{"id":1694,"date":"2018-05-22T09:06:20","date_gmt":"2018-05-22T08:06:20","guid":{"rendered":"https:\/\/dev.onyx-cie.ch\/rgpd-suisse\/"},"modified":"2018-12-07T10:08:49","modified_gmt":"2018-12-07T09:08:49","slug":"rgpd-suisse","status":"publish","type":"post","link":"https:\/\/dev.onyx-cie.ch\/it\/rgpd-suisse\/","title":{"rendered":"LE RGPD ET LES GESTIONNAIRES DE FORTUNE SUISSES"},"content":{"rendered":"

INTRODUCTION<\/span><\/h1>\n

Le R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l’\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es (R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es ou RGPD)<\/a>, abrogeant la directive 95\/46\/CE<\/a>, entrera en vigueur le 25 mai prochain.<\/span>
\nD\u00e8s cette date, ledit r\u00e8glement sera directement applicable dans l\u2019ensemble de l\u2019Union europ\u00e9enne sans qu\u2019aucune transposition en droit interne ne soit n\u00e9cessaire par les \u00c9tats membres (contrairement \u00e0 une directive).<\/span><\/p>\n

Ce texte est l\u2019aboutissement de plus de quatre ans de travaux au sein de l\u2019UE et vise \u00e0 remplacer la directive de 1995 qui a \u00e9t\u00e9 appliqu\u00e9e de mani\u00e8re disparate par les diff\u00e9rents pays.<\/span><\/span><\/p>\n

Le but est de cr\u00e9er un ensemble uniforme et coh\u00e9rent de r\u00e8gles \u00e0 travers l’UE, adapt\u00e9es \u00e0 l’\u00e8re du num\u00e9rique, afin de renforcer la s\u00e9curit\u00e9 juridique et la confiance des citoyens en leur conf\u00e9rant davantage de contr\u00f4le sur leurs donn\u00e9es personnelles. Le r\u00e8glement entend \u00e9galement renforcer le r\u00f4le des autorit\u00e9s de protection des donn\u00e9es et responsabiliser les entreprises tout en rationnalisant les transferts internationaux de donn\u00e9es personnelles.<\/span><\/p>\n

Ce texte aura des r\u00e9percussions directes sur un grand nombre d\u2019entreprises suisses, y compris sur les gestionnaires de fortune. D\u00e9codage\u2026<\/span><\/p>\n

*****<\/span><\/p>\n

1. CHAMP D’APPLICATION MAT\u00c9RIEL DU RGPD<\/span><\/h1>\n

Il n\u2019y pas de changement au niveau du champ d\u2019application mat\u00e9riel par rapport \u00e0 la directive. Sauf exceptions, le RGPD s\u2019applique \u00e0 tout traitement de donn\u00e9es personnelles (collecte, enregistrement, stockage, utilisation, communication, destruction, etc.) automatis\u00e9 ou non, contenues dans un fichier et se rapportant \u00e0 une personne physique (les personnes morales ne sont pas concern\u00e9es) identifi\u00e9e ou identifiable et mis en \u0153uvre par une personne physique ou morale de droit public ou priv\u00e9.<\/span><\/p>\n

2. CHAMP D\u2019APPLICATION TERRITORIAL DU RGPD<\/span><\/h1>\n

Par rapport \u00e0 l\u2019ancienne directive sur la protection des donn\u00e9es, le champ d\u2019application territorial du RGPD a \u00e9t\u00e9 \u00e9tendu et comprend d\u00e9sormais le crit\u00e8re du groupe cible de personnes vis\u00e9es par le traitement des donn\u00e9es. Le r\u00e8glement aura donc un effet extraterritorial, conform\u00e9ment \u00e0 la jurisprudence de la Cour de justice de l\u2019Union europ\u00e9enne (CJUE) (affaire Google Spain).<\/span><\/p>\n

