nLPD & RGPD en Suisse
La nLPD suisse est un peu moins contraignante que le RGPD européen, mais elle s’en rapproche fortement tout de même[1]. De plus, le RGPD concerne toute société délivrant ses services à des résidents de l’UE, par exemple si cette dernière possède un site web recueillant des données (par exemple via un formulaire de contact ou via Google Analytics)[2]. Ainsi, si un site web basé en Suisse utilisant Google Analytics est visitable par des personnes établies dans l’UE, il se doit d’être RGPD-compliant dans la majorité des cas.
À noter également que le RGPD prévoit le rôle de Data Protection Officer (DPO – délégué à la protection des données). Cependant ce rôle n’est obligatoire que si une des conditions suivantes est remplie[3] :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 RGPD ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 RGPD.
A priori, une entreprise ou association n’a donc pas besoin de nommer un DPO pour respecter le RGPD lorsqu’une des conditions ci-dessus n’est pas remplie. Ce n’est pas non plus une obligation de la nLPD. Cependant, il est nécessaire de nommer un Responsable du traitement des données, qui peut être la société (personne morale) afin d’être conforme au RGPD (distinction entre le DPO, rôle actif d’un employé qui veille à la conformité de son organisme au regard du RGPD, et le Responsable du traitement des données, qui est la personne responsable du traitement des données, la personne de contact pour toute question etc. d’un visiteur ou d’une autorité).
Afin de pouvoir légalement utiliser des données personnelles, une société doit se reposer sur une base juridique[4]. La définition des “données personnelles” est large et comprend “toute information se rapportant à une personne physique identifiée ou identifiable[5]”. Par exemple, les éléments suivants sont des données personnelles[6] (liste non exhaustive) :
- Prénom et nom
- Adresse
- Adresse email du type prénom.nom@entreprise.com
- Une adresse IP
- Certains types de cookies
- Des données de localisation, comme par exemple celles provenant de la fonction de localisation d’un téléphone portable
Par base juridique, on entend par exemple :
- Le consentement actif donné par l’utilisateur[7]
- L’intérêt public
- L’intérêt légitime
- L’exécution d’un contrat
Si l’on souhaite se reposer sur le consentement de l’utilisateur pour pouvoir traiter ses données, il est nécessaire d’obtenir le consentement avant toute collecte et tout traitement de ces données. Le consentement doit être donné librement, et doit être éclairé et granulaire, c’est à dire que l’utilisateur doit être au clair sur les données personnelles qu’il partage et à quelles fins chacune de ces dernières sont utilisées.
Politique de confidentialité
Pour cela, une société doit donc obligatoirement se munir d’une politique de confidentialité, dont l’objectif est d’expliquer aux visiteurs du site de manière compréhensible l’usage qui est fait des données personnelles qu’ils renseignent via le site (par exemple lors d’une prise de contact via un formulaire de contact, lors de l’inscription à une newsletter ou lors d’un achat online).
Une politique de confidentialité se doit de contenir les éléments suivants afin de respecter le RGPD[8] :
- l’identité et les coordonnées du propriétaire du site ou de l’application ;
- l’identité et les coordonnées du responsable du traitement des données ;
- l’identité et les coordonnées du délégué à la protection des données, le cas échéant ;
- le but de la collecte des données à caractère personnel (analyses marketing, marketing direct (par exemple pour l’envoi de newsletter), envoi de la commande si on est sur un e-commerce, …) ;
- les bases légales qui permettent au propriétaire du site de collecter et de traiter ces données. Par exemple, un achat sur un e-commerce ou le consentement donné par la personne ;
- le caractère obligatoire ou facultatif de la collecte de données. Ainsi, un e-commerce doit forcément recueillir le nom, le prénom ou encore l’adresse postale de ces clients pour éditer la facture et livrer l’achat réalisé en ligne
- les différentess personnes et organismes amenés à traiter ces données (par exemple les personnes responsables de l’envoi des commandes pour un e-commerce, mais également les éventuels tiers tels Google ou Meta si des systèmes de type Analytics sont en place sur le site);
- le délai de conservation des données ;
- les conditions de suppression ;
- le droit d’accès, de modification et de suppression des personnes à leurs données personnelles ;
- les droits d’introduire une réclamation auprès d’une autorité de contrôle (par exemple la CNIL en France).
- La date de prise d’effet de la politique de confidentialité (date de mise en ligne ou de dernière modification)
En plus de ces mentions obligatoires, il peut être nécessaire de mentionner les éléments suivants, à certaines conditions :
- Si des données sont transférées dans un pays hors UE, auquel cas il faut également préciser les modalités de traitement et les garanties prises dans le cadre de ce transfert.
