REMARQUE : ce guide concerne aussi les personnes physiques (hors activité privée), les personnes morales, les organisations religieuses, sportives qui remplissent les critères décrits plus bas ….

COUP D’ŒIL

• Pourquoi la Suisse ?
• Pourquoi une entreprise suisse serait soumise au droit européen ?
• Principaux critères pour évaluer l’exposition de votre entreprise suisse au RGPD
• Les étapes de la conformité RGPD de votre entreprise suisse.
• Vos obligations et risques sous le RGPD en tant qu’entreprise suisse.

POURQUOI AVOIR CHOISI LA SUISSE COMME CAS D’ÉTUDE ?

• C’est un pays tiers au territoire européen mais avec de forts liens économiques avec la région, beaucoup de ses PME ont des liens avec l’Union Européenne.
• C’est un pays signataire notamment de la Convention 108 du Conseil de l’Europe “Convention modernisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel “. Cette convention modernisée en 2018 pour s’adapter aux nouvelles règles renforcées de protection et de transparence des traitements de données personnelles imposées notamment par le Règlement Général pour la Protection des Données Personnelles plus connu son acronyme RGPD (ou GDPR, acronyme anglais)
• La Suisse est l’un des 12 pays (état en août 2018) reconnus par La Commission Européenne, comme étant conforme pour le transfert de données personnelles du territoire européen vers le territoire suisse sans autre formalité nécessaire.

C’est un avantage économique énorme qui devrait pousser la Suisse à mettre plus rapidement son régime juridique interne (LPD) sur le   traitement des données personnelles .

Les entreprises suisses et notamment les PME ont tout intérêt à réaliser la nécessité légale et économique de se mettre en conformité avec le RGPD afin de ne pas perdre l’accès au marché européen.

 Reportez-vous à mon offre de service pour vous informer, vous aider à démarrer rapidement votre conformité ou à compléter votre mise en conformité.

Vous trouverez en bas de l’article un LEXIQUE RAPIDE RGPD des principales notions à retenir.

POURQUOI UN TEXTE DE DROIT EUROPÉEN DEVRAIT-IL ÊTRE DIRECTEMENT RESPECTÉ PAR UNE PME ÉTABLIE EN SUISSE ?

Une particularité du Règlement Général sur la Protection des Données Personnelles (RGPD) [1] est d’avoir une application extraterritoriale dans plusieurs cas.

Une entreprise suisse qui jusqu’au 25 mai 2018 n’avait pas à se soucier de respecter le droit à la protection des données personnelles peut se retrouver directement soumise au texte européen ou même indirectement du fait de son activité principale.

ENTREPRISES SUISSES INDIRECTEMENT CONCERNÉES PAR LE RGPD

DROIT INTERNE SUISSE, LA LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES (LPD) [2]

Ce texte est en cours restructuration (stade en 2018)[3] pour se conformer à ses obligations internationales.

Les entreprises suisses ont tout intérêt à se mettre en conformité avec le RGPD, ce n’est qu’une question de temps :

– Soit elles sont directement soumises au RGPD d’après les critères décrits ci-dessous

– Soit leurs clients en Europe exigeront d’elles leur conformité RGPD avant de s’engager dans une relation commerciale puisque les entreprises européennes ont l’obligation de n’utiliser que des sous-traitants conformes pour leur traitement de données personnelles

– Soit elles devront s’adapter quand le droit suisse de la protection des données se mettra nécessairement en conformité avec le RGPD via ses engagements internationaux (prévu fin 2019)

MISE EN CONFORMITÉ INDIRECTE DES ENTREPRISES SUISSES

Les entreprises suisses vivent dans un environnement juridique souvent influencé par le droit européen

>> La Suisse est signataire de la Convention 108[4] du Conseil de l’Europe.

Ce texte [5] a été modernisé le 18 mai 2018 afin de s’adapter aux nouvelles règles européennes plus strictes de protection des données personnelles édictées dans le RGPD.

La Suisse doit adapter son droit interne à l’évolution de ses obligations internationales.

Même si ce processus est long, les entreprises suisses devraient réaliser qu’elles ne sont pas isolées du mouvement général de transparence et de responsabilité vis à vis des données personnelles qu’elles utilisent.

