Protection des données de l’UE: nouvelles obligations pour les PME suisses

Le règlement général sur la protection des données européen (RGPD) renforce la législation en matière de protection des données dans l’ensemble de l’UE. Il comprend diverses nouvelles obligations et concerne non seulement les entreprises de l’UE, mais aussi celles de Suisse.

Les PME suisses concernées

Le règlement peut également s’appliquer au traitement de données effectué par-delà les frontières l’UE, à savoir en Suisse, notamment. Les entreprises sont concernées dès lors qu’elles proposent des marchandises ou des prestations de service à des personnes dans l’UE ou que le comportement de personnes est surveillé au sein de l’UE. Ces directives peuvent donc également avoir des conséquences juridiques pour des entreprises dont le siège est situé en Suisse.

Des sanctions plus sévères

Le règlement prévoit de nombreuses nouvelles obligations en matière de documentation et de preuves. En outre, les entreprises peuvent désormais être contraintes de nommer un responsable de la protection des données. Les dispositions renforcent les droits des particuliers et introduisent de nouvelles obligations organisationnelles, techniques et administratives. Toute violation de la règlementation sur la protection des données entraîne des sanctions plus sévères qu’auparavant. Dans le pire des cas, une entreprise peut être condamnée à payer EUR 40 mio ou 4% de son chiffre d’affaires annuel global.

Nouvelles obligations en cas de cyberattaque

En cas de faille de sécurité, et notamment en cas de cyberattaques, les entreprises sont tenues de se conformer à de nouvelles obligations. Les entreprises en question doivent réagir rapidement et signaler, si possible, l’incident sous 72 heures à l’organisme chargé de la protection des données. En fonction des circonstances, elles doivent éventuellement informer directement les personnes dont les données ont été dérobées.