Un outil gratuit pour aider les entreprises suisses à se conformer au RGPD
Un nouvel outil vise à aider les entreprises suisses à analyser leur conformité avec le nouveau règlement européen en matière de protection des données (RGPD). Les experts romands donnent leur avis sur cet outil qui n'est pour l'heure que disponible en allemand.
Le nouveau règlement européen en matière de protection des données (RGPD/GDPR) entre en vigueur ce 25 mai. Pour les entreprises, la mise en conformité avec cette loi représente un gigantesque défi. Et beaucoup de firmes suisses sont potentiellement concernées, puisque le RGPD concerne toute entreprise qui stocke, traite et utilise des données fournies par des clients, résidents ou citoyens de l’Union européenne. Pour savoir dans quelle mesure elles sont impactées par le règlement et pour se donner une idée des éventuelles mesures à prendre, les entreprises helvétiques disposent aujourd’hui d’outils en ligne. Dont un test mis en place par Economiesuisse, réalisable en quelques minutes et prodiguant des infos basiques.
Un ensemble de formulaires types
Un nouvel outil gratuit récemment mis en ligne, nommé «Datenschutz Self Assessment Tool» (DSAT), fournit une analyse plus approfondie. Mis au point par deux experts alémaniques en protection des données, David Rosenthal et David Vasella, l’outil n’est hélas pas traduit en français. Ciblant aussi bien les petites que les grandes entreprises suisses, le DSAT se présente comme un ensemble de formulaires types à remplir et se calque sur le même principe que l’auto-déclaration fiscale, expliquent les auteurs de l’outil. Qui précisent que les formulaires sont à la portée de personnes dotées de connaissances solides concernant leur entreprise et la façon dont elle traite les données. Des connaissances précises en matière de protection des données ne seraient pas nécessaires. A noter que l’outil couvre en théorie environ 80% des cas, préviennent les auteurs.
Qu’en pensent les experts romands en droit des nouvelles technologies?
Les experts romands en droit des nouvelles technologies contactés par la rédaction saluent la mise en place du «Datenschutz Self Assessment Tool». Pour l'avocat Nicolas Capt, «toutes les méthodologies sont bonnes tant que l’objectif est de rendre accessible un texte complexe et d’éloigner le marketing douteux de nombre de sociétés qui ont vu dans le RGPD la poule aux œufs d’or et qui ne mettent en avant que les sanctions, et non le changement de paradigme bienvenu que constitue le RGPD.»
Pour Michel Jaccard, de l’étude id est avocats, les informations fournies par cet outil sont correctes juridiquement et utiles, car pensées par des avocats qui cherchent à fournir des solutions plutôt que de compliquer la problématique. Michel Jaccard regrette toutefois que les initiateurs n’aient pas pensé à associer un avocat romand au projet pour proposer les documents également en français.
Associé au sein de l'étude HDC, Sylvain Métille juge aussi l’initiative bienvenue mais nuance: «Il faut rester prudent avec des documents types car ils peuvent donner une impression de sécurité. Mais s’ils sont mal utilisés ou utilisés par une personne qui ne maîtrise pas le domaine, ils peuvent parfois créer plus de difficultés que de solutions.»
Il n’est absolument pas possible d’appréhender cette matière sans faire appel aux conseils d’un expert
Avocat (réseau Lexing) et Préposé valaisan à la protection des données, Sébastien Fanti estime que le DSAT est un bon outil de départ mais qui reflète la complexité de la matière: «Il n’est absolument pas possible d’appréhender cette matière sans faire appel aux conseils d’un expert.»
Le juriste François Charlet voit le «Datenschutz Self Assessment Tool» comme un outil intéressant bien que manquant d’interactivité. «L’outil me paraît surtout utile pour des PME ne possédant pas de ressources juridiques en interne et qui pourront évaluer s’il est pertinent ou non de faire appel à un expert externe.»