Une caisse de pension doit-elle respecter le RGPD ?
Une caisse de pension occupe quelques salariés frontaliers. Elle a par ailleurs certains bénéficiaires qui se sont installés au soleil de la Méditerranée à leur retraite.
La direction de la caisse a toujours été très attentive au respect des lois, et connaît en particulier bien les règles applicables au traitement des données personnelles.
Au printemps 2018, son service informatique l’interpelle. Le Règlement général de l’Union européenne en matière de données personnelles entre en application, et elle s’inquiète de devoir répondre à l’obligation de respecter le droit à la portabilité des données.
Le service juridique est sollicité, et vérifie les conditions d’application du RGPD. Il conclut que celui-ci n’est pas applicable à la caisse.
Il s’avère en effet que la caisse n’est pas dans les hypothèses où une organisation suisse, sise hors du territoire de l’Union européenne, est tenue d’appliquer le RGPD, car elle n’offre ni bien ni services à des personnes se trouvant sur le territoire de l’Union. Le fait d’employer du personnel frontalier n’est pas un critère d’applicabilité, et les prestations légales de rente vieillesse ne sont ni des biens ni des services. Il n’y a pas non plus de surveillance du comportement de personnes se trouvant sur le territoire de l’Union.
Recommandations
Le règlement européen prévoit qu’un traitement de données personnelles de résidents européens par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l'Union est applicable, lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes (qu'un paiement soit exigé ou non) ou au suivi du comportement de ces personnes dans l'Union. Tel n’est pas le cas en l’espèce.
Principes de base
art. 7 LPD, art. 8 et 9 OLPD : sécurité (confidentialité, disponibilité, intégrité)
Ressources
Voir les conseils du PFPDT, Le RGPD et ses conséquences pour la Suisse
https://www.edoeb.admin.ch/edoeb/fr/home/actualites/rgpd-last-minute.html