Loi fédérale sur la protection des données - ordonnance sur la protection des données (OPDo) du 1er septembre 2023 - Fédération des Entreprises Romandes Neuchâtel

Introduction et contexte

Nouvelles obligations pour les entreprises, notamment :

Mettre en place de mesures techniques et organisationnelles afin que le traitement des données respecte les prescriptions de la nouvelle règlementation

Etat des lieux global – un recensement des données personnelles traitées au sein de l’entreprise est requis et ce, afin de déterminer l’objet sur lequel la loi s’applique.

Prévoir des procédures à l’interne – Dans le but de satisfaire aux exigences de la nouvelle réglementation, aux sollicitations du PFPDT¹ou aux incidents impliquant par exemple l’utilisation abusive de données personnelles, il est important pour les entreprises d’établir des procédures à l’interne. Selon l’incident, ces procédures doivent déterminer :

La nécessité ou non de le signaler
Le cas échéant, le collaborateur tenu à cette obligation
Dans quel(s) délai(s)
Sous quelle(s) forme(s)
Auprès de quelle autorité

Sécurité informatique – Ce travail de mise en conformité nécessitera, selon les circonstances et le volume de données traitées, le recours à des responsables informatiques. Les entreprises doivent garantir que la sécurité des systèmes informatiques et des applications logicielles satisfait aux exigences de la nouvelle législation et ce, en vue de prévenir les cyberattaques, vol de données ou pertes de données.

Sensibilisation – Tous les collaborateurs d’une entreprise doivent se sentir concernés. Ainsi, à tous les échelons et quelle que soit la taille de l’entreprise, toute personne traitant régulièrement des données personnelles doit être sensibilisée au risque de sanction pénale qu’elle encourt en cas de violation de la nouvelle loi.

¹ Préposé Fédéral à la Protection des Données et à la Transparence

Etablir un registre des activités de traitement des données

La nouvelle loi prévoit que le RT¹ et le sous-traitant doivent chacun tenir un registre des activités. Les entreprises de moins de 250 collaborateurs ne sont pas concernées par cette obligation, à condition que le traitement des données comporte un faible risque d’atteinte à la personnalité de la personne concernée² (ces exceptions seront précisées dans l’ordonnance d’application en temps utile). Par ailleurs, c’est précisément en vue de l’établissement de tels registres qu’il est nécessaire de recenser les données personnelles en amont.

La personne concernée doit pouvoir avoir accès à ce registre.

¹Responsable du traitement (anciennement le « maître du fichier »)
² Personne physique dont les données personnelles font l’objet d’un traitement

Notifier au PFPDT et la personne concernée en cas de violation de la sécurité des données

Le RT¹ doit informer à la fois le préposé et la personne concernée – si les circonstances le requièrent ou à la demande du préposé – de tout traitement non-autorisé ou de perte des données dès que le traitement est connu (dans un délai de 3 jours selon le règlement européen). Toutefois, il peut être renoncé à cette notification si le traitement non-autorisé ne présente aucun risque pour la personnalité ou les droits fondamentaux de la personne concernée (par exemple, un effacement non autorisé).

En cas de violation de la loi, les contrevenants s’exposent à une amende pouvant aller jusqu’à 250’000 francs. Contrairement au règlement européen, les sanctions prévues par la nouvelle loi ne sont pas dirigées contre l’entreprise fautive mais la personne physique en charge de la protection des données. Seule une faute intentionnelle peut être sanctionnée. La nouvelle législation adapte également la liste des comportements punissables aux nouvelles obligations du RT et des sous-traitants, instaure un délit passible d’une peine privative de liberté en cas de violation du devoir de discrétion et prolonge le délai de prescription de l’action pénale pour les infractions moins graves.

Le PFPDT² est habilité à prendre en tout temps les mesures administratives nécessaires afin de garantir le respect de la loi par exemple, en ordonnant la cessation d’un traitement de données personnelles au terme d’une enquête ouverte d’office ou sur demande. Ses prérogatives sont comparables à celles des autorités de contrôle des autres Etats. Cependant, il n’a pas la compétence de se prononcer sur des sanctions administratives, lacune compensée par un renforcement du volet pénal de la nouvelle législation.

Le PFPDT a également pour tâche d’édicter des recommandations de bonnes pratiques. Cette tâche ne date pas d’hier puisque le PDPFT publie déjà des recommandations sur son site Internet. Bien qu’elles ne soient pas contraignantes, le RT a tout intérêt à s’y conformer. En sensibilisant les milieux intéressés à ces recommandations, ces derniers peuvent aussi édicter les leurs.

