Application du Règlement général de protection des données de l’Union européenne (RGPD) aux institutions publiques : le Préposé genevois à la protection des données et à la transparence émet un avis clair !
Dans le Bulletin d’information n° 47 de septembre 2017, Monsieur Stéphane Werly, Préposé genevois à la protection des données et à la transparence s’exprime en ces termes, en réponse à la question de savoir si les institutions publiques genevoises peuvent être soumises à l’application du RGPD (https://www.ge.ch/ppdt/doc/bulletin-info/Bulletin-information-47-septembre-2017.pdf) :
« Oui. Le nouveau RGPD a prévu un principe d’extra-territorialité qui vise à faire appliquer les règles de l’UE lorsque des données à caractère personnel sont traitées hors de l’Europe. Ceci signifie que tout citoyen considérant que la protection de ses données personnelles n’a pas été respectée dans le contexte d’une offre de biens ou de services ou un suivi par une entité publique genevoise pourra s’adresser à son autorité nationale de protection des données, même quand leurs données sont traitées par une entreprise établie en dehors de l’UE. Toute institution publique genevoise doit être informée que le nouveau règlement de protection des données qui entrera en vigueur le 1er juin 2018, sera aussi applicable aux traitements de données de personnes qui se trouvent sur le territoire de l’Union européenne quand bien même l’entité ou le sous-traitant de celle-ci se trouve hors de l’Union européenne – en Suisse par exemple. Si vous êtes une entité publique genevoise, demandez-vous si vos activités vous amènent à offrir des prestations – offre de biens ou de services (rémunérées ou non) ou le suivi d’un comportement de personnes qui se trouvent sur le territoire de l’Union européenne. ».
Avec cet avis autorisé, qui conforte ceux émis auparavant par la doctrine, le mythe d’une non-application du RGPD aux institutions publiques s’effondre définitivement. Les collectivités publiques doivent être conscientes qu’elles peuvent être sanctionnées par des amendes considérables, dont le montant dépendra notamment des mesures qu’elles auront prises pour se mettre en conformité.