Le Règlement général sur la protection des donnes adopté au sein de l'Union européenne (RGPD) est applicable aux entreprises suisses dans les cas prévus par différents critères, tel que de leur lieu d'établissement et du ciblage de leur activité.
Ces critères sont au nombre de deux:
De l’établissement:
- Traitement des données personnelles qui a lieu dans le cadre des activités d'une succursale ou filiale2 européenne d’une entreprise suisse sur le territoire de l’Union;
- Sous-traitance3: Traitement des données personnelles effectué par une entreprise suisse4 en tant que sous-traitant pour le compte d’une entreprise européenne.
Un sous-traitant sur le territoire de l'Union (par exemple un prestataire de services informatiques) qui traite des données personnelles pour une entreprise suisse sera soumis au Règlement peu importe qu’il traite des données de personnes concernées en Suisse ou dans l’Union (art. 3 § 1 RGPD). Il sera tenu de respecter les obligations spécifiques aux sous-traitants prévues par le Règlement (cf. articles 28, 30 § 2 et 37 RGPD) et les exigences découlant du droit suisse (cf. art. 10a LPD). Sa responsabilité est susceptible d’être engagée en cas de manquement. Cela ne signifie toutefois pas que le responsable de traitement en Suisse sera de ce fait soumis au Règlement.
2 Le considérant 22 RGPD précise qu’un établissement suppose l’exercice d’une activité réelle et effective, au moyen d’un dispositif stable, et dans le cadre de l’activité de l’établissement. La forme juridique retenue pour un tel dispositif n’est pas déterminante à cet égard.
3 La CNIL a rédigé un guide à l’attention des entreprises sous-traitantes qui continent notamment des exemples de clauses contractuelles de sous-traitance
4 Pour autant que l’entreprise suisse ait l’intention d’offrir des biens ou des services à des résidents de l’Union européenne
Du ciblage:
- Traitement des données personnelles de résidents de l'Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour leurs offres de biens et de services dans l'Union, qu'un paiement soit exigé ou non (art. 3 § 2 (a) RGDP);
Le RGPD n’offre pas de définition précise des notions d’offres de bien et de service. Il convient d’établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Afin d’établir cette intention, il convient de prendre en compte un faisceau d'indices comprenant, par exemple: «l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue, la mention de clients ou d'utilisateurs qui se trouvent dans l'Union. - Traitement des données personnelles de résidents de l'Union européenne effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour le suivi du comportement des personnes concernées au sein de l'Union (art. 3 § 2 (b) RGPD).
Pour ce qui est de la notion de suivi de comportement et de déterminer si une activité de traitement peut être considérée telle, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.