internaute de demander à un responsable de traitement d’effacer les données le concernant».

Mais attention, avertit Lê-Binh Hoang, «l’application de ce droit est moins évidente qu’il n’y paraît et dépend beaucoup des circonstances et de la volonté des plateformes majeures de le respecter et de leur collaboration active… ce qui est loin d’être acquis pour l’instant». L’avocat espère qu’«avec le bruit médiatique fait autour du RGPD, les gens en seront plus conscients et proactifs pour faire valoir leurs droits et ainsi contraindre les entreprises suisses à le respecter».

Quant au déréférencement des moteurs de recherche, «il n’est pas prévu dans notre loi, mais Google a déclaré à la suite de l’arrêt de la Cour de justice de l’Union européenne qu’il appliquerait la même procédure à des demandes d’internautes suisses», précise Jean-Philippe Walter.

Un consentement mieux demandé
En théorie, le RGPD impose aux entreprises de demander clairement à l’internaute le droit d’utiliser son adresse e-mail, comme le font actuellement le FC Barcelone ou Logitech. «Selon une lecture stricte du règlement, l’approche opt-out, en matière de consentement, devrait disparaître», estime Michel Jaccard. Ainsi, il n’y aura plus de consentement passif (opt-out) de l’internaute, mais celui-ci devra lui-même, volontairement (opt-in) s’inscrire à un service ou donner son adresse email.

Une portabilité des données à tester
Avec le nouveau règlement, il sera possible de prendre toutes ses données personnelles chez un prestataire pour les utiliser chez un autre. «Par exemple, un consommateur qui veut changer d’opérateur téléphonique pourra recevoir les données qu’il a transmises lors de la conclusion de son abonnement pour les transmettre aux nouveaux opérateurs», indique Jean-Philippe Walter. Attention, au vu du projet de nouvelle loi suisse sur les données, la portabilité ne sera pas imposée aux entreprises helvétiques.

Du coup, peut-on imaginer pouvoir passer facilement de Google Drive à Dropbox ou d’Apple Music à Spotify, en transférant d’un clic toutes ses données? «Selon l’avis des autorités européennes de protection des données, les titres des livres achetés par une personne sur une librairie en ligne ou les chansons écoutées via un service de diffusion en flux de musique sont des exemples de données à caractère personnel, poursuit Jean-Philippe Walter. Ces données relèvent généralement du champ d’application de la portabilité des données, parce qu’elles sont traitées sur la base de l’exécution d’un contrat auquel la personne concernée est partie.»

Sur ce point, Lê-Binh Hoang est plus nuancé: «Il y a de nombreuses exceptions. Par exemple pour les fichiers musicaux, pris de manière isolée, il ne s’agit pas au sens strict de données personnelles, qui identifient ou rendent identifiable une personne. Leur portabilité ne semblerait pas assurée.»

Des âges minimums symboliques
Récemment, WhatsApp justifiait l’instauration d’un âge minimum de 16 ans pour être utilisé – tant en Europe qu’en Suisse – par le RGPD. «Son article 8 ne fixe pas véritablement de majorité numérique, mais fixe l’âge présumé à partir duquel le mineur est capable de comprendre la portée de ses actes et s’engager», explique Michel Jaccard. Pour Jean-Philippe Walter, «cette mesure paraît difficile à contrôler et risque bien d’avoir un caractère plutôt symbolique. Il serait préférable de travailler sur l’éducation à l’utilisation de ces outils.»

Michel Jaccard précise que les limites minimales pour utiliser des services sont toutes relatives, chaque pays pouvant fixer, service par service, un âge minimum de 13 ans. «En outre, les entreprises n’ont qu’une obligation d’efforts raisonnables de vérification de la qualité du consentement donné», poursuit l’avocat.

