Règlement européen sur les données : quel impact pour les données suisses ?

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Cette réglementation permet désormais aux personnes situées au sein de l’UE de voir leurs données personnelles – c’est-à-dire leur âge, sexe, nombre d’enfants, mais aussi adresse email ou IP, plaque d’immatriculation, données de santé, etc. – mieux protégées. Gabriel Avigdor, avocat lausannois spécialisé dans les nouvelles technologies et la santé, conférencier et certifié professionnel de la protection des données pour l’Europe (CIPP/E), répond à nos questions sur l’impact de cette réglementation pour les Suisses.

Le RGPD est entré en vigueur il y a quelques mois. Est-ce que cela veut dire que les Suisses sont désormais moins bien protégés que leurs voisins européens ?

Gabriel Avigdor  – La loi sur la protection des données (LPD) en Suisse date de 1992. La Suisse bénéficiait, jusqu’à la révision du RGPD, d’une « décision d’adéquation », ce qui veut dire que l’UE considérait qu’elle donnait droit à ses citoyens à un niveau de protection adéquat et équivalent à celui des citoyens européens, ce qui permettait une libre circulation des données personnelles entre la Suisse et l’UE.

L’entrée en vigueur du RGPD le 25 mai a entraîné la création de nouvelles obligations pour les entreprises et de droits supplémentaires pour les individus qui ne font pas partie de l’ordre juridique suisse. Le RGPD met un fort accent sur la responsabilité des entreprises, et impose d’informer l’utilisateur sur la nature des données collectées, mais aussi sur son consentement pour l’utilisation de ses données personnelles – consentement qui peut être retiré à tout moment. Ce règlement met ainsi en avant la nécessité de transparence accrue des plateformes, ouvre la porte au droit à l’oubli et, le cas échéant, au droit à la portabilité des données d’une plateforme à l’autre. Des éléments qui sont absents en Suisse, où l’exercice des droits des citoyens est moins aisé qu’en UE, puisqu’il nécessite une procédure judiciaire longue et souvent disproportionnée pour un individu.

Est-ce que cela veut dire que la Suisse va être obligée de se mettre à la page ?

Elle n’a aucune obligation de le faire, elle ne fait pas partie de l’Union européenne. Mais elle y est contrainte si elle souhaite conserver sa décision d’adéquation. La subtilité du nouveau règlement européen, c’est que sa juridiction ne s’arrête pas aux frontières de l’UE.

Le RGPD s’applique également à l’étranger, si une entreprise offre des biens et des services ou surveille le comportement de personnes situées en Europe. C’était une modification nécessaire pour éviter que les GAFA (Google, Apple, Facebook, Amazon, etc.) puissent contourner le règlement. Après tout, il faut rappeler que le RGPD avait été désigné à l’origine comme la « Lex Facebook ».

Dans le même temps, une personne située en Suisse, même citoyenne de l’UE, n’est pas protégée par le RGPD. Ce sera la LPD qui règlera le traitement de ses données personnelles et l’exercice de ses droits.

Certaines entreprises suisses – Migros et Swiss entre autres – ont pourtant pris l’engagement de se conformer aux exigences du RGPD. Est-ce que c’est l’avant-garde d’un mouvement amené à se généraliser?

C’est à mon avis souhaitable. Il ne serait pas heureux de rester trop longtemps en marge des modifications qui sont celles de l’UE, notamment pour des raisons de compétitivité. Il y a un marché immense de l’utilisation des données avec les nouvelles technologies et les systèmes connectés. Ne pas être conforme avec le RGPD est aujourd’hui un désavantage concurrentiel pour les entreprises suisses.

Un projet de révision de la LPD a été soumis au Parlement qui a décidé de scinder le projet en deux parties. Nous attendons de voir si le projet permettra de maintenir un niveau de protection adéquat en Suisse tout en étant en ligne avec le nouveau règlement européen.

Comment le RGPD a fait évoluer la protection des données de santé ?

Au niveau européen, les données de santé sont considérées comme des données « sensibles ». Elles étaient déjà réglementées et protégées par la Directive 95/46 et elles le resteront avec le RGPD. Ce dernier ajoute toutefois aux réglementations précédentes une notion spécifique de données génétiques et biométriques, ces dernières concernant des données permettant l’identification unique d’une personne, comme la reconnaissance faciale ou les empreintes digitales. Les données de santé nécessitaient déjà le « consentement explicite », plus exigeant qu’un simple clic sur un formulaire. Le RGPD amène une mise à jour, assez similaire à ce qui est le cas pour les données personnelles, avec une valorisation de la transparence du côté des plateformes dans la manière d’informer les individus sur les données qu’elles vont récupérer et pour quel usage. L’obtention du consentement des individus à voir leurs données personnelles traitées change également. Il nécessite désormais une affirmation positive et claire («clear statement») et confirmée par une déclaration écrite (ex. formulaire de consentement que l’on signe et qu’on confirme par oral à une personne neutre).

Du côté suisse, le droit est assez similaire à la législation européenne qui préexistait au RGPD. Il y a une interdiction générale, comme en Europe, d’utilisation de ces données sensibles, sauf à certaines conditions, dans le cadre thérapeutique par exemple. Il faut ajouter que les données de santé sont aussi soumises à d’autres règles, et non seulement celles de la protection des données. Nous avons 26 législations cantonales qui traitent par exemple de l’accès au dossier médical par le patient, des règles sur la protection du secret médical ainsi qu’une nouvelle loi sur le dossier électronique du patient (LDEP). Même si le droit suisse ne dispose pas encore de toutes les améliorations apportées par le RGPD, les données de santé suisses ne sont pas moins bien protégées que les européennes.