TREX – Archives

Tous ceux qui traitent des données personnelles devaient déjà depuis longtemps¹ respecter toute une série de principes de la protection des données, notamment les suivants:²

licéité (art. 4 al. 1 LPD)
traitement conforme aux principes de la bonne foi (art. 4 al. 2 LPD)
proportionnalité (art. 4 al. 2 LPD)
caractère reconnaissable et but (art. 4 al. 3 et 4 LPD)
exactitude des données (art. 5 LPD)
sécurité des données (art. 7 LPD)
limitation de la communication des données personnelles à l’étranger (art. 6 LPD).

La protection des données n’a donc nullement besoin d’être réinventée. Ce n’est cependant un secret pour personne que la protection des données connaît ou connaissait un certain déficit en termes d’exécution,³ en Suisse tout comme dans le reste de l’Europe.

Le règlement général européen sur la protection des données (RGPD)⁴ prévoit par conséquent des sanctions qui doivent être «effectives, proportionnées et dissuasives» (art. 83 al. 1 RGPD), et accompagne les obligations matérielles des sous-traitants de données d’obligations de documentation et d’organisation complémentaires (art. 5 al. 2 RGPD, «Responsabilité»; mais aussi de dispositions sur le délégué à la protection des données, le représentant dans l’UE, l’évaluation des conséquences en matière de protection des données, la gestion des manquements à la protection des données personnelles, l’implication des sous-traitants, etc.). La Suisse vise une législation analogue au RGPD et révise actuellement sa législation sur la protection des données (LPD).⁵ Même si le projet de LPD (P-LPD) en est encore au stade de la consultation,⁶ on peut supposer que la nouvelle LPD ressemblera au RGPD, bien qu’avec des nuances et – c’est à espérer – avec une approche beaucoup plus pragmatique.⁷

Le débat se focalise cependant toujours sur le RGPD, qui est entré en vigueur le 25 mai 2018 dans l’UE et le 20 juillet 2018 dans le reste de l’EEE⁸: il s’agit en l’occurrence principalement de l’application extra-territoriale du RGPD⁹ et des craintes ainsi provoquées – et nourries par le secteur du conseil –, principalement à propos des amendes élevées (qui sont toutefois exagérées pour les entreprises sans succursale dans l’EEE), des avertissements formulés par l’Allemagne (sachant que seuls quelques avertissements pour manquements au RGPD sont connus et qu’il n’a pas encore été établi s’ils pouvaient tout simplement donner lieu à des avertissements)¹⁰ et de la charge bureaucratique requise par la mise en œuvre du RGPD. Dans ce contexte, on peut se demander dans un premier temps si et quand le RGPD sera applicable aux fiduciaires en Suisse et à leurs clients.

1. Le RGPD est-il applicable aux fiduciaires suisses et à leurs clients?

1.1 Généralités

Il ne fait aucun doute que les fiduciaires relèvent du champ d’application matériel du RGPD. Ils traitent des informations se rapportant à des personnes physiques identifiées ou identifiables et donc des données personnelles (art. 4 nº 1 et 2 RGPD). Il en va de même de leurs clients. La question de savoir dans quelles circonstances le champ d’application géographique du RGPD est ouvert est, en revanche, moins claire. Nous devons distinguer deux cas de figure à cet égard:

Si un tribunal ou une autorité dans l’EEE se penche sur cette question, l’art. 3 RGPD qui règle l’applicabilité territoriale du RGPD est applicable (cf. à ce sujet les points 1.2 ss.). Les dispositions en matière de conflit de lois du droit local dans l’État du tribunal qui déterminent le champ d’application territorial du droit de transposition (c.-à-d. qui décident par exemple quel droit matériel national règle les limitations des droits et devoirs des art. 12 ss. RGPD sur la base de l’art. 23 RGPD).¹¹
Si un tribunal suisse ou une autorité suisse doit statuer sur l’application du RGPD, ce n’est en revanche pas l’art. 3 RGPD qui est applicable, mais le droit suisse des conflits de loi; autrement dit l’art. 139 LDIP dans le cas de prétentions déduites d’un prétendu manquement au droit de la protection des données.¹² Une invocation directe de l’art. 3 pour justifier l’applicabilité du RGPD devant un tribunal suisse est donc exclue (même si les auteurs disposent d’une première action qui entend fonder les prétentions directement sur l’art. 3 RGPD).

L’attention se porte néanmoins sur l’art. 3 RGPD, parce que les risques d’une amende sont jugés plus élevés que les risques de prétentions civiles devant des tribunaux suisses. L’art. 3 RGPD règle trois cas dans lesquels le RGPD s’applique à un traitement de données par une personne ou une entreprise en dehors de l’EEE. D’importantes incertitudes subsistent encore pour tous ces cas. Une certaine clarification est attendue du Comité européen de protection des données, une commission des autorités de surveillance des États membres (l’ancien Groupe de travail «Article 29» sur la protection des données) qui a notamment pour mission de rechercher l’application uniforme du RGPD (art. 67 ss. RGPD). Nous savons que ce comité a adopté le 25 septembre 2018 des orientations générales sur l’art. 3 RGPD en vue d’une consultation publique, mais celles-ci n’avaient pas encore été publiées à la date d’impression de cet article.

Jacqueline Sievers

Jacqueline Sievers

Archives

Recherche

Signification du RGPD pour la branche fiduciaire

1. Le RGPD est-il applicable aux fiduciaires suisses et à leurs clients?

1.1 Généralités