Le règlement général de l'Union européenne sur la protection des données (RGPD) a déployé ses effets !
Comme chacun en a certainement entendu parler dernièrement dans la presse, le RGPD est le règlement européen tendant à renforcer les droits des citoyens en prévoyant des obligations supplémentaires pour les responsables de traitement. Il tend également à accroître le pouvoir de contrôle et les sanctions des autorités de surveillance en matière de protection des données. Au surplus,des amendes administratives non négligeables sont prévues (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire)
Le RGPD
Depuis le 25 mai 2018, le RGPD déploie ses effets sur le territoire de l’Union européenne (UE). Toutefois, qu’en est-il de son application en Suisse et dans le canton de Vaud ?
Clause d’extraterritorialité
En principe, le RGPD ne devrait pas être directement applicable sur le territoire d’États non-membres de l’UE, à l’image de la Suisse. Cependant, le législateur européen a intégré une clause d’extraterritorialité qui pourrait, dans certains cas précis, concerner les communes vaudoises.
Les deux situations dans lesquelles la clause d’extraterritorialité pourrait s’appliquer aux communes suisses sont les suivantes :
Tout d’abord, cela peut être le cas si les activités de traitement d’une entité communale sont liées à l’offre de biens ou de services visant des personnes se trouvant sur le territoire de l’UE (attention, il faut ici que le responsable de traitement cible de manière intentionnelle des personnes se trouvant sur le territoire de l’UE).
Le RGPD peut également s’appliquer lorsque les activités de traitement sont liées au suivi du comportement en ligne de personnes se trouvant sur le territoire de l’UE.
Il appartient à chaque entité communale de déterminer si la clause d’extraterritorialité pourrait être amenée à s’appliquer dans le cadre de ses activités. Nous sommes toutefois à disposition en cas de question.
En pratique
Concrètement, une application directe du RGPD pourrait s’opérer dans l’hypothèse d’une entité communale qui proposerait des services visant à faciliter l’implémentation d’entreprises européennes ou qui effectuerait, par le biais du site internet communal, du profilage du comportement en ligne de personnes se trouvant sur le territoire de l’UE, par le biais de l’adresse IP, par exemple. En revanche, la clause d’extraterritorialité ne semble pas s’appliquer dans le cas où une commune traiterait des données d’employé-e-s frontalier-ère-s. Il semble qu’elle ne s’appliquerait pas non plus dans l’hypothèse d’un touriste européen en vacances en Suisse qui se casserait la jambe et devrait être soigné par un hôpital vaudois. Si une commune vaudoise devait être concernée par l’un de ces cas, la personne dont les données sont traitées pourrait se prévaloir du RGPD auprès de l’autorité nationale compétente (la CNIL, en France, par exemple) à l’encontre de l’entité publique vaudoise concernée.
Autorité de protection des données et de droit à l'information (PPDI)
Renseignements :
Cécile Kerboas
Préposée à la protection des données et à l’information ad interim
Tél. : 021 316 40 64
Courriel: cecile.kerboas@vd.ch