Nouvelle loi sur la protection des données

La nouvelle loi fédérale sur la protection des données (nLPD) entrera en vigueur le 1^er septembre 2023. Cette dernière vise à moderniser et à renforcer la protection des données personnelles, faisant écho à la digitalisation rapide des entreprises durant ces deux dernières décennies et aux enjeux grandissants liés à la confidentialité des données. Ainsi, toute entreprise suisse devra, si ce n’est pas encore fait, prendre les dispositions nécessaires afin de se mettre en conformité vis-à-vis de cette dernière. Mais quelle attention faut-il prêter à cette loi, quelles sont ses implications et comment procéder pour s’y adapter ? Cet article vise à rappeler les principaux changements apportés par la nLPD. *

Pourquoi une nouvelle loi ?

La LPD devait subir une modification afin de s’adapter aux évolutions technologiques et sociales induites par les réseaux sociaux, le cloud, le big data et bien d’autres. Le but de cette nouvelle loi est d’assurer aux personnes physiques la maîtrise et la protection de leurs données.

Quelles sont les nouvelles dispositions ?

La nLPD comprend plusieurs changements significatifs dont en voici les principaux :

1) Champ d’application modifié – Seules les données des personnes physiques sont couvertes et non plus celles des personnes morales.

2) Nouvelles données sensibles - Les données génétiques et biométriques entrent dans la définition des données sensibles.

3) Intégration des principes de « privacy by design » et de « privacy by default » - Le principe de « privacy by design » impose aux développeurs d’intégrer la protection et le respect de la vie privée dès la conception d’un produit ou d’un service qui collecte des données personnelles. Le principe de « privacy by default », quant à lui, indique que le plus haut niveau de sécurité doit être appliqué dès la sortie d’un produit ou d’un service en activant par défaut les paramètres les plus respectueux de la protection des données, sans intervention des utilisateurs. Les utilisateurs peuvent ensuite décider de communiquer davantage de données s’ils le souhaitent.

4) Devoir d’informer étendu - Les personnes concernées par la collecte de données personnelles doivent en être informées au préalable et cela est valable pour l’ensemble des données, sensibles ou non. Si ces informations sont transmises à l’étranger ou à un organe international, cela doit être clairement communiqué.

5) Obligation de documenter - Il est désormais obligatoire de documenter la collecte de données et de disposer d’un registre complet concernant le traitement de celles-ci. 

6) Analyse d'impact - Des analyses doivent être menées, en cas de risque élevé pour la personnalité ou les droits des personnes concernées.

7) Notification de violation - La violation de la sécurité des données doit être signalée au Préposé fédéral à la protection des données et à la transparence.

8) Profilage - Le traitement automatisé des données personnelles entre dans la loi.

Quelles mesures mettre en place dans mon entreprise?

La nLPD aura un impact significatif sur les entreprises suisses qui traitent de données personnelles, c’est-à-dire la majorité d’entre elles. Pour vous y conformer, il est notamment nécessaire de :

- Informer les personnes concernées - Vous devez préalablement informer les personnes concernées de la collecte de leurs données personnelles, qu'elles soient sensibles ou non. Le consentement au traitement des données et la transparence vis-à-vis de l'utilisation de ces dernières sont requis.

- Répertorier vos activités de traitement - Il vous faut identifier et enregistrer toutes les activités de traitement des données personnelles réalisées par votre entreprise. L'identité de la personne responsable, la finalité du traitement des données, la catégorie des personnes concernées, les données personnelles traitées, les destinataires, la durée de conservation et les mesures visant à garantir la sécurité sont autant d'éléments qui doivent y figurer.

- Evaluer les risques - Il est nécessaire de classifier les risques en fonction de leur probabilité et de leurs conséquences. Généralement, le risque est élevé lorsque le traitement implique de nombreuses données personnelles et/ou sensibles et diverses parties prenantes.

- Sensibiliser et former vos collaborateurs - Chaque collaborateur doit être conscient de ses responsabilités lorsqu'il traite de données personnelles. Vous pouvez par exemple organiser une formation générale sur le sujet avec l'aide d'un spécialiste de la thématique.

- Assurer un haut niveau de sécurité informatique - La sécurité doit être garantie par la mise en œuvre de mesures techniques ou organisationnelles visant à éviter la perte ou le vol de données.

- Vérifier et modifier, si nécessaire, les contrats - Vous devez vérifier si des ajustements sont nécessaires dans les contrats et accords avec vos clients, fournisseurs, prestataires ainsi que votre personnel.

Cette liste est non-exhaustive. Il est recommandé d'étudier cette nouvelle loi en détail et de recourir à une aide juridique en cas de besoin.

Et CID ERP dans tout ça ?

En plus des éléments de sécurité déjà paramétrables par le client, Fair IT a mis en place des prestations qui contribueront à augmenter la sécurité des données personnelles, à l'image de la prestation Backup Plus ou du module de gouvernance des données. Ce dernier permet de gérer les données, de les classifier et d'anonymiser celles qui sont sensibles tout en conservant leur caractère statistique. Envie d'en savoir plus sur le module ? C'est ici.

*Cet article ne consiste pas en une information juridique, il est recommandé d’étudier cette nouvelle loi en détail et de recourir à une aide juridique en cas de besoin.

Pour en savoir plus au sujet de la nLPD, veuillez vous référer au site de la Confédération.