Le RGPD établi un nouveau paradigme de protection par défaut des données personnelles dont l’influence s’étend bien au-delà des frontières de l‘Espace Économique Européen

>> La Suisse a l’obligation de se mettre directement en conformité avec le RGPD

En 2018, la Suisse est l’un des 12 pays [6] tiers hors Espace Économique Européen [7] (EEE) reconnus comme ayant un système juridique de protection des données personnelles équivalent au régime européen.

Cela signifie que des données recueillies de personnes se trouvant sur le territoire de l’EEE peuvent être directement transférées vers le territoire suisse sans autre formalité.

C’est un avantage économique considérable dont la Suisse ne peut se passer. La libre circulation des données avec l’Union Européenne facilite les échanges commerciaux.

La nécessaire adaptation de la LPD au droit européen passe notamment par une révision de la LPD.

En attendant ce nouveau texte et afin d’éviter une incertitude juridique dans leur traitement des données personnelles, les entreprises suisses ont tout intérêt à se conformer au texte le plus restrictif, le RGPD, d’autant plus que beaucoup sont déjà soumises directement ou indirectement au RGPD du fait de leurs activités dirigées vers le territoire européen.

Concernant les traitements de données personnelles strictement soumis au droit suisse comme le traitement des données de leurs employés en Suisse, recueillies dans le cadre d’un contrat de travail suisse, les entreprises restent bien sûr soumises notamment à la LPD et au droit suisse du travail .

CRITÈRES POUR SAVOIR SI VOTRE ENTREPRISE ÉTABLIE EN SUISSE EST DIRECTEMENT SOUMISE AU RGPD [8]

1- VOTRE ENTREPRISE SUISSE A UNE OU DES FILIALES OU SUCCURSALES ÉTABLIES SUR LE TERRITOIRE DE L’EEE

Les entreprises de votre groupe qui sont établies sur le territoire de l’EEE sont soumises au RGPD et au droit sur les données personnelles du pays où elles sont établies.

Chaque État membre dispose de certaines marges de manœuvre dans l’application du RGPD. Pour exemple, l’âge minimal légal pour donner un consentement valable au traitement de ses données varie selon les pays en Europe.

Chaque entreprise européenne de votre groupe doit traiter les données personnelles dans son activité en Europe selon les règles européennes . La nationalité des personnes dont l’entreprise en Europe traite des données, n’a aucune influence, même si ces données sont traitées hors territoire de l’EEE.

Seul compte le fait que le traitement des données a eu lieu dans le cadre de son activité sur le territoire de l’Union Européenne (EEE) pour que l’entreprise soit soumise au droit européen.

Par exemple, votre succursale française traitera des données personnelles dont elle dispose selon notamment la Loi informatique et libertés [9]. Des données personnelles en provenance de Suisse qui auraient été transférées vers cet établissement, pour une sous-traitance par exemple, seront régies par le droit européen et français sur les données.

2 – VOTRE ENTREPRISE SUISSE UTILISE LES SERVICES D’UN AGENT COMMERCIAL SITUÉ SUR LE TERRITOIRE DE L’EEE (VOIR CI-DESSOUS) OU ENVOIE UN VOYAGEUR DE COMMERCE EN TOURNÉE SUR LE TERRITOIRE EUROPÉEN.

Dans ce cas, vous ciblez clairement directement les personnes situées sur le territoire européen et êtes soumis aux obligations du RGPD

3 – VOTRE ENTREPRISE ÉTABLIE EN SUISSE EST EN RELATION DANS SON ACTIVITÉ AVEC DES PERSONNES QUI SE SITUENT SUR LE TERRITOIRE DE L’EEE en B to B ou B to C.

CRITÈRES DE L’APPLICATION EXTRA TERRITORIALE DU RGPD, ART 3-2 [10] :

A/ critère de localisation des personnes :

Vous traitez des données personnelles de personnes physiques qui se trouvent sur le territoire de l’Union (EEE) [11]

B/ critère d’établissement :

Il faut vérifier que vous n’avez pas un établissement stable sur le territoire européen.

La forme juridique d’un éventuel établissement ne rentre pas en jeu dans ce cadre, c’est surtout vos actions sur le territoire européen qui seront testées. On recherche un faisceau d’indices établis par la jurisprudence de la Cour de Justice Européenne.

