Quelques chiffres

QUELQUES CHIFFRES

Selon une étude menée en France par Oséo (Rapport sur l’évolution des PME 2016), le taux d’échec moyen dans la reprise d’entreprises est de près de 30% et réparti de la façon suivante: 40% de taux d’échec lors d’une reprise par une personne physique extérieure à l’entreprise, 25% pour une reprise effectuée par des salariés de la société et 7% dans le cas d’un transfert au sein de la famille. 

Le faible taux d’échec dans les transferts familiaux tient à la culture d’entreprise qui est souvent partagée au sein de la famille, une bonne connaissance des contraintes liées à l’activité reprise, un meilleur accompagnement du repreneur, et des conditions de financement plus souples grâce au crédit-vendeur familial. 

Le nombre de repreneurs qui s’associent joue également un rôle significatif: plus ce nombres est important et plus le risque d’échec est élevé, la complémentarité des formations et des expériences ne permettant pas de compenser les difficultés de gestion commune. Pour un repreneur seul, l’indice de contentieux est de 96. Il est de 103 s’il y a 2 ou 3 associés, et de 142 s’il y a 4 repreneurs ou plus. 

En cas de décès ou de maladie du dirigeant cédant, l’absence de préparation à la reprise, et le faible accompagnement du repreneur, font que le taux d’échec est de 150% plus élevé qu’en cas de reprise planifiée.

Les problèmes rencontrés dépendent également de la taille de l’entreprise: dans une société de moins de 20 personnes, le patron est souvent fortement impliqué et l’exercice de la délégation difficile en raison du fort intuitu personae. Dans une société d’une taille plus importante, il existe en général un encadrement, et le risque peut venir du management des collaborateurs qui peuvent trouver que le repreneur manque de légitimité. Il est ainsi bénéfique d’associer le cédant à la reprise de l’entreprise afin de favoriser une meilleure clarté sur le plan du pouvoir des entreprises (Date: 07.04.2020; Auteure: Sophie Prignon).

Contact

+41 26 673 03 12

Rue de l'Industrie 63
1030 Bussigny-près-Lausanne
Suisse

RGPD: Applicabilité aux entreprises suisses

RGPD: applicabilité aux entreprises suisses (art. 3 et 27 rgpd)

Il ressort du texte du RGPD et de ses considérants que le RGPD sera applicable aux entreprises suisses dans les cas prévus par le critère:

de l’établissement (article 3 §1; considérant 22)

Le traitement des données personnelles qui a lieu dans le cadre des activités d’une succursale ou filiale européenne d’une entreprise suisse sur le territoire de l’Union;

Le traitement des données personnelles effectué par une entreprise suisse en tant que sous-traitant pour le compte d’une entreprise européenne.

du ciblage (article 3 §2; considérant 23 et 24)

Le traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour leurs offres de biens et de services dans l’Union, qu’un paiement soit exigé ou non (art. 3 §2 (a) RGPD). Une entreprise basée en Suisse qui vend des montres à des personnes domiciliées en France, Belgique et Grèce par le biais d’une boutique en ligne, devra respecter le RGPD. Dans le cadre de l’appréciation de la soumission au Règlement, il faudra tenir compte du cas d’espèce et notamment de l’intention du responsable de traitement d’offrir des biens ou services à des personnes se trouvant sur le territoire de l’Union. Le RGPD n’offre pas de définition précise des notions d’offres de bien et de service. Le considérant 23 nous indique qu’il convient d’établir « s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs Etats membres de l’Union ». Afin d’établir cette intention, il convient de prendre en compte un faisceau d’indices comprenant, par exemple: « l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs Etats membres, avec la possibilité de commander des biens et des services dans cette autre langue, la mention de clients ou d’utilisateurs qui se trouvent dans l’Union ». La CJUE a également relevé les facteurs suivants: la mention d’un numéro de téléphone avec un indicatif téléphonique international, la description de l’itinéraire d’un Etat membre au lieu où le service est offert, la mention sur le site internet d’une clientèle internationale domiciliée dans divers Etats membres où le service est offert (Ex. le site www.exemple.ch sera également accessible sous www.exemple.fr.). Il convient de souligner que ces facteurs cités ne sont pas exhaustifs et que la question devra être analysée au cas par cas. 

