INTRODUCTION

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données ou RGPD), abrogeant la directive 95/46/CE, entrera en vigueur le 25 mai prochain.
Dès cette date, ledit règlement sera directement applicable dans l’ensemble de l’Union européenne sans qu’aucune transposition en droit interne ne soit nécessaire par les États membres (contrairement à une directive).

Ce texte est l’aboutissement de plus de quatre ans de travaux au sein de l’UE et vise à remplacer la directive de 1995 qui a été appliquée de manière disparate par les différents pays.

Le but est de créer un ensemble uniforme et cohérent de règles à travers l’UE, adaptées à l’ère du numérique, afin de renforcer la sécurité juridique et la confiance des citoyens en leur conférant davantage de contrôle sur leurs données personnelles. Le règlement entend également renforcer le rôle des autorités de protection des données et responsabiliser les entreprises tout en rationnalisant les transferts internationaux de données personnelles.

Ce texte aura des répercussions directes sur un grand nombre d’entreprises suisses, y compris sur les gestionnaires de fortune. Décodage…

*****

1. CHAMP D’APPLICATION MATÉRIEL DU RGPD

Il n’y pas de changement au niveau du champ d’application matériel par rapport à la directive. Sauf exceptions, le RGPD s’applique à tout traitement de données personnelles (collecte, enregistrement, stockage, utilisation, communication, destruction, etc.) automatisé ou non, contenues dans un fichier et se rapportant à une personne physique (les personnes morales ne sont pas concernées) identifiée ou identifiable et mis en œuvre par une personne physique ou morale de droit public ou privé.

2. CHAMP D’APPLICATION TERRITORIAL DU RGPD

Par rapport à l’ancienne directive sur la protection des données, le champ d’application territorial du RGPD a été étendu et comprend désormais le critère du groupe cible de personnes visées par le traitement des données. Le règlement aura donc un effet extraterritorial, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) (affaire Google Spain).

Ainsi, celui-ci s’appliquera non seulement au traitement de données par des responsables (par exemple une succursale ou une filiale européenne d’une entreprise suisse) ou des sous-traitants (par exemple un prestataire de services informatiques) situés sur le territoire de l’Union européenne (peu importe le lieu de résidence ou la nationalité de la personne physique concernée par le traitement des données) mais également aux entreprises situées hors du territoire (par exemple en Suisse) lorsqu’elles :

– Offrent des biens ou des services à des personnes situées dans l’Union européenne ; ou

– Observent le comportement de personnes physiques situées dans l’Union européenne (par exemple l’analyse du comportement des visiteurs d’un site Internet (profilage en vue de publicité comportementale) par l’utilisation de tracking cookies ou de Google Analytics).

« LE CHAMP D’APPLICATION DU RGPD EST TRÈS LARGE ET S’ÉTEND AU-DELÀ DES FRONTIÈRES DE L’UE, Y COMPRIS À LA SUISSE. »

A noter que pour déterminer à quelles conditions une entreprise est réputée offrir des biens et des services vers un État de l’Union européenne (on parle de « diriger ses activités »), nous pensons qu’il convient de se référer aux critères établis par la CJUE en matière de contrats conclus avec des consommateurs. Nous renvoyons à cet égard le lecteur à notre dernière Newsletter du 5 février 2018 (l’impact de MiFID II en Suisse) qui explicite ceux-ci. La question est particulièrement complexe en ce qui concerne les sites Internet.

Nous rappellerons ici qu’il convient de prendre en compte à cet égard un faisceau d’indices comprenant par exemple :

• La langue ou la monnaie de référence courant dans un ou plusieurs États membres ;

• La possibilité de commander des biens et des services dans cette langue ;

• La mention de clients ou d’utilisateurs qui se trouvent sur le territoire de l’Union ;

• La mention d’un numéro de téléphone avec un indicatif téléphonique international ;

• La description de l’itinéraire depuis un État membre au lieu où le service est offert ;

• La mention sur le site Internet d’une clientèle internationale domiciliée dans divers États membres ;

• L’utilisation d’un domaine Internet de premier niveau autre que celui de l’État où le service est offert (par exemple pour une entreprise suisse l’extension .fr ou .it).

On relèvera toutefois que la simple accessibilité du site Internet de l’entreprise depuis l’Union ne suffit pas pour établir l’intention de diriger ses activités vers ce territoire.