Par exemple si une personne de niveau management, rattachée à votre entreprise suisse et résidente sur le territoire d’un état membre de l’UE a le pouvoir de prendre des décisions essentielles sur les finalités et les moyens de votre traitement de données de personnes situées sur le territoire européen et si elle dispose de moyens pour mettre en œuvre ses décisions,

>> cela peut suffire à indiquer que vous avez un établissement stable dans l’Union Européenne et les activités décidées dans cet établissement sont soumises directement au droit de l’État où votre structure est établie et au droit européen.

C/ critère de la nature de votre activité

Lorsque les activités de traitement sont liées

• à l’offre de biens ou de services à des personnes situées dans l’EEE, qu’un paiement soit exigé ou non

OU

• au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

COMMENTAIRES 

– CRITÈRE DE LA LOCALISATION DES PERSONNES

On ne regarde pas leur nationalité ni de leur résidence légale comme on le lit encore trop souvent.

Exemple : Un citoyen suisse qui se trouve en France et utilise un service offert par une entreprise en France verra ses données personnelles protégées par le droit sur les données personnelles de l’Union Européenne et de la France, que ce service soit payant ou non.

– CRITÈRE DE L’ÉTABLISSEMENT SUR LE TERRITOIRE DE L’UNION EUROPÉENNE

Il a déjà été discuté dans le cadre de la jurisprudence européenne. [12]

On s’attache moins au pays de l’immatriculation de l’entreprise qu’au contenu de son activité réelle pour rechercher qui est le responsable du traitement de données personnelles .

Il faut rechercher qui “exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.“ [13]

Le considérant 22 du RGPD reprend cette notion :

“L’établissement suppose l‘exercice effectif et réel d’une activité au moyen d’un dispositif stable.

La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard.“ [14]

– CRITÈRE DE LA NATURE ET L’INTENTION DE VOTRE ACTIVITÉ A LA BASE DU TRAITEMENT DE DONNÉES PERSONNELLES

1. OFFRE DE BIENS OU DE SERVICES DIRIGÉS VERS LES PERSONNES SUR LE TERRITOIRE EUROPÉEN

Ce critère nécessite une analyse au cas par cas de votre activité.

La notion “d’offre dirigée vers les personnes sur le territoire européen “ a été développée dans la jurisprudence européenne du droit de la consommation et reprise dans le considérant 23 du RGPD :

– Vous devrez rechercher s’il est clair que vous envisagez d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union, si c’est votre intention d’offrir votre activité sur le territoire européen

– On aura recours à un faisceau d’indices pour rechercher votre intention réelle de diriger votre activité, de façon gratuite ou non, vers les personnes sur le territoire de l’EEE

– la simple accessibilité du site internet du responsable du traitement, d’un sous-traitant ou d’un intermédiaire dans l’Union, d’une adresse électronique ou d’autres coordonnées, ou l’utilisation d’une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention

INDICES NON EXHAUSTIFS [15] POUR DÉTERMINER VOTRE INTENTION DE DIRIGER VOTRE ACTIVITÉ VERS LE TERRITOIRE EUROPÉEN :

• Activité internationale par nature
• La mention d’itinéraires à partir d’un État membre de l’EEE (un hôtel en Suisse qui inclue Google Map dans son site)
• L’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue
• La mention de coordonnées téléphoniques avec un préfixe international
• L’engagement de dépenses dans un service de référencement sur Internet afin de faciliter aux personnes se trouvant sur le territoire de l ‘EEE l’accès à votre site ou à celui de votre intermédiaire (par exemple l’offre d’un hôtel en Suisse sur un site de type Hotels.com, Expedia.com ou Booking.com … )
• L’utilisation d’un nom de domaine de premier niveau ( par exemple www.votreentreprise.fr ou .eu ou .be … )
• La mention de clients ou d’utilisateurs qui se trouvent dans l’Union
• La possibilité de livraison directement sur le territoire de l’EEE

>> Contre- Exemple : ATTENTION – je ne parle pas du site d’une entreprise dont le cœur d’activité est le placement de personnes

Cas d’une offre d’emploi sur votre site à laquelle répond directement une personne située sur le territoire de l’EEE en rentrant ses coordonnées, en transmettant son CV ou d’autres informations personnelles nécessaires à la postulation

• les données de ces postulants ne sont pas couvertes par le RGPD mais par le droit suisse. Une offre d’emploi n’est pas une offre de service ou de bien.
• de même les données de vos employés frontaliers sont régies par le droit suisse du travail dans le cadre de leur contrat de travail.