Le traitement des données personnelles de résidents de l’Union effectué par une entreprise basée en Suisse dans la mesure où elle traite ces données pour le suivi du comportement des personnes concernées au sein de l’Union (art. 3 §2 (b) RGPD). Le considérant 24 nous indique qu’ « il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit ». Il s’agira notamment de la publicité comportementale qui, comme le défini le groupe de travail de l’Article 29 dans son avis sur la publicité comportementale, « est une forme de publicité qui repose sur l’observation du comportement des individus au fil du temps. Elle vise à étudier les caractéristiques de ce comportement à travers leurs actions (visites successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour établir un profil spécifique et proposer aux personnes concernées des publicités adaptées à leurs centres d’intérêts ainsi déduits ». Un exploitant de site Webb qui recourt au webtracking pour suivre les activités de ses visiteur ou pour observer leur comportement de navigation pourra ainsi tirer des conclusions quant aux intérêts, préférences ou habitudes des internautes. Le RGPD sera sans doute applicable. 

 (Date: 06.04.2020; Auteure: Sophie Prignon).

Contact

+41 26 673 03 12

Rue de l'Industrie 63
1030 Bussigny-près-Lausanne
Suisse

RGPD: Le délégué à la protection des données

RGPD: le délégué à la protection des données

La loi fédérale sur la protection des données (LPD) actuellement en vigueur et le Règlement général sur la protection des données (RGPD) mentionnent tous deux la possibilité, voire l’obligation, pour les responsables de traitement, privés ou publics, de désigner un conseiller ou un délégué à la protection des données (en anglais: data protection officer, ou DPO). La législation suisse utilise le terme « conseiller à la protection des données » alors que la réglementation européenne le nomme « délégué à la protection des données ». Ces termes sont des synonymes. 

Le durcissement des conditions pour traiter des données personnelles va sans doute rendre indispensable cette fonction, en particulier auprès des acteurs qui traitent de grandes quantités de données personnelles ou qui ont des activités commerciales à l’étranger. Lorsqu’elle n’est pas imposée par la législation, la désignation d’un conseiller ou délégué à la protection des données représente parfois une contrainte, mais elle peut aussi être perçue comme un avantage commercial et concurrentiel: le responsable de traitement donne ainsi l’image d’être respectueux et digne de confiance. Elle peut aussi découler d’un besoin d’adopter une stratégie cohérente en matière de protection des données, de la reconnaissance des données comme une actif de la société ou de la nécessité d’avoir un représentant spécialisé pour diriger la réglementation interne. En outre, le développement des technologies de l’information, des modèles prédictifs, du machine Learning, des moyens de transport autonomes, de l’e-santé amène des questions juridiques, technologiques, éthiques et assurantielles auxquelles un responsable de traitement sera un jour ou l’autre confronté et dont il devra se préoccuper en amont. La désignation d’un conseiller ou délégué à la protection des données permettra en principe de couvrir ces dimensions avec sérénité. Mais son rôle n’est pas seulement de s’assurer du respect des normes juridiques et techniques grâce à ses connaissances transversales: il lui incombera aussi de diffuser une culture de la protection des données, de sensibiliser ses collègues et supérieurs, de participer dès le début à la mise en place de projets impliquant un traitement de données personnelles. Le conseiller ou délégué à la protection des données doit donc devenir un acteur central d’une entreprise ou d’un organe public. 