3. LES DROITS DES PERSONNES CONCERNÉES

Le RGPD oblige le responsable du traitement des données à prévoir des procédures et des mécanismes permettant à la personne visée d’exercer en toute transparence un certain nombre de droits. Toute information à ce propos adressée au public ou à une personne concernée doit être aisément accessible et facile à comprendre dans une forme concise et transparente, et formulée en termes simples et clairs. Elle doit en principe être fournie par écrit et sans frais. Les droits de la personne concernée consistent entre autres en :

– Le droit d’être informé (articles 13 et 14 RGPD), au moment où les données à caractère personnel sont obtenues, du traitement de celles-ci. Les informations suivantes doivent par exemple être données :

 + l’identité et les coordonnées du responsable du traitement ;
 + la finalité du traitement ;
 + les destinataires des données, s’ils existent ;
 + la durée de conservation des données ;
 + le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
 + l’existence du droit de demander au responsable du traitement l’accès aux données, la rectification ou l’effacement de celles-ci ;
 + des informations sur la question de savoir si l’exigence de fourniture de données a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat.

– Le droit d’obtenir l’accès à ses données personnels et d’en obtenir une copie (article 15 RGPD).

– Le droit de demander que ses données soient rectifiées ou complétées dans les meilleurs délais (article 16 RGPD).

– Le droit de demander à certaines conditions (par exemple lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées) l’effacement de ses données dans les meilleurs délais (article 17 RGPD).

L’information sera généralement fournie sur une base collective par le biais de conditions générales ou d’une déclaration de confidentialité publiée sur le site Internet de l’entreprise.

4. LE CONSENTEMENT

Tout traitement de données personnelles doit être licite, c’est-à-dire qu’il doit reposer sur un intérêt public ou privé prépondérant (par exemple en vue de la conclusion d’un contrat), être justifié par la loi (par exemple pour les obligations en matière de blanchiment d’argent) ou par le consentement de la personne visée.

A cet égard, le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale (ce qui pose un problème de preuve) pour une ou plusieurs finalités spécifiques.

Le consentement devra être explicite en cas de traitement de données sensibles ou en cas de profilage (soit toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique comme pour analyser ou prédire des aspects concernant les préférences ou les centres d’intérêt personnels de la personne concernée ou sa localisation et ses déplacements).

« UN COMPORTEMENT ACTIF DE LA PERSONNE CONCERNÉE SERA REQUIS POUR OBTENIR SON CONSENTEMENT. UN CONSENTEMENT TACITE, UNE CASE PRÉ-COCHÉE OU LA PASSIVITÉ DE LA PERSONNE CONCERNÉE NE SUFFIRA PLUS. »

La personne concernée pourra en tout temps révoquer son consentement.

Le RGPD et la protection des données à caratère personnel.

Les entreprises, y compris celles situées en Suisse, vont devoir prendre des mesures afin de se conformer au RGPD.

5. OBLIGATIONS DES ENTREPRISES

Les entreprises (responsables et sous-traitants), basées à l’étranger, mais soumises au RGPD devront impérativement désigner par écrit un représentant établi dans l’un des États membres de l’UE dans lesquels résident les personnes physiques visées (article 27 RGPD). Cette personne sera l’interlocuteur des autorités de contrôle et des personnes concernées. Elle devra tenir un registre de toutes les activités de traitement sous sa responsabilité (voir ci-dessous) et pourra faire l’objet de sanctions en cas de non-respect du règlement, en sus de celles prononcées à l’encontre du responsable ou du sous-traitant (amendes administratives mais en tant qu’ultime recours puisque les autorités disposent d’autres moyens comme l’avertissement, la mise en demeure, la limitation temporaire ou définitive d’un traitement, les rappels à l’ordre, etc.).

A noter que le devoir de désignation ne concerne pas le traitement occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données sensibles visées à l’article 9 par.1 du règlement, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement.

Le responsable du traitement sera garant de la mise en conformité au règlement et devra être capable démontrer celle-ci (renversement du fardeau de la preuve). Par le biais de mesures techniques et organisationnelles, un niveau de sécurité adapté aux risques devra être garanti afin de protéger les droits et libertés des personnes physiques, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement (on parle de « Privacy by design »).

Par ailleurs, le responsable de traitement est tenu de s’assurer qu’en principe seront seulement traitées les données personnelles qui sont nécessaires pour la finalité prévue (on parle de « Privacy by default »).