Ainsi, celui-ci s\u2019appliquera non seulement au traitement de donn\u00e9es par des responsables (par exemple une succursale ou une filiale europ\u00e9enne d\u2019une entreprise suisse) ou des sous-traitants (par exemple un prestataire de services informatiques) situ\u00e9s sur le territoire de l\u2019Union europ\u00e9enne (peu importe le lieu de r\u00e9sidence ou la nationalit\u00e9 de la personne physique concern\u00e9e par le traitement des donn\u00e9es) mais \u00e9galement aux entreprises situ\u00e9es hors du territoire (par exemple en Suisse) lorsqu\u2019elles :<\/span><\/p>\n

– Offrent des biens ou des services \u00e0 des personnes situ\u00e9es dans l\u2019Union europ\u00e9enne ; ou<\/span><\/p>\n

– Observent le comportement de personnes physiques situ\u00e9es dans l\u2019Union europ\u00e9enne (par exemple l\u2019analyse du comportement des visiteurs d\u2019un site Internet (profilage en vue de publicit\u00e9 comportementale) par l\u2019utilisation de tracking cookies ou de Google Analytics).<\/span><\/p>\n

\u00ab LE CHAMP D\u2019APPLICATION DU RGPD EST TR\u00c8S LARGE ET S\u2019\u00c9TEND AU-DEL\u00c0 DES FRONTI\u00c8RES DE L\u2019UE, Y COMPRIS \u00c0 LA SUISSE. \u00bb<\/span><\/p>\n

A noter que pour d\u00e9terminer \u00e0 quelles conditions une entreprise est r\u00e9put\u00e9e offrir des biens et des services vers un \u00c9tat de l\u2019Union europ\u00e9enne (on parle de \u00ab diriger ses activit\u00e9s \u00bb), nous pensons qu\u2019il convient de se r\u00e9f\u00e9rer aux crit\u00e8res \u00e9tablis par la CJUE en mati\u00e8re de contrats conclus avec des consommateurs. Nous renvoyons \u00e0 cet \u00e9gard le lecteur \u00e0 notre derni\u00e8re Newsletter du 5 f\u00e9vrier 2018 (l\u2019impact de MiFID II en Suisse)<\/a> qui explicite ceux-ci. La question est particuli\u00e8rement complexe en ce qui concerne les sites Internet.<\/span><\/p>\n

Nous rappellerons ici qu\u2019il convient de prendre en compte \u00e0 cet \u00e9gard un faisceau d’indices comprenant par exemple :<\/span><\/p>\n

\u2022 La langue ou la monnaie de r\u00e9f\u00e9rence courant dans un ou plusieurs \u00c9tats membres ;<\/span><\/p>\n

\u2022 La possibilit\u00e9 de commander des biens et des services dans cette langue ;<\/span><\/p>\n

\u2022 La mention de clients ou d’utilisateurs qui se trouvent sur le territoire de l’Union ;<\/span><\/p>\n

\u2022 La mention d\u2019un num\u00e9ro de t\u00e9l\u00e9phone avec un indicatif t\u00e9l\u00e9phonique international ;<\/span><\/p>\n

\u2022 La description de l\u2019itin\u00e9raire depuis un \u00c9tat membre au lieu o\u00f9 le service est offert ;<\/span><\/p>\n

\u2022 La mention sur le site Internet d\u2019une client\u00e8le internationale domicili\u00e9e dans divers \u00c9tats membres ;<\/span><\/p>\n

\u2022 L\u2019utilisation d\u2019un domaine Internet de premier niveau autre que celui de l\u2019\u00c9tat o\u00f9 le service est offert (par exemple pour une entreprise suisse l\u2019extension .fr ou .it).<\/span><\/p>\n

On rel\u00e8vera toutefois que la simple accessibilit\u00e9 du site Internet de l\u2019entreprise depuis l’Union ne suffit pas pour \u00e9tablir l\u2019intention de diriger ses activit\u00e9s vers ce territoire.<\/span><\/p>\n