Attention : voir ci-dessous “Suivi du comportement“ si vous suivez votre employé quand il se trouve sur le territoire européen (par exemple par un suivi GPS de sa voiture qu’il ne peut arrêter)

>> Exemples donnés par la Commission Européenne :

> Exemple 1)

Vous gérez une petite entreprise d’enseignement supérieur en ligne établie en dehors de l’UE.

“Vous ciblez principalement les universités de langues espagnole et portugaise établies dans l’UE. Vous proposez des conseils gratuits sur un certain nombre de formations universitaires, et les étudiants ont besoin d’un nom d’utilisateur et d’un mot de passe pour accéder aux documents en ligne. Votre entreprise fournit le nom d’utilisateur et le mot de passe dès que les étudiants ont rempli un formulaire d’inscription.“

=> Le RGPD s’applique

> Exemple 2)

      2- SUIVI DU COMPORTEMENT DES PERSONNES QUAND ELLES SONT SUR LE TERRITOIRE DE L’EEE ,  PROFILAGE INCLUS

L’esprit du RGPD est basé entre autre sur le principe de transparence.

Le considérant 24 du RGPD précise ce que vous devrez rechercher :

“ (…) si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment

• de prendre des décisions la concernant ou
• d’analyser ou
• de prédire ses préférences, ses comportements et ses dispositions d’esprit. “ [16]

Le profilage est particulièrement règlementé dans le RGPD.

DÉFINITION DU PROFILAGE :

• toute forme de traitement automatisé de données à caractère personnel
• visant à évaluer les aspects personnels relatifs à une personne physique,
• notamment pour analyser ou prédire des aspects concernant
  • le rendement au travail de la personne concernée,
  • sa situation économique,
  • sa santé,
  • ses préférences ou
  • centres d’intérêt personnels,
  • sa fiabilité ou
  • son comportement, ou
  • sa localisation et ses déplacements [17]

Si vous n’empêchez pas toute personne qui est localisée sur le territoire de l’EEE d’être incluse dans votre action de suivi comportemental durant sa présence sur ce territoire, vous êtes soumis directement au RGPD pour les traitements de données personnelles dans le cadre de cette activité

Exemple : votre site dépose des cookies d’analyse de comportement (quelles pages sont consultées par exemple) ou utilise des sociétés tierces pour cibler votre offre sur la base de l’identité digitale des personnes qui visitent votre site ou qui seraient susceptibles d’aimer votre offre ( Facebook Ad, Google Analytics …).

VOUS AVEZ APPLIQUÉ LES CRITÈRES CI-DESSUS => VOUS ÊTES CONCERNÉ DIRECTEMENT PAR LE RGPD, QUELLES SONT LES ÉTAPES SUIVANTES ?

1- DEVEZ-VOUS DÉSIGNER UN REPRÉSENTANT DANS LE PAYS OÙ SE TROUVE LES PERSONNES VISÉES PAR VOTRE ACTIVITÉ ? [18]

PAS obligatoire si :

• traitement occasionnel
• pas un traitement à grande échelle de données particulières [19]

Et

• pas susceptible d’engendrer un risque pour les droits et libertés des personnes compte tenu de la nature, du contexte, de la portée et des finalités du traitement

La notion de “à grande échelle“ n’a pas encore été développée par les Autorités centrales ou la jurisprudence européenne.

L’Autorité centrale du Luxembourg [20]donne quelques critères d’un traitement à grande échelle :

• le nombre de personnes concernées est élevé ou proportionnellement élevé par rapport à une population ou ;
• le volume de données traitées est important ou ;
• la durée ou la permanence de l’activité de traitement est importante ou ;
• l’étendue géographique du traitement est importante.

