⚡ ⚡Le champ d'application géographique de la nLPD et du RGPD [Suisse - Union Européenne] ⚡ ⚡

⏰ ⏰  Le Règlement Général sur la Protection des Données (ci-après RGPD), est applicable depuis le 25 mai 2018. Quant à la nouvelle loi sur la protection des données suisse (ci-après nLPD), elle entrera en vigueur le 1er septembre 2023.

Dès lors, certains s'interrogent quant à leur éventuelle implication dans cette nouvelle loi.

En d'autres termes ils se demandent s'ils seront vraiment concernés par la nLPD.

À l'instar du RGPD, la nLPD a une vocation extraterritoriale.

• L'article 3 al 1 nLPD déclare :

"La présente loi s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. "

• L'art 3 RGPD [consid 22,23,24,25] déclare :

" 1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives

à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du

traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de

traitement sont liées:

a.à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un

paiement soit exigé ou non desdites personnes; ou

b.au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un

comportement qui a lieu au sein de l'Union.

3.Le présent règlement s'applique au traitement de données à caractère personnel par un

responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un

État membre s'applique en vertu du droit international public."

Cela signifie en substance:

➡️ ➡️- que la nLPD s'applique à partir du moment où le responsable du traitement déploie des effets en Suisse par le biais de son activité de traitement de données personnelles. Ce qui signifie que le responsable du traitement pourrait se situer dans un autre pays que la Suisse,

➡️ ➡️- que le RGPD s'applique nonobstant l'établissement pour le responsable de traitement de son activité au sein de l'Union Européenne. Ce qui signifie qu'un responsable de traitement suisse pourrait se voir appliquer le RGPD.

 ⚠️  ⚠️  Le critère déterminant est celui du lieu de situation de la donnée personnelle traitée.

Ainsi schématiquement, une donnée personnelle suisse traitée par un responsable de traitement allemand pourrait tomber sous le coup du RGPD.

En outre une donnée personnelle française traitée par un responsable de traitement suisse pourrait tomber

sous le coup de la nLPD.

Voici une illustration pour un responsable de traitement situé en France qui vendrait sur internet des prestations de marketing à une personne résidant en Suisse:

 💣  💣  💣  Ainsi, nous vous recommandons d'être vigilants car il est tout à fait possible que votre activité entre dans le champ d'application de ces deux lois car dans les deux cas le législateur a souhaité recourir à un champ d'application territorial large afin de protéger les personnes concernées.

Cette note ne constitue pas une consultation juridique, elle a simplement vocation à vous tenir informé(es) du droit positif.

N’hésitez pas à nous solliciter nous serons heureux d’aborder ce thème avec vous et de répondre à vos questions afin de définir et déterminer avec vous un accompagnement sur-mesure.