Des actions collectives pour la Suisse
Autre nouveauté: la possibilité d’intenter, en justice, des actions de groupe (class actions) contre une société qui aurait trahi la confiance d’internautes. Et ce sera aussi possible pour les internautes suisses. «La loi suisse ne prévoit pas de class actions, une action collective d’internautes suisses ne pourrait s’effectuer qu’à l’égard d’entreprises européennes», précise Jean-Philippe Walter.

Lê-Binh Hoang précise que l’article 80 du RGPD prévoit qu’une action collective pourrait être ouverte à un citoyen suisse, aux conditions que l’organisation ou l’association qui l’intente ait été formée selon le droit d’un pays membre de l’Union européenne et ait, selon ses statuts, un but d’intérêt public, et qu’elle soit active dans le cadre de la protection des données personnelles. «Mais les Etats membres pourraient par exemple décider d’ouvrir ce droit à une association suisse et par conséquent à des citoyens suisses concernés», poursuit l’avocat.

Des entreprises suisses concernées
Si une société suisse ne compte que des clients en Suisse, elle n’a pas besoin de se conformer au RGPD. Mais cela ne concernerait que 20% des entreprises suisses. «Les sociétés se sentent d’abord un peu déboussolées face à ce règlement, mais elles prennent en général au sérieux la conformité avec le RGPD et la future loi suisse sur les données personnelles», affirme Michel Jaccard. La loi helvétique actuelle, qui date de 1992, est en cours de révision: elle devrait fortement s’inspirer du RGPD mais n’entrera pas en vigueur avant un ou deux ans.

De son côté, Jean-Philippe Walter affirme que «certaines entreprises suisses prennent aujourd’hui leurs dispositions pour être conformes au RGPD.» Il espère que ces sociétés assureront «la même protection et les mêmes droits à toutes les personnes dont elles traitent des données, qu’elles résident en Suisse ou dans un pays de l’Union européenne». Mais ce n’est pas une obligation.

Qu’en est-il, par exemple, de Swisscom? L’opérateur affirme qu’il ne va pas changer ses conditions générales, mais que son objectif, d’ici au 25 mai, «est de s’aligner le plus possible sur les exigences du RGPD et de pouvoir en apporter la preuve sur demande». Au client, en cas de souci ou de question, de faire valoir ses droits auprès de l’opérateur.

Source : LeTemps.ch

partagez
Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur whatsapp
copyright © :
OZ - communication-design
oz_new_DEF_blanc
Conditions Générales d'Utilisation
Conditions Générales d'Utilisation

Conditions d’utilisation
Le site http://www.ozed.ch est géré par OZ - communication-design, dont l’adresse de contact se trouve dans le menu correspondant.

Responsabilité
Malgré la grande attention qu’on porte à la justesse des informations diffusées sur ce site, OZ – communication-design ne peut endosser aucune responsabilité quant à la fidélité, à l’exactitude, à l’actualité, à la fiabilité et à l’intégralité de ces informations.

OZ – communication-design se réserve expressément le droit de modifier en partie ou en totalité le contenu de ce site, de le supprimer ou d’en suspendre temporairement la diffusion, et ce à tout moment et sans avertissement préalable.

OZ – communication-design ne saurait être tenue pour responsable des dommages matériels ou immatériels qui pourraient être causés par l’accès aux informations diffusées ou par leur utilisation ou non-utilisation, par le mauvais usage de la connexion ou par des problèmes techniques.

Renvois et liens
Les renvois et liens vers d’autres sites Internet ne sont pas de la responsabilité de OZ – communication-design. L’accès à ces sites et leur utilisation se font aux risques des utilisateurs. OZ – communication-design déclare expressément qu’elle n’a aucune influence sur la forme, le contenu et les offres des sites auxquels elle renvoie. Les informations et services offerts par ces sites sont entièrement de la responsabilité de leurs auteurs. OZ – communication-design rejette toute responsabilité pour de tels sites Internet.