Exemples de traitements à grande échelle donnés par le Groupe de Travail Art 29 dans ses Lignes Directrices concernant le Délégué à la Protection des Données

• traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités;
• traitement des données de voyage des passagers utilisant un moyen de transport public urbain (par exemple, suivi par les titres de transport);
• traitement des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans ces activités;
• traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités;
• traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale;
• traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.

2- RECHERCHER SI VOUS ÊTES RESPONSABLE DU TRAITEMENT OU SOUS-TRAITANT

Pourquoi ?

Parce que votre responsabilité et vos obligations seront différentes selon les cas.

Vous pouvez être tour à tour responsable, co-responsable ou sous-traitant selon les traitements

ÊTES-VOUS RESPONSABLE DE TRAITEMENT ?

Le RGPD définit le responsable du traitement comme La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement

La Cour de Justice Européenne (CJEU) donne une interprétation très large de la notion de responsable ou co-responsable de traitement dans un jugement récent. [21]

“l’administrateur d’une page fan hébergée sur Facebook(…) par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Irlande, de ce traitement“ [22]

Il est important durant votre mise en conformité RGPD de rechercher pour chacun de vos traitements quel est votre rôle pour délimiter vos obligations et responsabilités donc votre risque vis à vis d’incidents sur les données personnelles que vous traitez.

ÊTES-VOUS SOUS-TRAITANT ?

C’est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.

L’article 28 du RGPD décrit son rôle :

• Le sous-traitant ne traite les données personnelles que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou à une organisation internationale.

Exemple :

Une société suisse de marketing prend en charge la communication marketing auprès de clients d’une société européenne. Elle est sous-traitante des données personnelles des prospects et clients de la société européenne. Il est important pour elle de travailler “pour le compte du responsable du traitement“.

La société européenne donneuse d’ordres doit décrire, dans un document écrit opposable, toutes les actions demandées à la société suisse. La société suisse devra démontrer qu’elle remplit toutes ses obligations sous le RGPD et qu’elle suit les principes du RGPD quand elle développe des campagnes marketing pour ses sociétés clients européennes.

La CNIL a édité un guide pour vous aider à comprendre le rôle de sous-traitant , elle vous donne des exemples de clauses de sous-traitance à adapter dans vos contrats

3 – VOS OBLIGATIONS ET RISQUES SOUS LE RGPD

5 OBLIGATIONS PRINCIPALES SOUS LE RGPD

1. Tenir un registre de vos traitements de données Art 30
2. Désigner un Délégué à la Protection des Données?  Art 37
3. DPIA ou analyse d’impact nécessaire ? Art 35
4. Procédure de notification des personnes et de l’Autorité en cas de violation de données Art 33 et 34
5. Désigner un représentant dans l’UE – Art 27

PLUSIEURS AUTRES ARTICLES DE MON BLOG RÉPONDENT À CES QUESTIONS :

Cet article de mon blog vous donnera plus de détails sur les principes à retenir et vos principales obligations à remplir dont notamment :

• la recherche d’une base légale pour vos traitements,
• la tenue de registre de traitement,
• la révision des informations que vous donnez aux personnes dont vous traitez les données. Devez-vous désigner un Délégué à la protection des données (ou DPO) pour vos traitements soumis au RGPD ?

COMMENT COMMENCER OU ENTRETENIR VOTRE CONFORMITÉ RGPD ?

J’ai mis en place un service PRIVACONSULT sur mesure.

Je vous propose un 1^er RV offert (par visioconférence) afin d’estimer vos besoins.

À l’issue de ce RV, je vous présente les étapes de votre chemin vers la conformité, un audit complet sur les aspects juridiques et de sécurité informatique dans vos locaux de vos traitements de données, de vos risques, de votre exposition au RGPD dans votre activité.

Consultants indépendants proches de la Suisse, je suis là pour répondre à vos besoins.

LEXIQUE RAPIDE RGPD

Donnée personnelle :

Toute information se rapportant à une personne physique

• Identifiée ou identifiable
• identifiée, directement ou indirectement

par référence à un identifiant, par exemple

> un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (adresse IP, cookies, étiquettes d’identification par radiofréquence-RFI tags…)

Espace Économique Européen – EEE

Tous les États membres de l’Union Européenne + Liechtenstein + Norvège + Finlande

Le RGPD est directement applicable sur tous ces territoires

Fichier :

Tout ensemble structuré de données personnelles accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Sur support papier inclus.