3. LES DROITS DES PERSONNES CONCERN\u00c9ES<\/span><\/h1>\n

Le RGPD oblige le responsable du traitement des donn\u00e9es \u00e0 pr\u00e9voir des proc\u00e9dures et des m\u00e9canismes permettant \u00e0 la personne vis\u00e9e d\u2019exercer en toute transparence un certain nombre de droits. Toute information \u00e0 ce propos adress\u00e9e au public ou \u00e0 une personne concern\u00e9e doit \u00eatre ais\u00e9ment accessible et facile \u00e0 comprendre dans une forme concise et transparente, et formul\u00e9e en termes simples et clairs. Elle doit en principe \u00eatre fournie par \u00e9crit et sans frais. Les droits de la personne concern\u00e9e consistent entre autres en :<\/span><\/p>\n

– Le droit d\u2019\u00eatre inform\u00e9 (articles 13 et 14 RGPD), au moment o\u00f9 les donn\u00e9es \u00e0 caract\u00e8re personnel sont obtenues, du traitement de celles-ci. Les informations suivantes doivent par exemple \u00eatre donn\u00e9es :<\/span><\/p>\n

\uf0a7 + l’identit\u00e9 et les coordonn\u00e9es du responsable du traitement ;<\/span>
\n\uf0a7 + la finalit\u00e9 du traitement ;<\/span>
\n\uf0a7 + les destinataires des donn\u00e9es, s’ils existent ;<\/span>
\n\uf0a7 + la dur\u00e9e de conservation des donn\u00e9es ;<\/span>
\n\uf0a7 + le droit d’introduire une r\u00e9clamation aupr\u00e8s d’une autorit\u00e9 de contr\u00f4le ;<\/span>
\n\uf0a7 + l’existence du droit de demander au responsable du traitement l’acc\u00e8s aux donn\u00e9es, la rectification ou l’effacement de celles-ci ;<\/span>
\n\uf0a7 + des informations sur la question de savoir si l’exigence de fourniture de donn\u00e9es a un caract\u00e8re r\u00e9glementaire ou contractuel ou si elle conditionne la conclusion d’un contrat.<\/span><\/p>\n

– Le droit d\u2019obtenir l\u2019acc\u00e8s \u00e0 ses donn\u00e9es personnels et d\u2019en obtenir une copie (article 15 RGPD).<\/span><\/p>\n

– Le droit de demander que ses donn\u00e9es soient rectifi\u00e9es ou compl\u00e9t\u00e9es dans les meilleurs d\u00e9lais (article 16 RGPD).<\/span><\/p>\n

– Le droit de demander \u00e0 certaines conditions (par exemple lorsque les donn\u00e9es ne sont plus n\u00e9cessaires au regard des finalit\u00e9s pour lesquelles elles ont \u00e9t\u00e9 collect\u00e9es ou trait\u00e9es) l\u2019effacement de ses donn\u00e9es dans les meilleurs d\u00e9lais (article 17 RGPD).<\/span><\/p>\n

L\u2019information sera g\u00e9n\u00e9ralement fournie sur une base collective par le biais de conditions g\u00e9n\u00e9rales ou d\u2019une d\u00e9claration de confidentialit\u00e9 publi\u00e9e sur le site Internet de l\u2019entreprise.<\/span><\/p>\n

4. LE CONSENTEMENT<\/span><\/h1>\n

Tout traitement de donn\u00e9es personnelles doit \u00eatre licite, c\u2019est-\u00e0-dire qu\u2019il doit reposer sur un int\u00e9r\u00eat public ou priv\u00e9 pr\u00e9pond\u00e9rant (par exemple en vue de la conclusion d\u2019un contrat), \u00eatre justifi\u00e9 par la loi (par exemple pour les obligations en mati\u00e8re de blanchiment d\u2019argent) ou par le consentement de la personne vis\u00e9e. <\/span><\/p>\n

A cet \u00e9gard, le consentement doit \u00eatre donn\u00e9 par un acte positif clair par lequel la personne concern\u00e9e manifeste de fa\u00e7on libre, sp\u00e9cifique, \u00e9clair\u00e9e et univoque son accord au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant, par exemple au moyen d’une d\u00e9claration \u00e9crite, y compris par voie \u00e9lectronique, ou d’une d\u00e9claration orale (ce qui pose un probl\u00e8me de preuve) pour une ou plusieurs finalit\u00e9s sp\u00e9cifiques.<\/span><\/p>\n

