Skip to content

Insights

Available in other languages: English

Available in other languages: EN

Le Règlement Général sur la Protection des Données (RGPD) et la nouvelle Loi fédérale sur la protection des données (LPD) - Conseils pour les Trustees en Suisse

Introduction

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Ce nouveau régime de protection des données de l’UE imposera de nouvelles obligations aux trustees traitant des données personnelles des settlors ou encore des bénéficiaires. De plus, s’agissant de la Suisse, le RGPD aura un champ d’application extraterritorial dans la mesure où si une société hors de l’UE (suisse) souhaite traiter les données d’une personne dans l’UE, elle devra se plier aux règles de l’UE. Les sociétés de trust entrant dans cette catégorie devraient ainsi examiner et revoir leurs procédures afin de se conformer au RGPD.


Les sociétés de trust et les entreprises suisses devront également se conformer à la nouvelle loi fédérale sur la protection des données (LPD), qui entrera en vigueur fin 2018 ou début 2019. D'une manière générale, la LPD a été révisée notamment pour afin d’entre en phases avec le RGPD et un projet de loi a été publié le 15 septembre 2017. Il est probable que sa mise en œuvre prendra du temps et, à ce titre, les avocats et les praticiens devront surveiller de près l'interaction entre les deux régimes. A l’heure actuelle, il semblerait que les mêmes obligations qui incombent aux trustees en vertu du RGPD seront applicables sous le régime de la LPD révisée.

Qu’entend-on par données personnelles et pourquoi un trustee est-il un « responsable de traitement » ?

Le RGPD définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Un responsable de traitement est une personne qui, seule ou conjointement, détermine les finalités et les moyens du traitement des données à caractère personnel. Le « traitement » comprend la collecte, l'enregistrement, l'organisation, le stockage, la récupération, la consultation, l'utilisation, l'effacement ou la destruction des données personnelles. En tant que tels, les trustees seront dans la majorité des cas des responsables de traitement s’agissant des informations qu'ils recueillent, stockent et utilisent sur toutes les personnes liées à un trust (les personnes concernées) ce qui inclut non seulement les bénéficiaires, mais aussi le settlor, le protector et toute autre personne concernée dont les données sont traitées.

Il est important de relever que le RGPD a une portée large et que ses principes s'appliqueront à chaque fois que des données à caractère personnel sont traitées au sein d'une société ou de son groupe. Les sociétés de trust suisses qui transmettent des données personnelles à d'autres départements ou sociétés de leur groupe doivent en être conscientes et mettre en place des mesures adéquates.

Mise en œuvre

Le RGPD établit un système de sanctions à deux niveaux. Certaines infractions (par exemple les infractions relatives à la tenue de registres internes) sont passibles d'amendes pouvant atteindre € 10 millions ou 2 % du chiffre d'affaires global. D'autres (telles que les violations des principes fondamentaux de protection des données) sont passibles d'amendes plus élevées pouvant atteindre € 20 millions ou 4 % du chiffre d'affaires global.

La sanction pécuniaire maximale sous le régime de la LPD est sensiblement inférieure au RGPD, à savoir CHF 250’000.

Obligations des responsables de traitement

Les trustees doivent se conformer au régime de protection des données en vertu du principe général de responsabilité (accountability). Les obligations principales du RGPD et de la LPD s’imposant aux trustees lorsqu’ils traitent des données incluent :

  • fournir des informations aux bénéficiaires (avis de confidentialité) sur le traitement de leurs données personnelles, les raisons de ce traitement et les coordonnées des destinataires de ces données (toute demande d’un bénéficiaire doit être raisonnable et les trustees doivent seulement fournir les données personnelles en leur possession concernant le bénéficiaire en question, rien de plus) ;
  • maintenir un registre à jour de toutes les activités de traitement de données sous leur responsabilité ;
  • s'assurer que les données sont traitées de façon sécurisée et que des systèmes adéquats sont en place qui respectent les normes imposées par le RGPD ;
  • notifier sans délai excessif les violations de données au Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) (l'autorité de surveillance suisse compétente) ;
  • lorsqu’un bénéficiaire a demandé que des données soient rectifiées ou effacées, notifier les personnes avec qui ces données personnelles ont été partagées ;
  • adopter des politiques assurant que le traitement de données est réalisé conformément au RGPD ;
  • informer les bénéficiaires des violations de données personnelles si elles sont susceptibles d'entraîner un risque élevé pour leurs droits et libertés ; et
  • lorsque des données à caractère personnel sont transmises à un pays situé en dehors de l'EEE ou à une organisation internationale, s'assurer que la Commission européenne a confirmé que le pays destinataire dispose d'un niveau de protection adéquat ou, en l'absence de confirmation, prévoir des garanties appropriées (telles que le cryptage des données).

Se préparer pour le RGPD

Il y a de nombreuses mesures que les trustees auraient déjà dû mettre en place pour se préparer pour le RGPD et, sous réserve d’une préparation adéquate, il est peu probable que leur système actuel soit conforme au RGPD. L'ensemble des exigences du RGPD (et ses implications) deviendra plus clair lorsque les lignes directrices y relatives et la LPD seront finalisées. Au cours de l’année précédente, les trustees auront probablement examiné leur système actuel, les données en leur possession et mis en place de nouveaux processus.

