Dès le 25 mai 2018, les dispositions du règlement général de l’UE sur la protection des données («RGPD» ou GDPR en anglais) s’appliqueront pour la collecte et le traitement des données à caractère personnel dans l’UE. Selon le principe du lieu où se tient le marché, le traitement des données personnelles par les opérateurs de sites Web suisses peut également relever du domaine d’application du RGPD.

En menaçant d’infliger des amendes élevées, l’UE a fait de la protection des données un thème hautement discuté dans les conseils d’administration comme dans les médias. Il est peu probable que les autorités européennes de protection des données choisissent les sociétés suisses comme premières victimes de leurs fortes amendes, mais il faudra toutefois s’attendre à certains désagréments tels que des mises en garde ou des requêtes de la part des autorités (p. ex. demande de suppression de données) si vous ne vous adaptez pas aux nouvelles exigences. En dehors de cela, la loi suisse sur la protection des données est également en cours de révision et devrait produire des règles similaires dans les deux prochaines années.

Le traitement responsable des données personnelles est une condition préalable importante pour la confiance des utilisateurs. Indépendamment de l’applicabilité du RGPD dans des cas individuels, il est donc utile de prendre au sérieux la confidentialité des utilisateurs ainsi que la sécurité des données.

Suis-je concerné-e?

Tout opérateur de site Web se doit de répondre à cette question. Cependant, nous pouvons vous fournir des indicateurs qui vous aideront à y répondre. Le règlement est basé sur le principe «du lieu où se tient le marché». En conséquence, le fait que le fournisseur du site soit basé en dehors de l’UE ou non n’entre pas en considération. La place de marché sur Internet est l’endroit où le visiteur répond à l’offre ou consulte le site Web (avec son smartphone dans l’aéroport de Francfort, sur son ordinateur portable dans le TGV entre Paris et Zurich, etc.)

Le RGPD est notamment applicable lorsque des offres suisses sont adressées à des clients finaux dans l’UE ou lorsque des fournisseurs suisses analysent le comportement d’utilisation des clients finaux dans l’UE. En revanche, l’accessibilité (passive) d’une offre en ligne provenant de l’UE ne rend pas encore le RGPD applicable. Une autre idée fausse très répandue est que le RGPD s’applique automatiquement si une personne concernée est originaire de l’UE.

Les indicateurs possibles de l’applicabilité du RGPD sont, par exemple, l’indication des prix des produits dans diverses monnaies (p. ex. CHF et euro), un itinéraire depuis l’étranger, des indications de frais de livraison à l’étranger ou un numéro de téléphone avec l’indicatif international. La réglementation est assez floue dans ce domaine et il n’existe pas de cas précédent qui montrerait la voie à suivre.

En cas de doute, nous vous recommandons pour le moment de partir du principe que vous êtes concerné-e par le RGPD et de prendre les mesures appropriées.

Que dois-je faire?

Une fois le RGPD en vigueur, le traitement des données personnelles ne sera autorisé que s’il est justifié. Le RGPD propose un total de six justifications différentes, le consentement de l’utilisateur étant la justification la plus largement discutée et la plus fréquemment utilisée.

Il n’est pas facile d’obtenir une approbation valide conformément aux règles du RGPD: le consentement n’est valide que s’il a été donné de manière volontaire et explicite sur la base d’informations appropriées (en relation avec un ou plusieurs objectifs), et peut être révoqué à tout moment. Très souvent, les utilisateurs sont submergés par autant d’informations et ne veulent rien savoir. On oublie souvent que l’intérêt commercial légitime est également considéré comme une justification. Cependant, il est important de savoir faire un compromis entre ses propres intérêts et ceux de l’utilisateur. Dans la plupart des cas d’utilisation commerciale de données personnelles, cette justification peut être plus appropriée qu’un consentement. Même l’exécution du contrat est considérée comme une justification, tout comme l’obligation ou la défense juridique contre un désavantage subi par la personne concernée.

