#articles

Qu'est ce que le RGPD et quel est son impact pour les entreprises suisses?

6 min

Le RGPD (Règlement général sur la protection des données) entrera en vigueur le 25 mai prochain dans toute l’Europe. La réglementation suisse va suivre et reprendra les principaux éléments de ce règlement européen. Il est donc vivement conseillé (c’est un euphémisme) aux sites internet suisses de se mettre en conformité.

Cette nouvelle loi a pour but de donner aux utilisateurs des services internets un meilleur contrôle de leurs données personnelles. L’entrée en vigueur de ce règlement pourrait avoir des conséquences pour de nombreuses entreprises.  Beaucoup de réseaux sociaux et pages Facebook vous sollicitent lors de vos visites sur leurs pages ces derniers temps afin de se mettre en conformité avec le RGPD car le délai approche à grand pas (11 jours si vous lisez cet article aujourd’hui).

Les points principaux à retenir pour les entreprises exploitant des données personnelles sont les suivants :

Nécessité contractuelle

  • Les données traitées doivent être nécessaires au service et définies dans le contrat avec la personne.

Consentement

  • Nécessité d’un consentement spécifique, informé, accordé librement et sans ambiguïtés par une action positive claire.
  • Les personnes ont le droit de retirer leur consentement et doivent être informées de ce droit.
  • Il doit provenir d’une personne ayant atteint la majorité selon les lois de l’État membre concerné ou il doit être donné ou autorisé par un parent ou une personne responsable dans le cas d’un mineur.
  • Le consentement exprès peut être requis dans certains cas (par exemple, des catégories spéciales de données personnelles).

Intérêts légitimes

  • Une entreprise ou un tiers doit avoir un intérêt légitime, sur lequel aucun droit ni intérêt personnel ne prime.
  • Le traitement de données doit être suspendu si une personne émet une objection.

(source: https://www.facebook.com/business/gdpr)

 

A propos du consentement, un article de l’étude Kellerhals-Carrad nous apporte des informations plus précises:

Selon le RGPD, il suffit que l’entité récoltant les données puisse apporter la preuve du consentement de l’utilisateur. Le consentement ne doit donc pas revêtir une forme particulière et peut également être donné sous forme électronique ou orale. Il doit dans tous les cas être donné explicitement. Partant, un comportement actif des personnes concernées est généralement requis, et d’autres variantes telles un consen- tement tacite, une case pré-cochée ou la passivité de la personne concernée ne suffisent pas à déduire un consentement. Lorsque le consentement est donné sous forme écrite, l’invitation à consentir doit se faire sous une forme compréhensible et facilement accessible dans un langage clair et simple et être distinct d’autres sollicitations.

 

J’ai installé un pixel de tracking sur mon site, que dois-je faire? 

En cas d’utilisation de cookies ou de pixel Facebook sur le site de votre entreprise, vous devrez clairement annoncer aux utilisateurs le fait que leur comportement sera tracé et leur demander leur consentement.

Le guide européen met en avant quatre conditions principales du consentement de l’utilisateur :

  1. Il doit être spécifique et basé sur des informations appropriées.
  2. Il doit être donné avant l’utilisation des cookies ou d’autres technologies de stockage pour collecter des informations.
  3. Il ne doit pas être ambigu.
  4. Il doit être donné de gré.

Exemples d’éditeurs pouvant avoir besoin du consentement de leurs visiteurs :

  • Un site commercial qui utilise des cookies pour collecter les informations sur les produits que les visiteurs consultent afin de cibler les publicités sur les personnes en fonction de leur activité sur le site.
  • Un site d’informations qui fait appel à un serveur publicitaire tiers pour diffuser des publicités, si ce serveur utilise des cookies pour collecter des informations sur les personnes qui regardent ces publicités.
  • Un annonceur Facebook qui installe le pixel Facebook sur son site web afin de mesurer les conversions publicitaires ou de recibler les publicités sur Facebook.

 

Les entreprises actives sur internet sont donc « vivement invitées » à se mettre en conformité avec le RGPD rapidement afin d’éviter de mauvaises surprises dans les années à venir. Les amendes prévues en Suisse peuvent aller jusqu’à 250’000 francs. Le RGPD entre en vigueur le 25 mai, donc n’attendez plus!

 

Exemple:

Zalando utilise des cookies pour suivre le comportement des utilisateurs de son site et leur proposer ensuite des pubs très personnalisées. Sur son site on retrouve donc au sommet de la page un bandeau qui informe l’utilisateur: « Afin de vous proposer le meilleur service possible, Zalando utilise des cookies. En continuant de naviguer sur le site, vous déclarez accepter leur utilisation. » Attention, l’utilisateur doit cliquer sur « j’accepte » pour que la procédure soit correct. Il doit ensuite pouvoir avoir la possibilité de modifier son choix s’il le souhaite. Le site donne des informations plus détaillées sur l’utilisation des cookies. Des explications sur la désactivation des cookies selon les navigateurs sont également disponnibles. 

 

Pour aller plus loin:

« Règlement européen sur la protection des données – Ce que les entreprises suisses doivent savoir » Kellerhals Carrard

« RGPD : zoom sur les nouveaux droits des utilisateurs » Les Echos

Client

Formation

Service(s)

Ludovic Chenaux

Collaborateur