Le consentement devra \u00eatre explicite en cas de traitement de donn\u00e9es sensibles ou en cas de profilage (soit toute forme de traitement automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel visant \u00e0 \u00e9valuer les aspects personnels relatifs \u00e0 une personne physique comme pour analyser ou pr\u00e9dire des aspects concernant les pr\u00e9f\u00e9rences ou les centres d’int\u00e9r\u00eat personnels de la personne concern\u00e9e ou sa localisation et ses d\u00e9placements).<\/span><\/p>\n

\u00ab UN COMPORTEMENT ACTIF DE LA PERSONNE CONCERN\u00c9E SERA REQUIS POUR OBTENIR SON CONSENTEMENT. UN CONSENTEMENT TACITE, UNE CASE PR\u00c9-COCH\u00c9E OU LA PASSIVIT\u00c9 DE LA PERSONNE CONCERN\u00c9E NE SUFFIRA PLUS. \u00bb<\/span><\/p>\n

La personne concern\u00e9e pourra en tout temps r\u00e9voquer son consentement.<\/span><\/p>\n

\n
\"Le<\/a>

Les entreprises, y compris celles situ\u00e9es en Suisse, vont devoir prendre des mesures afin de se conformer au RGPD.<\/span><\/p><\/div>\n

5. OBLIGATIONS DES ENTREPRISES<\/span><\/h1>\n

Les entreprises (responsables et sous-traitants), bas\u00e9es \u00e0 l\u2019\u00e9tranger, mais soumises au RGPD devront imp\u00e9rativement d\u00e9signer par \u00e9crit un repr\u00e9sentant \u00e9tabli dans l’un des \u00c9tats membres de l\u2019UE dans lesquels r\u00e9sident les personnes physiques vis\u00e9es (article 27 RGPD). Cette personne sera l\u2019interlocuteur des autorit\u00e9s de contr\u00f4le et des personnes concern\u00e9es. Elle devra tenir un registre de toutes les activit\u00e9s de traitement sous sa responsabilit\u00e9 (voir ci-dessous) et pourra faire l\u2019objet de sanctions en cas de non-respect du r\u00e8glement, en sus de celles prononc\u00e9es \u00e0 l\u2019encontre du responsable ou du sous-traitant (amendes administratives mais en tant qu\u2019ultime recours puisque les autorit\u00e9s disposent d\u2019autres moyens comme l\u2019avertissement, la mise en demeure, la limitation temporaire ou d\u00e9finitive d\u2019un traitement, les rappels \u00e0 l\u2019ordre, etc.). <\/span><\/p>\n

A noter que le devoir de d\u00e9signation ne concerne pas le traitement occasionnel, qui n’implique pas un traitement \u00e0 grande \u00e9chelle des cat\u00e9gories particuli\u00e8res de donn\u00e9es sensibles vis\u00e9es \u00e0 l’article 9 par.1 du r\u00e8glement, ou un traitement de donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions vis\u00e9es \u00e0 l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libert\u00e9s des personnes physiques, compte tenu de la nature, du contexte, de la port\u00e9e et des finalit\u00e9s du traitement.<\/span><\/p>\n

Le responsable du traitement sera garant de la mise en conformit\u00e9 au r\u00e8glement et devra \u00eatre capable d\u00e9montrer celle-ci (renversement du fardeau de la preuve). Par le biais de mesures techniques et organisationnelles, un niveau de s\u00e9curit\u00e9 adapt\u00e9 aux risques devra \u00eatre garanti afin de prot\u00e9ger les droits et libert\u00e9s des personnes physiques, compte tenu de l’\u00e9tat des connaissances, des co\u00fbts de mise en \u0153uvre et de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement (on parle de \u00ab Privacy by design \u00bb).<\/span><\/p>\n

Par ailleurs, le responsable de traitement est tenu de s\u2019assurer qu\u2019en principe seront seulement trait\u00e9es les donn\u00e9es personnelles qui sont n\u00e9cessaires pour la finalit\u00e9 pr\u00e9vue (on parle de \u00ab Privacy by default \u00bb).<\/span><\/p>\n

En cas de violation de donn\u00e9es \u00e0 caract\u00e8re personnel susceptible d’engendrer un risque pour les droits et libert\u00e9s des personnes physiques, l\u2019autorit\u00e9 de contr\u00f4le devra \u00eatre inform\u00e9e dans les meilleurs d\u00e9lais et, si possible, 72 heures au plus tard, de m\u00eame que la personne concern\u00e9e (pas de d\u00e9lai toutefois) (on vise ici les \u00ab data breaches \u00bb). Le responsable de traitement devra conserver une trace document\u00e9e de chaque violation, indiquant son contexte, ses effets et les mesures prises pour y rem\u00e9dier.<\/span><\/p>\n

Les entreprises de plus de 250 employ\u00e9s seront soumises \u00e0 l\u2019obligation de tenir un registre des activit\u00e9s de traitement (sous forme \u00e9lectronique) effectu\u00e9es sous leur responsabilit\u00e9 (article 30 RGPD). Ce registre, qui contiendra notamment le nom et les coordonn\u00e9es du responsable du traitement, les finalit\u00e9s du traitement, les personnes concern\u00e9es, les cat\u00e9gories de destinataires, les d\u00e9lais pr\u00e9vus pour l’effacement des diff\u00e9rentes cat\u00e9gories de donn\u00e9es ainsi qu\u2019une description g\u00e9n\u00e9rale des mesures de s\u00e9curit\u00e9 techniques et organisationnelles prises. Ce registre devra \u00eatre pr\u00e9sent\u00e9 aux autorit\u00e9s de contr\u00f4le sur demande.<\/span><\/p>\n

Hormis certaines situations o\u00f9 cela sera contraignant, une analyse d\u2019impact sur la protection des donn\u00e9es ne devra \u00eatre effectu\u00e9e que lorsqu\u2019un traitement sera susceptible d’engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es (article 35 RGPD).<\/span><\/p>\n

Enfin, dans certains cas, la d\u00e9signation d\u2019un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es sera obligatoire, notamment dans l\u2019hypoth\u00e8se o\u00f9 l\u2019entreprise effectue des traitements de donn\u00e9es sensibles (par exemple les donn\u00e9es g\u00e9n\u00e9tiques ou biom\u00e9triques, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l\u2019appartenance syndicale des personnes, ou les informations relatives \u00e0 la sant\u00e9 ou \u00e0 la vie sexuelle).<\/span><\/p>\n

Le r\u00e8glement encourage pour finir l\u2019\u00e9laboration de codes de conduites pr\u00e9par\u00e9s en fonction de la sp\u00e9cificit\u00e9 de chaque secteur de traitement des donn\u00e9es et des besoins sp\u00e9cifiques des entreprises et soumis \u00e0 l\u2019approbation des autorit\u00e9s de protection des donn\u00e9es comp\u00e9tentes.<\/span><\/p>\n

6. QUELLES CONS\u00c9QUENCES POUR LES GESTIONNAIRES DE FORTUNE SUISSES ?<\/span><\/h1>\n

Comme il l\u2019a \u00e9t\u00e9 relev\u00e9 ci-dessus, le r\u00e8glement d\u00e9ploie des effets extraterritoriaux. Ainsi, quand bien m\u00eame le g\u00e9rant de fortune ne disposerait pas d\u2019un \u00e9tablissement stable dans l\u2019Union europ\u00e9enne, il pourrait \u00eatre soumis aux normes de celle-ci s\u2019il offre des services dans l’Union, \u00e0 savoir s\u2019il dirige ses activit\u00e9s vers ce territoire. Il appartient ainsi \u00e0 chaque entreprise de d\u00e9terminer s\u2019il tombe dans cette cat\u00e9gorie ou non \u00e0 l\u2019aide des indices mentionn\u00e9s ci-dessus et qui correspondent aux crit\u00e8res de la Convention de lugano<\/a> en mati\u00e8re de contrats conclus par des consommateurs.<\/span><\/p>\n

Par ailleurs, il ne faut pas sous-estimer le crit\u00e8re du \u00ab suivi de comportement \u00bb de personnes situ\u00e9es dans l\u2019Union europ\u00e9enne. D\u00e8s l\u2019instant ou un gestionnaire de fortune utilise des m\u00e9thodes de profilage (par exemple l\u2019utilisation de cookies sur son site Internet) afin de \u00ab tracker \u00bb les int\u00e9r\u00eats, les pr\u00e9f\u00e9rences ou les habitudes d\u2019internautes europ\u00e9ens, il est hautement probable que le RGPD soit applicable.<\/span><\/p>\n

Si le gestionnaire parvient \u00e0 la conclusion qu\u2019il est soumis audit r\u00e8glement, il devra prendre les mesures suivantes :<\/span><\/p>\n

– \u00c9tablir un inventaire de tous les traitements de donn\u00e9es auxquels il proc\u00e8de.<\/span><\/p>\n

– Mettre \u00e0 jour les conditions g\u00e9n\u00e9rales de son site Internet par le biais d\u2019une d\u00e9claration de confidentialit\u00e9, qui sera compl\u00e8te et ais\u00e9ment compr\u00e9hensible, et qui divulguera aux internautes la nature, l\u2019\u00e9tendue des donn\u00e9es trait\u00e9es ainsi que leurs droits en rapport avec celles-ci.<\/span><\/p>\n

– Adapter les mandats de gestion \u00e0 la lumi\u00e8re des nouvelles exigences en mati\u00e8re de protection des donn\u00e9es, notamment par le biais d\u2019une d\u00e9claration de consentement.<\/span><\/p>\n

– Examiner l\u2019obligation de nommer un repr\u00e9sentant dans l\u2019UE, \u00e9tant pr\u00e9cis\u00e9 que le r\u00e8glement est flou en la mati\u00e8re et est source d\u2019ins\u00e9curit\u00e9 juridique en l\u2019\u00e9tat.<\/span><\/p>\n

– Mettre en place des moyens organisationnels (compliance, etc.) et techniques pour prot\u00e9ger les personnes concern\u00e9es ainsi que des proc\u00e9dures en cas de \u00ab leaks \u00bb. <\/span><\/p>\n

\u00ab UNE ATTENTION PARTICULI\u00c8RE DEVRA \u00caTRE PORT\u00c9E AUX TRAITEMENTS DES DONN\u00c9ES PERSONNELS RELATIVES AUX CONDAMNATIONS P\u00c9NALES ET AUX INFRACTIONS AINSI QU\u2019\u00c0 L\u2019UTILISATION DE SYST\u00c8MES DE PROFILAGE COMME FACTIVA, LEXISNEXIS OU ENCORE WORLD-CHECK. \u00bb<\/span><\/p>\n

On rel\u00e8vera enfin que la Suisse a \u00e9galement engag\u00e9 en 2017 un processus de r\u00e9vision de la Loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LDP)<\/a> afin de rendre celle-ci conforme au droit europ\u00e9en. Cette r\u00e9forme est n\u00e9cessaire afin que la l\u00e9gislation suisse continue d\u2019\u00eatre reconnue comme offrant une protection \u00ab ad\u00e9quate \u00bb du point de vue de l\u2019Union europ\u00e9enne et que le transfert de donn\u00e9es transfrontalier puisse \u00eatre assur\u00e9. La nouvelle loi<\/a> devrait entrer en vigueur d\u00e9but 2019 (la date du 1er ao\u00fbt 2018 fix\u00e9e par le Conseil f\u00e9d\u00e9ral semble peu r\u00e9aliste) et entrainera \u00e9galement des changements au niveau des entreprises suisses non actives sur le march\u00e9 de l\u2019Union. Les exigences de la loi seront toutefois moins strictes que celles qui pr\u00e9valent dans l\u2019Union europ\u00e9enne.<\/span>

<\/div><\/div><\/div><\/div>