- Si le traitement des données est basé sur l’intérêt légitime, le document doit relater le contenu de cet intérêt. Il doit par exemple définir les dispositifs établis pour prévenir les fraudes.
- Si le traitement des données sert entre autres à établir un profilage au sens du RGPD[9], alors il faut préciser comment l’algorithme de profilage fonctionne et quels résultats il produit.
Pour rédiger une politique de confidentialité qui tienne compte des éléments ci-dessus, plusieurs possibilités existent. Vous pouvez mandater un avocat spécialisé pour cela, mais cette solution est généralement onéreuse (plusieurs milliers de CHF). Vous pouvez également utiliser un générateur de politique de confidentialité, payant ou non, qui prend en compte les spécificités du RGPD. Par exemple, les générateurs suivants :
- CookieYes (gratuit, mais générée en anglais et donc à traduire par la suite)
- PrivacyPolicies (payant, générée en anglais et donc à traduire par la suite)
- CookieScript (français OK; semble être gratuit, potentiellement payant si les options de gestion des cookies sont prises avec – pas forcément nécessaires, d’autres solutions existent en ce qui concerne les cookies)
Attention à bien relire l’entier de la politique de confidentialité dans ce cas, afin de s’assurer qu’il n’y ait pas de coquilles et que tous les éléments nécessaires y figurent.
Finalement, vous pouvez également opter de vous inspirer d’une politique de confidentialité existante dont on sait qu’elle est de qualité, et l’adapter à votre société. Ici aussi, il faut faire attention de n’avoir rien oublié, et bien sûr changer le wording, un simple copier/coller ne suffit pas et enfreindrait probablement les lois sur la propriété intellectuelle.
Enfin, il faudra modifier tous les éventuels formulaires de contact existants sur le(s) site(s) ou autres applications afin d’ajouter à ces derniers une case à cocher obligatoire du type “J’ai pris connaissance de la Politique de confidentialité de la société ABC”, avec idéalement un lien s’ouvrant dans un nouvel onglet redirigeant sur la page de la politique confidentialité tel qu’illustré avec les mots en bleu ci-dessus.
Politique en termes de cookies et Cookie Management Platform
Si une société utilise des cookies sur son site, il est également nécessaire d’y faire figurer une politique de cookies décrivant de manière claire quels types de cookies sont employés par le site et à quelles fins ils sont utilisés[10].
Il est aussi obligatoire de faire figurer sur le site une bannière de gestion du consentement des cookies (cookie banner), dont le rôle est d’informer l’utilisateur que le site utilise des cookies, expliquer à quoi ils servent, et donner à l’utilisateur la possibilité d’accepter ou de refuser leur utilisation[11]. Les cookies doivent impérativement être désactivés jusqu’à l’accord du visiteur, qui doit être actif (via un bouton “J’accepte les cookies” par exemple). Le simple fait de continuer à utiliser le site ne peut pas être considéré comme un consentement actif[12]. De plus, il est nécessaire que le visiteur puisse modifier son consentement lié aux cookies[13]. Il doit donc avoir la possibilité de le faire rapidement depuis le site web, et cette possibilité doit être clairement indiquée.
Dans les faits, les bannières de gestion de consentement des cookies sont généralement partie intégrante d’une Cookie Management Platform (CMP – plateforme de gestion du consentement). Le rôle d’une CMP est de recueillir le consentement – ou le refus – de l’utilisateur par rapport aux cookies, généralement via la cookie banner, et de déclencher ou non le dépôt de cookies, en fonction de l’accord donné par l’utilisateur. Ainsi, un visiteur ayant donné son accord aux cookies à un site ne devra pas le donner à nouveau lors de chaque visite, pour autant qu’il n’ait pas vidé ses cookies ou changé d’appareil ou d’adresse IP, car il sera reconnu via la CMP. Il pourra également modifier son consentement s’il le souhaite.
Si votre site utilise des cookies, tels qu’indiqué par un scan dudit site, il est donc nécessaire d’y faire figurer une bannière de gestion du consentement des cookies ainsi qu’une politique de cookies précise.
Si votre site est sur une base WordPress, nous recommandons l’utilisation de plugins RGPD-compliant faisant office de CMP, c’est à dire que ces plugins scannent les sites, en récupèrent les cookies présents, les catégorisent selon leur fonction, et génèrent également une politique de cookie adaptée selon le site scanné. Ces plugins faisant également office de CMP comme indiqué plus haut, ils permettent également d’enregistrer l’état du consentement donné par le visiteur, car ils leur offrent la possibilité d’accepter ou non chaque catégorie de cookies granulairement. En résumé, ces plugins effectuent une grosse partie du travail pour vous et à moins d’avoir un développeur IT senior à l’interne qui dispose de beaucoup de temps pour développer le tout, c’est la meilleure solution car ils offrent tout ce qu’il faut pour respecter le RGPD de manière efficace et sont relativement rapides à intégrer.