La conformité au RGPD ne devrait pas être considérée comme un exercice isolé en vue d’assurer la conformité à partir de sa promulgation. Bien au contraire, le PFPDT voudra s'assurer que la conformité au RGPD est internalisée et reflétée, au fil du temps, dans la manière des trustees de mener concrètement leurs activités.

Les actions principales que les trustees devraient envisager pour assurer la conformité au nouveau régime incluent :

  • désigner une personne au sein de la société de trust en charge d’assurer la conformité au RGPD ; par exemple, nommer un trustee comme contact principal pour les demandes d’information ;
  • réaliser un audit et examiner toutes les données personnelles actuellement détenues, y compris :
  • où et depuis quand elles sont détenues ;
  • motifs à l’origine de la décision de garder les données pour une durée déterminée (par exemple, la durée du trust) ;
  • qui elles concernent ;
  • la raison de leur traitement ; et
  • comment elles sont sécurisées.
  • prendre en considération avec qui les données sont partagées (par exemple, avec des avocats en cas de besoin) ;
  • évaluer régulièrement les progrès réalisés (par exemple, en inscrivant la conformité au RGPD comme point fixe à l'ordre du jour des réunions) ;
  • considérer la durée pour laquelle les données doivent être gardées. Le RGPD exige que les trustees gardent les données « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
  • mettre à jour les politiques de protection des données en place afin de les rendre conformes au RGPD. Si ces politiques n’existent pas, les trustees devraient en créer afin de respecter leurs obligations (accountability). Une telle politique devrait faire référence :
  • au calendrier pour exécuter les demandes d’informations des bénéficiaires ;
  • à comment les données personnelles sont traitées et stockées ; et
  • aux procédures et règles en place pour se conformer au RGPD ;
  • établir des procédures afin d’identifier, d’enregistrer, et (si besoin) dénoncer une violation de données ;
  • assurer la formation des trustees. En particulier, tous les individus impliqués dans le traitement devraient être capables d’identifier quand une violation de données a eu lieu et de savoir comment gérer une telle situation ;
  • revoir les politiques d’assurance en vue d’examiner si elles peuvent être étendues afin de couvrir la responsabilité pour les amendes et l’indemnisation en vertu du RGPD ; et
  • revoir les politiques d’indemnisation des trustees afin de s’assurer que les cas liés au RGPD sont couverts.

Exemples : Trustees en tant que responsables de traitement

  1. La Société de Trust Suisse XYZ a été nommée trustee d’un fonds de dotation. Chaque année elle reçoit des demandes de bourse d’étudiants qui communiquent leur nom, adresse et de brefs détails sur leurs études, ainsi qu'une déclaration personnelle à l'appui de leur demande. Le RGPD s'applique à la Société de Trust Suisse XYZ en tant que responsable de traitement des données personnelles en sa possession sur les étudiants candidats (précédents et actuels) qui constituent des personnes concernées. Ceci est indépendant du fait que les données soient détenues sur un système informatique, dans des courriels ou dans un système d'archivage papier.
  2. La Société de Trust Suisse XYZ est le trustee du Trust Discrétionnaire de la Famille Pan. Le settlor est Peter Pan qui a défini la classe discrétionnaire comme étant les descendants en ligne directe de son père et de sa mère ainsi que leurs conjoints. Peter a écrit une lettre d’intentions indiquant son souhait que ses quatre enfants et leurs enfants soient les principaux bénéficiaires, et que les autres membres de la classe discrétionnaire devraient seulement devenir bénéficiaires si ses enfants et petits-enfants sont tous décédés. Il n'envisage pas qu’il y ait d'autres bénéficiaires. Plutôt que d’avoir recours à un chercheur en généalogie pour identifier tous les cousins germains de Peter (qu'il croit installés au Pays Imaginaire), les trustees décident de limiter la tenue des registres à la famille proche de Peter. Cela est conforme aux principes de limitation du but et de minimisation des données du RGPD. Cependant, tous les enfants et petits-enfants de Peter seront des personnes concernées et la Société de Trust Suisse XYZ devra respecter les principes du RGPD en matière de détention et de traitement de leurs données.

Demandez des conseils

Si en tant que trustee vous ne savez pas dans quelle mesure le RGPD et la LPD vont vous affecter et comment assurer leur respect aujourd’hui et pour l’avenir, nous vous suggérons de nous contacter afin de discuter de solutions sur mesure pour votre société en fonction de votre taille, votre expertise et l'emplacement de votre clientèle. En effet, Charles Russell Speechlys SA est idéalement placé pour fournir des conseils juridiques suisses et européens aux trustees, aux protectors et aux bénéficiaires sur les effets du RGPD et de la nouvelle LPD.


For further information, please contact Grégoire Uldry on +41 (0)22 591 18 43 / Gregoire.Uldry@crsblaw.com or Olivier Cavadini on +41 (0)22 591 18 44 / Olivier.Cavadini@crsblaw.com.

TOP