Le RGPD s’applique-t-il en Suisse ?

Le RGPD est pleinement entré en vigueur le 25 mai dernier. Ce nouveau règlement s’applique sur tout le territoire de l’UE. Néanmoins, une interrogation revient souvent auprès des spécialistes, le RGPD s’applique-t-il à la Suisse ? Étant donné sa proximité et les nombreux accords bilatéraux et multilatéraux en rapport avec la finance, les marchés publics qu’elle a avec de nombreux pays d’Europe, dont la France ? DPMS, votre spécialiste en protection des données personnelles, vous apporte les réponses.

RGPD : au-delà de l’EU

La personne physique, le citoyen, est le point central du RGPD. Il s’agit de protéger les personnes contre l’usage abusif que les entreprises feront des données des personnes. C’est pour cette raison que le RGPD s’applique au-delà des limites de l’UE. L’art. 3 précise en ce sens que le RGPD s’applique au traitement des données à caractère personnel « que le traitement ait lieu ou non dans l’Union ». Cet article montre bien la portée globale du RGPD. En réalité, cette portée est bien plus grande que l’on pense si l’on considère que les entreprises européennes doivent respecter le RGPD, peu importe la nationalité de la personne concernée, à partir du moment où c’est un résident européen.

Il faut donc comprendre que même si la Suisse n’a pas adopté le RGPD par un accord bilatéral, ce nouveau règlement s’y appliquera à partir du moment où le traitement des données personnelles porte sur un résident de l’UE. Il s’appliquera même si l’entreprise est Suisse agissant pour le compte de clients suisses ou pour le compte de clients tiers (entreprise française, américaine, chinoise…). Ce principe d’extraterritorialité reste assez novateur même si on le rencontre déjà dans d’autres pays. Le RGPD s’appliquera également aux entreprises suisses qui font du monitoring portant sur des résidents européens, aux entreprises étudiant et surveillant les activités de résidents européens et enfin aux entreprises proposant des produits et services à des résidents européens.

La Suisse prend son temps

L’application de fait du RGPD en Suisse est particulièrement opportune étant donné que le pays prend son temps dans l’adoption d’une loi fédérale portant sur la protection des données personnelles, alors que c’était un pays ‘adéquat’ dans la cadre de la directive abrogée par le RGPD. En effet, la Suisse prévoit de moderniser sa législation dans le domaine, mais la modernisation prendra encore quelques années (3 ans maximum pour ne pas perdre son ‘adéquation’). En effet, le parlement suisse a décidé en janvier 2018 un examen passant par 2 étapes : la protection des données sous l’angle policier et sécuritaire et ensuite un contrôle de la sécurité des plateformes et des utilisateurs.

Bien évidemment, ce retard n’est pas dramatique en soi puisque plusieurs pays n’ont même pas adopté des lois nationales sur la protection des données. Dans une certaine mesure, la mise en place par la Suisse d’une législation sur la protection des données axée sur la transparence sera une continuité et ainsi nous pourrons continuer de transférer des données vers la Suisse tout comme c’était le cas sous la directive européenne de 1995…