L’article 37 du RGPD rend obligatoire la désignation d’un délégué dans trois situations: pour les organismes et autorités publics, en cas de traitement consistant à suivre systématiquement des individus sur une grande échelle, ou en cas de traitement de données sensibles ou relatives aux infractions pénales. Le G29(*) donne comme exemples de traitements rendant obligatoire la désignation d’un délégué, la tenue des dossiers des patients dans un hôpital, ou les activés d’une société de sécurité privée. Le G29 donne quelques exemples d’activités pouvant constituer un suivi régulier et systématique nécessitant la désignation d’un délégué: exploitation d’un réseau de télécommunication, services de télécommunications, redirection de courrier électronique, marketing basé sur les données, profilage et notation aux fins d’évaluation d’un risque (demande de crédit, prime d’assurance, lutte contre la fraude et le blanchiment), localisation par applications mobiles, programme de fidélité, publicité comportementale, objets connectés permettant d’évaluation le bien-être et la santé, vidéoprotection, objets connectés (compteur dit intelligent, voiture, domotique…). Pour finir, le RGPD permet au droit de l’Union ou au droit d’un Etat membre d’exiger la désignation d’un délégué à la protection des données dans des cas supplémentaires à ceux prévus par le RGPD.

La législation suisse (al.2 et 3 de l’art. 11a LPD) quant à elle impose aux responsables de traitement publics (organes fédéraux) et privés de déclarer leurs traitements de données personnelles au Préposé fédéral à la protection des données et à la transparence en cas de traitement régulier de données sensibles ou de communications régulières de données personnelles à des tiers. L’article 11a alinéa 5 lettre e LPD dispose par ailleurs que « le responsable de traitement n’est pas tenu de déclarer son traitement s’il a désigné un conseiller à la protection des données indépendant chargé d’assurer l’application interne des dispositions relatives à la protection des données et de tenir un inventaire de traitements » (Date: 31.03.2020; Auteure: Sophie Prignon).

*G29, Lignes directrices concernant les délégués à la protection des données, WP 243 rév. 01 du 5 avril 2017.

Contact

+41 26 673 03 12

Rue de l'Industrie 63
1030 Bussigny-près-Lausanne
Suisse

RGPD: Le principe d’accountability

RGPD: le PRINCIPE D'ACCOUNTABILITY

L’entreprise est dorénavant soumise à une obligation générale de démontrer la conformité du traitement au RGPD. Il s’agit du nouveau principe dit d’accountability, c’est-à-dire la capacité à rendre des comptes. Le responsable de traitement, en collectant et en stockant les données personnelles, fait courir aux personnes concernées des risques de piratage et de divulgation non autorisée pouvant influer sur leur vie privée et leur porter préjudice. Par conséquent, l’entreprise doit par exemple pouvoir prouver avoir pris toutes les mesure nécessaires, en fonction des risques et des coûts, pour assurer la sécurité des données traitées. Il s’agit d’une obligation de moyens, et non de résultat. Le choix des mesures à prendre n’est pas précisé; il doit tenir compte des risques pesant sur les données, de l’état de l’art et du coût des mesures. En cas de violation de la sécurité des données, l’autorité compétente recherchera si le responsable de traitement avait pris les mesures de sécurité raisonnable au vu du risque et de l’état de l’art. On ne reprochera pas à un responsable d’avoir subi un piratage de données basé sur l’exploitation d’une faille jusqu’ici inconnue; on lui reprochera en revanche de ne pas avoir appliqué une mise à jour de sécurité pour cette faille si celle-ci était disponible. L’entreprise est par ailleurs tenue de tenir un registre décrivant tous les traitements de données personnelles. Le RGPD détaille les informations qui doivent figurer au registre pour un responsable et pour un sous-traitant. Ce registre est une condition préalable indispensable à la conformité au RGPD néanmoins son contenu varie selon le nombre d’employés que compte l’organisation (Date: 30.03.2020; Auteure: Sophie Prignon). 

Contact

+41 26 673 03 12

Rue de l'Industrie 63
1030 Bussigny-près-Lausanne
Suisse