En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, l’autorité de contrôle devra être informée dans les meilleurs délais et, si possible, 72 heures au plus tard, de même que la personne concernée (pas de délai toutefois) (on vise ici les « data breaches »). Le responsable de traitement devra conserver une trace documentée de chaque violation, indiquant son contexte, ses effets et les mesures prises pour y remédier.

Les entreprises de plus de 250 employés seront soumises à l’obligation de tenir un registre des activités de traitement (sous forme électronique) effectuées sous leur responsabilité (article 30 RGPD). Ce registre, qui contiendra notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, les personnes concernées, les catégories de destinataires, les délais prévus pour l’effacement des différentes catégories de données ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles prises. Ce registre devra être présenté aux autorités de contrôle sur demande.

Hormis certaines situations où cela sera contraignant, une analyse d’impact sur la protection des données ne devra être effectuée que lorsqu’un traitement sera susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 RGPD).

Enfin, dans certains cas, la désignation d’un délégué à la protection des données sera obligatoire, notamment dans l’hypothèse où l’entreprise effectue des traitements de données sensibles (par exemple les données génétiques ou biométriques, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou les informations relatives à la santé ou à la vie sexuelle).

Le règlement encourage pour finir l’élaboration de codes de conduites préparés en fonction de la spécificité de chaque secteur de traitement des données et des besoins spécifiques des entreprises et soumis à l’approbation des autorités de protection des données compétentes.

6. QUELLES CONSÉQUENCES POUR LES GESTIONNAIRES DE FORTUNE SUISSES ?

Comme il l’a été relevé ci-dessus, le règlement déploie des effets extraterritoriaux. Ainsi, quand bien même le gérant de fortune ne disposerait pas d’un établissement stable dans l’Union européenne, il pourrait être soumis aux normes de celle-ci s’il offre des services dans l’Union, à savoir s’il dirige ses activités vers ce territoire. Il appartient ainsi à chaque entreprise de déterminer s’il tombe dans cette catégorie ou non à l’aide des indices mentionnés ci-dessus et qui correspondent aux critères de la Convention de lugano en matière de contrats conclus par des consommateurs.

Par ailleurs, il ne faut pas sous-estimer le critère du « suivi de comportement » de personnes situées dans l’Union européenne. Dès l’instant ou un gestionnaire de fortune utilise des méthodes de profilage (par exemple l’utilisation de cookies sur son site Internet) afin de « tracker » les intérêts, les préférences ou les habitudes d’internautes européens, il est hautement probable que le RGPD soit applicable.

Si le gestionnaire parvient à la conclusion qu’il est soumis audit règlement, il devra prendre les mesures suivantes :

– Établir un inventaire de tous les traitements de données auxquels il procède.

– Mettre à jour les conditions générales de son site Internet par le biais d’une déclaration de confidentialité, qui sera complète et aisément compréhensible, et qui divulguera aux internautes la nature, l’étendue des données traitées ainsi que leurs droits en rapport avec celles-ci.

– Adapter les mandats de gestion à la lumière des nouvelles exigences en matière de protection des données, notamment par le biais d’une déclaration de consentement.

– Examiner l’obligation de nommer un représentant dans l’UE, étant précisé que le règlement est flou en la matière et est source d’insécurité juridique en l’état.

– Mettre en place des moyens organisationnels (compliance, etc.) et techniques pour protéger les personnes concernées ainsi que des procédures en cas de « leaks ».

« UNE ATTENTION PARTICULIÈRE DEVRA ÊTRE PORTÉE AUX TRAITEMENTS DES DONNÉES PERSONNELS RELATIVES AUX CONDAMNATIONS PÉNALES ET AUX INFRACTIONS AINSI QU’À L’UTILISATION DE SYSTÈMES DE PROFILAGE COMME FACTIVA, LEXISNEXIS OU ENCORE WORLD-CHECK. »

On relèvera enfin que la Suisse a également engagé en 2017 un processus de révision de la Loi fédérale sur la protection des données (LDP) afin de rendre celle-ci conforme au droit européen. Cette réforme est nécessaire afin que la législation suisse continue d’être reconnue comme offrant une protection « adéquate » du point de vue de l’Union européenne et que le transfert de données transfrontalier puisse être assuré. La nouvelle loi devrait entrer en vigueur début 2019 (la date du 1er août 2018 fixée par le Conseil fédéral semble peu réaliste) et entrainera également des changements au niveau des entreprises suisses non actives sur le marché de l’Union. Les exigences de la loi seront toutefois moins strictes que celles qui prévalent dans l’Union européenne.