Indépendamment de la justification, vous ne pouvez collecter et traiter que les données personnelles réellement nécessaires et donc justifiées pour atteindre l’objectif fixé. Dans une boutique en ligne, cela peut être, par exemple, l’adresse postale et la date de naissance. L’appartenance religieuse n’est pas déterminante, par exemple, pour l’achat d’une bouteille de vin. Exiger ou stocker cette information ne serait donc pas justifié au regard du RGPD.

Une fois que vous avez un aperçu des données que vous traitez et de leur mode de traitement, vous devez les consigner (registre des traitements de données). Dans le cas d’une enquête, vous devez être en mesure de présenter ce document.

De plus, chacun est libre d’exiger un accès aux données traitées le concernant et d’en connaître les utilisations prévues, sauf si des intérêts propres prépondérants s’opposent à cette divulgation.

Si plusieurs personnes ont accès à ces données (p. ex. webmasters, employés, partenaires externes, etc.), celles-ci doivent également documenter et prouver qu’elles ont une raison légitime de travailler avec ces données.

Les mesures de protection (protection contre les virus, stockage des données, protection contre les accès non autorisés, etc.) doivent également être appropriées et documentées.

Principe de base: la responsabilité du respect des exigences réglementaires incombe toujours à la personne qui collecte et traite les données personnelles, généralement l’opérateur du site Web qui traite les données de ses visiteurs et clients.

L’«Accord de traitement des données contractuelles»

Presque chaque plate-forme en ligne permet de traiter certaines données par des tiers. En tant que fournisseur de services d’hébergement, nous stockons les données (et pas seulement les données personnelles) de nos clients. Le client reste responsable de la collecte et du traitement légitimes des données personnelles. Hostpoint est ce qu’on appelle un agent de traitement de données. Dans ce rôle, nous assistons nos clients dans leurs responsabilités. Les responsabilités mutuelles doivent être convenues par écrit, conformément au RGPD. Lorsque le RGPD s’applique, un Accord de traitement des données contractuelles (contrat ADV) doit être conclu entre le client et Hostpoint. Ces informations sont disponibles sur notre Control Panel – indépendamment de l’existence ou non d’une obligation légale de conclure un tel contrat. Vous pouvez également consulter ce contrat à tout moment dans votre Control Panel sous «Admin» -> «Contrats».

Hostpoint peut-il me soutenir juridiquement?

Hostpoint ne peut fournir aucun conseil juridiquement contraignant dans le cadre de son activité de fournisseur d’accès Internet. Nous faisons de notre mieux pour informer nos clients en notre âme et conscience et fournir une assistance. Cependant, cela ne remplace pas les conseils d’un expert juridique légitime.

Je voudrais m’informer en détail

Il existe désormais de nombreux articles sur Internet qui abordent ce thème de manière plus ou moins approfondie, proposant de nombreuses analyses et interprétations variées du RGPD et de son incidence. Cependant, lors de votre recherche, rappelez-vous que la situation juridique est dominée par une grande incertitude et qu’il n’existe encore aucune indication d’interprétation ou de jurisprudence des tribunaux.

Nous aimerions néanmoins partager avec vous quelques liens pertinents:

Le RGPD en allemand ou en anglais: https://dsgvo-gesetz.de

Avis du PFPDT: https://www.edoeb.admin.ch/edoeb/fr/home/documentation/bases-legales/Datenschutz%20-%20International/DSGVO.html

Exclusion de responsabilité

Cet article a été compilé en fonction des connaissances et de la littérature actuelles. Même les opinions d’experts divergent parfois. Les questions et réponses ne sont donc pas encore définitivement clarifiées et pour la Suisse, la loi révisée sur la protection des données sera également à prendre en compte. Nous n’assumons aucune responsabilité quant à son exactitude et son exhaustivité. Chaque opérateur doit se confronter individuellement au sujet, probablement en se faisant aider d’un expert juridique.

Le nouveau RGPD de l’UE: quels sont les aspects qui vous concernent en tant qu’exploitant de site Web?

Claudius Röllin

Co-Founder & Chief Product Officer

0