Comment mettre tout le monde à égalité sur la protection des données ? En Amérique, ils n’ont pas de règles, ils pratiquent l’auto-contrôle. Chaque organisation a ses règles, et si y a un problème de gestion des données, chacun assume sa responsabilité. En Europe, une autre approche a été préconisée : le Règlement général sur la protection des données, soit la norme la plus efficace au monde, avec une clause d’extra-territorialité.
Le résultat ? Il est clair : une entreprise suisse ne pourra plus accéder aux marchés publics européens si elle n'est pas conforme au RGPD. Or dans notre pays, beaucoup d’organisations, institutions, entreprises ne sont pas aux normes alors qu’elles doivent l’être : universités, HES, service de la promotion économique,…
Pourtant les amendes sont sévères si organisations et entreprises ne sont pas en conformité : jusqu’à 4% du chiffre d’affaire ou 20 millions d’euros.
Mais comment savoir si l’on doit se conformer ? Vous êtes concerné si vous :
La définition est extrêmement large. Si vous voulez savoir si vous êtes soumis au RGPD, vous pouvez remplir ce court questionnaire d’economiesuisse (6min)
Les conséquences d’une non-conformité peuvent être extrêmement lourdes. C’est pour cela que vous recevez de nombreux emails, ces temps-ci, d’organisations qui veulent avoir votre accord pour continuer à exploiter vos données (par exemple continuer à vous envoyer leur newsletter). Vous recevez cet email car initialement ceux-ci n’ont jamais demandé votre autorisation pour exploiter vos données ! Ils tentent avec la mise en œuvre du RGPD de se mettre aux normes et de purger leurs bases de donnée marketing. Les amendes peuvent aller jusqu’à 10 millions d’Euros ou 2% du chiffre d’affaire, ou jusqu’à 20 millions et 4% chiffre d’affaire après un avertissement de l’autorité de contrôle.
Même si vous êtes qu’un simple sous-traitant d’une entreprise européenne, vous pouvez être concerné. Si l’entreprise européenne a des soupçons que vous n’êtes pas conforme au RGPD, il peut casser le contrat et vous dénoncer. Si vous ne voulez pas vous conformer au RGPD, une seule solution : ne pas vendre au ligne à l’étranger et ne pas gérer des données de clients européens.
Qui faire appel pour se conformer au RGPD ? Tout d’abord la société ou l’étude qui va vous conseiller pour vous conformer au RGPD doit avoir des compétences réelles dans la matière. Il doit en outre pouvoir vous représenter devant un tribunal européen. Car si on vous attaque, ce ne sera pas au Tribunal de Lausanne, mais à Paris, Bruxelles ou Berlin.
Si vous êtes une petite structure, les coûts pour se conformer peuvent se révéler lourds pour la bonne marche de l’entreprise. La meilleure solution est de passer par la fédération professionnelle ou de se regrouper pour pouvoir bénéficier d’un kit de conformité, avec à la clé les mêmes mesures à appliquer pour chacune des entreprises au moindre coût. En bref : industrialiser le processus.
S’adapter au RGPD permettra d’avoir une plus-value dans le traitement des données. Cela apporte une sécurité pour l’entreprise, qui s’améliora dans ses processus ISO, et un avantage concurrentiel pour l’entreprise.
Sébastien Fanti a également apporté notre attention sur les risques actuels sur le traitement des données. Pour lui le CRM (gestionnaire de relation clients) est une « arme de destruction massive ». Il ne faut jamais mettre des commentaires sur les clients. Ils ont un droit d’accès en tout temps à leurs données (art. 22 LIPDA). Si l’employeur ne répond pas à cette demande, il s’expose à une action civile. S’il ne répond que partiellement, il risque le pénal. De même, un collaborateur a droit en tout temps à ses notes qu’il peut demander à son employeur, y compris ses notes ou évaluations. En conclusion, il est recommandé d’éviter les connotations négatives et ne pas coucher par écrit la désagréabilité des clients.
Nous remercions encore une fois Me Sébastien Fanti et Messieurs Philippe & Alexandre Moulin pour la mise à disposition des locaux d'Ardévaz.