Il peut s’agir de votre nom, de votre numéro de téléphone, de votre poids ou encore du programme de vos dernières vacances au bord de la mer. En tant que consommateur, vous confiez des données personnelles à de nombreuses entreprises, qui peuvent les exploiter à diverses fins. Sans aucune maîtrise de votre part? Cela va changer.

L’Union européenne (UE), dans un souci de mettre de l’ordre sur le marché numérique, a adopté un nouveau règlement sur la protection des données, le RGPD. Objectif prioritaire: protéger les gens, en particulier les enfants. Il entrera en vigueur le 25 mai et aura des conséquences sur le plan mondial.

Tous les Suisses qui achètent dans l’UE ou utilisent des services européens sont concernés. Ainsi, les sites de réservation de vols ou de vacances, pour autant qu’ils soient hébergés dans l’UE, ne pourront plus utiliser des données personnelles de leurs clients suisses sans leur consentement. Terminé, la réservation d’un week-end à Barcelone suivie par une avalanche de publicités pour la ville espagnole. Le nouveau règlement consacre le droit d’être informé en tout temps sur la collecte par un tiers de ses données, le droit à s’opposer à ce que ces dernières servent à des fins de marketing, ou à du profilage, le droit à l’oubli, etc.

Autre impact très concret au quotidien du nouveau règlement européen: la messagerie en ligne WhatsApp sera interdite aux moins de 16 ans. Cette limite doit servir d’avertissement: l’UE estime qu’un enfant n’est pas en mesure de comprendre toutes les utilisations qui peuvent être faites d’une vidéo ou autre échangée en ligne. Les parents devront aussi consentir au traitement des données de leurs rejetons.

«Cette loi est comme une nouvelle Bible. Elle permettra au citoyen de reprendre le contrôle de ses données et de tenir le bâton»

«C’est un chambardement total. Cette loi est comme une nouvelle Bible, s’enthousiasme Sébastien Fanti, avocat et préposé cantonal valaisan à la protection des données et à la transparence. Elle permettra au citoyen de reprendre le contrôle de ses données et de tenir le bâton.»

À ses yeux, le changement le plus concernant est «la portabilité des données, soit le fait de pouvoir transmettre ses données d’un prestataire à l’autre». Il se met dans la peau d’un frontalier français, client d’une banque genevoise. «Imaginez: je m’y rends le 26 mai pour demander mes données. Si elle ne peut pas accéder à ma demande, cette banque s’expose à une démarche en justice. Pour le citoyen bien organisé, bien représenté, ce nouveau droit est une arme de destruction massive.»

Le spécialiste valaisan s’attend ainsi à une foule d’actions en justice ces prochaines semaines. «Toutes les entreprises qui trichent, ne sont pas honnêtes, auront des problèmes quasi insurmontables. Et nous, les avocats, attendons cela avec une impatience non feinte.»

Ce nouveau règlement européen représente donc une épée de Damoclès pour les acteurs économiques, aussi en Suisse. «Le RGPD s’applique du moment où une entreprise vend ou offre des services ou des biens à une personne se trouvant dans la communauté européenne et dès qu’elle récolte un nom ou une adresse mail par exemple», explique Raoul Diez, directeur contrôle et sécurité à la FER Genève (Fédération des entreprises romandes). Autrement dit, tant le site américain Amazon que l’hôtelier des Diablerets qui veut faire suivre des offres à ses clients néerlandais doivent se mettre en conformité.

Entreprises pas prêtes

La FER a organisé six événements depuis juin dernier pour informer sur le nouveau droit, attirant 1200 entreprises. Mais ces dernières peinent souvent à prendre la mesure de ce qui les attend. «On estime aujourd’hui à plus de 60% la part des entreprises suisses qui ne sont pas en conformité avec le RGPD. Nous allons poursuivre notre travail de sensibilisation ces prochaines années», indique Raoul Diez. Pourquoi est-ce si important? À cause des risques de poursuite, en premier lieu. Car le droit européen inverse le fardeau de la preuve. «C’est aux entreprises de prouver qu’elles se sont mises en conformité. Cela dit, elles ne s’exposent à des suites qu’en cas de dénonciation. Pour les fautifs, il y aura d’abord des avertissements, avant d’en arriver aux amendes (Ndlr: 20 millions d’euros maximum)», détaille Raoul Diez.

D’autre part, le respect du droit européen deviendra nécessaire pour rester concurrentiel, selon notre interlocuteur: «Le RGPD est un grand pas en avant. Il va mettre de l’ordre. Aujourd’hui, on ne sait pas ce qui est fait de nos données. Les entreprises qui ont compris ce besoin de transparence auront un net avantage sur le marché.»

L’alternative pour les patrons suisses? Déléguer le suivi des clients européens ou se couper de ce marché. À la FER Genève, Raoul Diez a pris connaissance d’une société qui se disait prête à rompre avec l’UE pour ne pas devoir apprivoiser le RGPD. (TDG)