Protection des données
L’art 13 de la Constitution fédérale et les lois fédérales et cantonales sur la protection des données disposent que toute personne a droit à la protection de sa sphère privée ainsi qu’à la protection contre l’emploi abusif des données qui la concernent. OZ – communication-design observe strictement ces dispositions.
Les données personnelles sont traitées de façon parfaitement confidentielle et ne sont ni vendues, ni transmises à des tiers. Cependant les données récoltées par le formulaire de contact elles peuvent être gardées comme références de contact.
Nous nous efforçons, en collaboration étroite avec nos hébergeurs, de protéger par tous les moyens nos banques de données des intrusions externes, des pertes, du mauvais usage et de la falsification.
Aucune donnée personnelle n’est enregistrée lors de l’accès à notre page d’accueil. Le serveur Internet enregistre uniquement des données d’utilisation non personnelles, qui font ressortir des tendances servant à améliorer notre offre (fichiers journaux). Les données d’utilisation ne sont pas associées à des données personnelles.

Ces règles ne sont toutefois pas valables pour la prise de contact volontaire. Lors de l’enregistrement de votre adresse électronique, celle-ci est stockée dans une banque de données séparée, qui ne possède aucun lien avec les fichiers journaux anonymes. Vous avez à tout moment la possibilité d’annuler votre enregistrement.

Sécurité des transmissions
OZ – communication-design a pris les mesures organisationnelles et techniques appropriées pour garantir la confidentialité et la sécurité des données.
Lors de la transmission de données par Internet de manière non codée (cryptée), par exemple lors de l’envoi d’un courrier électronique, il est possible que des personnes non autorisées puissent accéder à ces informations. OZ – communication-design ne peut être tenue responsable de cette situation.

Droits d’auteur
Droits d’auteur : OZ – communication-design, 2019

Les informations que recèle le site web de OZ – communication-design sont mises à la disposition du public. Le téléchargement ou la copie de textes, d’illustrations, de photographies ou d’autres données n’entraîne aucun transfert de droits sur les contenus.
Les droits d’auteur et tous les autres droits liés aux textes, illustrations, photographies et autres données placés sur le site web de OZ – communication-design sont leur propriété exclusive ou celle des détenteurs expressément cités. Toute reproduction est subordonnée à l’autorisation écrite préalable du détenteur des droits.

Collecte des données et sphère privée
La page que vous êtes en train de lire est stockée sur le serveur Internet d’un hébergeur. En général, vous pouvez visiter le site de OZ – communication-design sans révéler ni qui vous êtes ni communiquer quoi que ce soit de personnel à votre sujet. Un journal garde la trace de l’adresse IP de la machine (par exemple la vôtre) qui émet une requête vers http://www.ozed.ch. Une adresse IP ne permet pas d’identifier une personne, mais une machine. Les témoins de connexion/cookies sont en principe interdits, sauf les témoins de connexion/cookies techniques. Ces cookies techniques sont utilisés par OZ – communication-design à des fins statistiques.

Vous pouvez également paramétrer vos cookies (les effacer, les refuser, gérer vos cookies préférés) sur votre navigateur. Les liens suivants vous expliquent comment effectuer ces réglages pour les principaux navigateurs :

  • Internet Explorer
  • Firefox
  • Google Chrome
  • Safari
  • IOS
  • Android

Utilisation et protection du logo
Le nom de OZ – communication-design et le logo officiel sont protégées par la loi sur la propriété intellectuelle.

Demande d’autorisation
Pour un usage du logo les ayants-droit doivent demander expressément une autorisation écrite, dûment motivée et documentée. Ils doivent déposer avant la réalisation, par courrier ou courrier électronique auprès de OZ – communication-design, un exemplaire du document comportant ces éléments. L’utilisation du logo ne pourra se faire qu’après que l’autorisation soit délivrée au requérant.

Utilisation illicite, sanctions
Toute utilisation illicite ou sans autorisation du logo sera poursuivie légalement. Les sanctions seront celles décrétées par l’organe judiciaire au sens des lois suisses en vigueur en la matière.