Représentant :

Une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement

Responsable du traitement :

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement

Sous-traitant :

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.

Exemples :

• les prestataires de services informatiques (hébergement, maintenance,…),
• les intégrateurs de logiciels,
• les sociétés de sécurité informatique,
• les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
• les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients et
• plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme. [23]

Un organisme public ou une association peut également être amené à recevoir une telle qualification.

Traitement :

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que :

• la collecte,
• l’enregistrement,
• l’organisation,
• la structuration,
• la conservation,
• l’adaptation ou la modification,
• l’extraction,
• la consultation,
• l’utilisation,
• la communication par transmission,
• la diffusion ou toute autre forme de mise à disposition,
• le rapprochement ou l’interconnexion,
• la limitation,
• l’effacement ou la destruction

____________________________________________

NOTES

[1] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Texte présentant de l’intérêt pour l’EEE) – RGPD – https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[2] Loi fédérale sur la protection des données(LPD) du 19 juin 1992 (état le 1er janvier 2014)  https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html

[3] Loi fédérale Projet sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales- 15 septembre 2017-  https://www.admin.ch/opc/fr/federal-gazette/2017/6803.pdf

[4] Convention modernisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel –Texte consolidé – Convention 108  https://rm.coe.int/09000016807c65c0

[5] 53 états ont ratifié ce texte, chiffre août 2018 –  https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=5V9h3Pkx

[6] Le Japon est en cours de reconnaissance en août 2018-  https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

[7] Espace Économique Européen ou EEE : les 28 pays de l’UE plus l’Islande, la Norvège et le Liechtenstein. Situation pré- Brexit

[8] Inspiré et complété de : “Le RGPD et ses conséquences sur la Suisse“, Préposé fédéral à la protection des données et à la transparence PFPDT, Confédération Suisse, état juillet 2018, https://www.edoeb.admin.ch/edoeb/fr/home/documentation/bases-legales/Datenschutz%20-%20International/DSGVO.html

[9] France : Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés   https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[10] RGPD supra note 1

[11] Supra note 8

[12]  Arrêt Weltimmo, EU:C:2015:639, 1^er octobre 2015

http://curia.europa.eu/juris/document/document.jsf?docid=168944&doclang=FR

[13] ibid.

[14] RGPD supra  note 1

[15] Affaires jointes C-585/08 et C-144/09, JO C 44 du 21.02.2009 et JO C 153 du 04.07.2009 Arrêt de la Cour  (grande chambre) du 7 décembre 2010 (demandes de décision préjudicielle du Oberster Gerichtshof Autriche) Peter Pammer/Reederei Karl Schlüter GmbH & Co KG (C-585/08), Hotel Alpenhof GesmbH/Oliver Heller (C-144/09 https://eur-lex.europa.eu/legal-content/fr/TXT/PDF/?uri=uriserv%3AOJ.C_.2011.055.01.0004.01.FRA

[16] RGPD, considérant 24, supra note 1, accentuation et mise en forme par l’auteure.

[17] RGPD, considérant 71 ibid.

[18] RGPD article 27, ibid.

[19] RGPD articles 9 et 10 : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle ainsi que les données relatives aux condamnations pénales et aux infractions

[20] “ Vos obligations en matière de protection des données“ Commission nationale pour la protection des données (CNPD), page 10, https://cnpd.public.lu/dam-assets/fr/publications/brochures/brochure-rt-st/brochure-rt-st-fr.pdf

[21] EU: C:2018:388, ARRÊT DE LA COUR , 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH,

http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130daa5580c707a0b4ee09cb787cc77515c22.e34KaxiLc3eQc40LaxqMbN4Pb3iPe0?text=&docid=202543&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=325138

[22] Cette décision m’a poussée à retirer les boutons de partage social sur mon site MementoSafe, VOIR mes raisons dans : “RGPD et site web, garder les boutons de partage social ? arrêt de la CJEU du 20 juin 2018 (affaire C210-16)  https://mementosafe.com/rgpd-sites-boutons-partage-social-cjeu-c210-16/

[23] CNIL, Guide du sous-traitant, septembre 2017 , page 2 ,https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf