Le nouveau Règlement européen sur la protection des données («RGPD») entrera en application effective le 25 mai prochain. Il instaure de nouvelles obligations pour les responsables de traitement des données, dans le but de renforcer les droits des personnes concernées. Le Règlement s’applique en cas de traitement, automatisé ou non, de données personnelles se rapportant à des personnes physiques, à l’exclusion des données de personnes morales, dans les deux cas de figure suivants:

1. Des données personnelles sont traitées dans le cadre des activités exercées par l’établissement stable d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’EEE, que le traitement ait lieu ou non dans l’EEE. Le critère de rattachement est ici celui du traitement de données personnelles en relation avec les activités d’un établissement stable dans l’EEE.
2. Une entreprise établie hors de l’EEE (en l’occurrence en Suisse) traite des données relatives à des personnes basées dans l’EEE et (i) opère le traitement dans le cadre d’une offre de biens ou de services à ces personnes ou (ii) traite lesdites données aux fins de suivre le comportement des personnes concernées, pour autant que le comportement ait lieu dans l’EEE.

Le Règlement ne définit pas le seuil à partir duquel un établissement «cible» des personnes résidant sur le territoire de l’EEE. L’examen de ce critère se fera dès lors au cas par cas, sur la base d’un faisceau d’indices, tels que, par exemple, la référence, sur un site internet, à une clientèle établie dans l’EEE ou l’envoi d’e-mails ou de contenu marketing à une telle clientèle. En revanche, l’accessibilité d’un site internet à partir d’un territoire de l’EEE ne constitue pas encore un indice suffisant d’une telle offre, ni le recours à une langue utilisée dans le propre pays du responsable du traitement (ainsi, s’agissant de la Suisse, le recours à l’allemand, au français ou à l’italien).

Dès lors, et même si le Règlement ne l’exprime pas aussi clairement, l’offre doit supposer un comportement actif du prestataire, démontrant l’intention d’orienter, de diriger ses activités vers le territoire de l’EEE.

Or, un tel comportement pourrait se heurter à la réglementation locale interdisant le démarchage de clientèle et/ou l’exercice d’activités bancaires ou financières sans autorisation prudentielle, avec des conséquences qui auront, le plus souvent, un caractère pénal; il pourrait par ailleurs fonder la compétence du juge étranger de connaître d’un litige entre le client établi dans la juridiction en cause et son prestataire suisse, en vertu du «for du consommateur».

Le suivi comportemental suppose un traitement de données reposant sur le suivi de personnes physiques sur internet, combiné à l’utilisation de techniques de profilage de ces personnes, en vue notamment de prendre des décisions les concernant ou d’analyser leur comportement ou leurs préférences (par exemple en suivant les sites internet consultés ou les contenus publiés sur les réseaux sociaux).

Même si les prestataires de services financiers peuvent avoir recours à des techniques de profilage, que ce soit pour des raisons réglementaires ou pour des motifs commerciaux, les données collectées et traitées de manière automatisée par des prestataires de services financiers ne procéderont pas nécessairement d’un suivi de personnes physiques sur internet. Il convient donc de se montrer nuancé dans l’application de ce critère aux acteurs de l’industrie bancaire et financière.

Les prestataires de services financiers opérant depuis la Suisse en faveur d’une clientèle établie dans l’EEE peuvent être concernés par le RGPD. L’analyse d’impact de ce nouveau Règlement doit toutefois s’effectuer en cohérence avec la «politique cross-border» du prestataire, dans la mesure où le fait de cibler de la clientèle sur le territoire de l’EEE peut être contraire aux obligations de l’établissement selon la réglementation bancaire et financière du pays concerné.

Au-delà d’une analyse stricte des conditions d’application territoriale du RGPD, dont le prestataire ne peut se dispenser, rien n’empêche évidemment ce dernier de considérer le Règlement comme un nouveau standard de référence en matière de protection des données (ce qu’il est) et de l’appliquer à l’ensemble de sa clientèle (que celle-ci soit européenne ou non). Une telle décision peut se justifier pour des motifs de politique commerciale propre au prestataire; elle peut également s’inscrire dans une logique d’anticipation d’une tendance réglementaire qui devrait se confirmer en Suisse avec la future Loi fédérale sur la protection des données (LPD).

Quelle que soit la décision prise, ce Règlement (à l’instar d’autres réglementations européennes touchant le secteur bancaire et financier) représente une opportunité pour le prestataire de services financiers opérant en Suisse de réévaluer le positionnement géographique de ses activités, sous l’angle plus large des risques juridiques et de réputation auxquels son modèle d’affaires l’expose, compte tenu de l’application de normes de droit étranger toujours plus complexes et au champ d’application toujours plus étendu.