Indépendance accrue – Le PDPDT ne peut exercer aucune activité accessoire.

¹ Responsable du traitement (anciennement le « maître du fichier »)
² Préposé Fédéral à la Protection des Données et à la Transparence

Effectuer une analyse d’impact relative à la protection des données lorsque le traitement des données présente un risque élevé

Définition – Elle est directement inspirée de la règlementation européenne ; l’analyse d’impact des risques est un outil destiné à identifier et évaluer les risques que certains traitement de données personnelles pourraient engendrer pour la personne concernée. Le cas échéant, cette dernière doit permettre de déterminer les mesures pour contrer ces risques.

Conditions – Les menaces qui pèsent sur la sphère privée des personnes concernées¹ dépendent en grande partie des activités déployées par le RT² et par les sous-traitants : l’analyse d’impact des risques n’est obligatoire que si le traitement des données présente un risque élevé c’est-à-dire, s’il présente un risque accru pour la personnalité et les droits fondamentaux de la personne concernée. Elle varie en fonction des entreprises concernées. En effet, elle est plus élevée pour les entreprises traitant d’un grand volume de données personnelles (par exemple, dans la vente en ligne) ou des données personnelles particulièrement sensibles (par exemple, relatives à la santé ou aux poursuites).

Contenu – La nouvelle loi prescrit que l’analyse d’impact doit tout d’abord contenir une description du traitement envisagé (processus, but, durée de conservation des données personnelles). En outre, elle doit établir quels risques le traitement implique pour la personnalité et les droits fondamentaux de la personne concernée. Finalement, elle doit expliquer les mesures prévues pour y faire face. Le message renvoie à ce sujet aux principes généraux de la loi et aux mesures techniques et organisationnelles mais nous pouvons imaginer que le type de mesure concrète dépendra de chaque situation.

Le résultat de cette analyse doit être notifié au PFPDT³ qui a deux mois pour faire une objection (trois dans les cas les plus complexes).

Proportionnalité – Dans tous les cas, le traitement des données doit se limiter au strict nécessaire pour atteindre son but.

¹ Personne physique dont les données personnelles font l’objet d’un traitement
² Responsable du traitement (anciennement le « maître du fichier »)
³ Préposé Fédéral à la Protection des Données et à la Transparence

Informer (et entendre) la personne concernée lorsque des données personnelles sont utilisées par un algorithme prenant à lui seul des décisions automatisées

Transparence accrue – Le responsable du traitement doit informer activement la personne concernée¹ que des données personnelles ont été collectées à son sujet ; la loi ne prévoit pas la forme de cette notification mais il est recommandé de le faire part écrit ; la personne concernée doit pouvoir établir l’identité du RT², celle du destinataire et la finalité des données traitées : plus les données sont sensibles, plus l’information doit être détaillée. Bien que la décision soit automatisée, la personne concernée a le droit d’être entendue par un humain. Ce devoir de transparence va dans le sens du renforcement des droits de la personnalité de la personne concernée afin qu’elle puisse avoir un meilleur contrôle de ses données et mieux convenir de leur utilisation.

En substance, le droit d’être entendu doit pouvoir permettre à la personne concernée de répondre aux interrogations suivantes :

Qui est responsable du traitement de mes données ?
Quels genres de données ont été collectées à mon sujet ?
Dans quel but mes données ont-elles été utilisées ?
A qui mes données ont-elles été transférées ?

L’obligation d’information du RT et le droit d’être entendu de la personne concernée vont de pair.

A noter qu’il n’est pas nécessaire que la personne concernée soit systématiquement informée de chaque décision individuelle automatisée mais uniquement lorsque la décision déploie sur elle des effets juridiques. Dans le domaine du droit privé, tel est le cas lorsqu’ils aboutissent à la conclusion ou la dénonciation de contrats.

La nouvelle loi ne prévoyant pas de délai de transition pour se mettre en conformité, il est important de s’y préparer le plus tôt possible en prenant les mesures adéquates c’est-à-dire, en commençant par les exigences minimales de la loi (recensement des données personnelles, établissement d’un registre, devoir de sensibilisation).

¹ Personne physique dont les données personnelles font l’objet d’un traitement
² Responsable du traitement (anciennement le « maître du fichier »)