RGPD, entreprise suisse et obligation de notifier une autorité en cas de violation de données

L’article 33 du Règlement général sur la protection des données (RGPD) prévoit notamment qu’en cas de violation de données personnelles (c’est-à-dire s’il se produit une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ; art. 4 ch. 12 RGPD), le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55.

Cette dernière disposition indique que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au RGPD sur le territoire de l’État membre dont elle relève.

Le fait de ne pas notifier l’autorité de contrôle autorise cette dernière à prendre des mesures correctrices conformément à l’art. 58 al. 2, y compris une amende fondée sur l’art. 83 RGPD.

Une entreprise établie en Suisse et soumise au RGPD peut-elle notifier une autorité européenne en cas de violation des données ?

À supposer que le RGPD soit applicable aux traitements de données personnelles mis en œuvre par une entreprise sise en Suisse (cf. art. 3 al. 2 RGPD), celle-ci n’aura pas d’autre choix que de notifier l’autorité européenne compétente en cas de violation de données. Mais en a-t-elle seulement le droit en vertu de la législation suisse ?

Le Département fédéral de justice et police (DFJP) a publié une note le mois dernier à ce sujet. Selon l’art. 271 du Code pénal suisse (CP), le fait de procéder, sans y être autorisé, sur le territoire suisse, pour un État étranger, à des actes qui relèvent des pouvoirs publics ou le fait de favoriser de tels actes est punissable.

Selon cette norme, on pourrait ainsi considérer que le fait de notifier une autorité étrangère en vertu du RGPD constitue un acte relevant des pouvoirs publics de l’autorité étrangère. Cependant, l’art. 271 CP protège la souveraineté de la Suisse et son droit à ce que des actes étatiques étrangers ne soient effectués sur son territoire que par ses propres institutions, sous réserve d’une norme qui les autorise.

Le DFJP est d’avis que les notifications effectuées sur la base de l’art. 33 RGPD ne constituent pas une atteinte à la souveraineté de la Suisse et ne nécessitent donc pas une autorisation de la Confédération. Les entreprises sises en Suisse et soumises au RGPD qui se retrouvent à devoir notifier une autorité européenne de protection des données n’enfreindront pas l’art. 271 CP.