Attention cependant, le paramétrage de ces outils peut être fastidieux si l’on n’est pas habitué à l’écosystème WordPress : il faut s’assurer que les cookies soient bien catégorisés, que la bannière et la politique de cookies soient traduites si on est sur un site multilingue, s’assurer que les cookies ne se déclenchent pas avant leur éventuelle acceptation, et il faut également brander et paramétrer l’affichage de la bannière sur le site (et potentiellement activer l’enregistrement du consentement, qui n’est pas toujours activé de base). De plus, il faut pouvoir être capable de publier des pages sur WordPress, et connaître l’utilisation des shortcodes sur ce CMS.
Nous recommandons les plugins suivants pour cela :
- GDPR Cookie Consent de Webtoffee (licence annuelle)
- Cookie Consent Solution for GDPR de CookieYes dans sa version premium Pro (licence mensuelle)
Mentions légales
Il est important de distinguer les mentions légales d’un site de sa politique de confidentialité. En effet, ce sont là deux éléments distincts, dont l’obligation en Suisse découle de différentes lois : la loi fédérale contre la concurrence déloyale (LCD) pour les mentions légales, et la loi sur la protection des données (LPD) pour la politique de confidentialité. Les mentions légales doivent obligatoirement figurer sur un site e-commerce basé en Suisse depuis 2012[14]. Elles doivent indiquer clairement l’identité complète ainsi que les adresses de contact du prestataire, y compris une adresse e-mail. Les éléments suivants doivent donc figurer dans les mentions légales d’un site suisse :
- Raison sociale de la société ou Nom & Prénom du prestataire
- Adresse du siège social ou du domicile
- Adresse email
À noter que les éléments suivants ne sont pas obligatoires, mais fortement recommandés :
- Numéro de téléphone
- Forme juridique de l’entreprise
- Numéro de TVA
- Numéro d’inscription au Registre du Commerce ou Numéro d’identification des entreprises (IDE)
À noter également qu’un simple formulaire de contact ne suffit pas à respecter la LCD.
En ce qui concerne l’UE, les mentions légales sont légalement obligatoires depuis 2004, mais ce n’est pas lié au RGPD. Leur législation est plus stricte que celle de la Suisse, et les informations suivantes doivent figurer dans les mentions légales d’un site s’adressant aux consommateurs de pays de l’UE[15] :
- Raison sociale de la société
- Nom de l’entreprise s’il diffère de sa raison sociale
- Adresse du siège social
- Adresse email
- Numéro de téléphone
- Numéro d’identification des entreprises (IDE)
- Numéro de TVA
- (si basé dans l’UE, montant du capital social)
- Mentions relatives à l’hébergeur du site internet, soit :
- Nom de l’hébergeur
- Sa raison sociale
- Son adresse
- Son numéro de téléphone
- Son IDE
Autres éléments à mettre en place sur les sites
Double opt-in
Le double opt-in[16] n’est pas une obligation du RGPD, cependant il est obligatoire en Suisse via la nLPD, ainsi que notamment en Allemagne, Autriche, Belgique et Luxembourg entre autres. C’est également un excellent moyen de s’assurer de la qualité de ses contacts et d’ainsi légèrement améliorer la déliverabilité des campagnes d’emailing.
Références
[1] https://dsg-lpd.ch/comparaison-entre-le-rgpd-et-la-lpd-en-suisse/
[2] https://dsg-lpd.ch/comparaison-entre-le-rgpd-et-la-lpd-en-suisse/
[3] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
[4] https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
[5] https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd
[6] https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_fr
[7] https://dsg-lpd.ch/consentement-lpd-guide-pour-les-entreprises-suisses/
[8] https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence
[9] https://www.legalplace.fr/guides/profilage-rgpd/
[10] https://www.cnil.fr/fr/cnil-direct/recherche/cookies
[11] https://dsg-lpd.ch/lpd-en-suisse-quel-systeme-de-banniere-de-consentement-pour-les-cookies/
[12] https://www.cnil.fr/fr/cnil-direct/question/cookies-visiter-un-site-web-suffit-il-accepter-ses-cookies
[13] https://www.cnil.fr/fr/cnil-direct/question/cookies-est-il-possible-de-finalement-refuser-les-cookies-dun-site-web-apres
[14] https://www.kmu.admin.ch/kmu/fr/home/savoir-pratique/gestion-pme/e-commerce/creer-site/obligations-legales-ch-et-ue.html
[15] https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/site-web/quelles-sont-les-mentions-legales-pour-un-site