La nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023. Elle a notamment pour but de renforcer la protection des données pour faire face aux nouvelles technologies et à la société actuelle.

Aucune période transitoire n’étant prévue, les entreprises doivent se préparer dès maintenant.

Comment faire et par où commencer ?

Toutes les entreprises, sans exception, quelle que soit leur taille, sont concernées par la nouvelle loi lorsqu’elles traitent des données personnelles de personnes privées.

Toutefois, certaines obligations spécifiques dépendent de la taille de l’entreprise (dès 250 collaborateurs) ou de la nature des données traitées (données personnelles ou sensibles).

La première loi fédérale sur la protection des données date de 1992. Entre-temps, la population suisse a introduit l’usage d’Internet et des smartphones dans son quotidien ; et a toujours plus recours aux réseaux sociaux, au Cloud ou à l’internet des objets. Dans ce contexte, un remaniement complet de la loi sur la protection des données est indispensable pour assurer à la population une protection de ses données adéquate et adaptée aux évolutions technologiques et sociales de notre époque.

La compatibilité du droit suisse avec le droit européen, et notamment le Règlement européen sur la protection des données (RGPD), constitue l’autre enjeu principal de la nouvelle loi. La nLPD devrait permettre de maintenir la libre circulation des données avec l’Union européenne (UE) et ainsi d’éviter une perte de compétitivité des entreprises suisses

La nLPD introduit les huit changements majeurs suivants pour les entreprises.

1. Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.

2. Les données génétiques et biométriques entrent dans la définition des données sensibles.

3. Les principes de « Privacy by Design » et de « Privacy by Default » sont introduits. Comme son nom l’indique, le principe de « Privacy by Design » (protection des données dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privée des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de « Privacy by Default » (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs.

4. Des analyses d’impacts doivent être menées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

5. Le devoir d’informer est étendu : la collecte de toutes les données personnelles* – et non plus uniquement de données dites sensibles** –, doit donner lieu à une information préalable de la personne concernée.

6. La tenue d’un registre des activités de traitement devient obligatoire. L’ordonnance d’application prévoit toutefois une exemption pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.

7. Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT).

8. La notion de profilage (soit le traitement automatisé de données personnelles) fait son entrée dans la loi.

*Données personnelles : il s’agit des informations concernant une personne physique identifiée ou identifiable, comme une adresse postale, une adresse e-mail, une photo, un historique de commande, etc. Un fichier client ou un dossier des ressources humaines entrent dans cette catégorie. À noter que les données sur les personnes morales ne sont pas concernées.

**Données sensibles : ce sont les renseignements sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales ; les données sur la santé, la sphère intime ou l’origine raciale ou ethnique ; les données génétiques ; les données biométriques identifiant une personne physique de manière univoque ; les données sur des poursuites ou sanctions pénales et administratives, et les données sur des mesures d’aide sociale.

Le devoir d’informer garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée. En l’absence d’information, celle-ci ne se rend pas forcément compte que ses données personnelles sont traitées et ne peut donc pas faire valoir les droits que la LPD lui accorde. La LPD impose donc au responsable de traitement un devoir d’informer la personne concernée pour tout type de données collectées la concernant, que la collecte soit effectuée auprès d’elle ou non.

Conformément à la loi fédérale sur la protection des données (LPD), toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées, et peut – si nécessaire – les faire effacer ou rectifier. Ce droit d’accès permet à chacun de garder le contrôle des données récoltées à son sujet. Il est la clé qui permet à la personne concernée de faire valoir les droits que lui octroie la loi et de garantir la transparence du traitement. Chaque personne doit toutefois agir elle-même pour exercer ce droit.

L’analyse d’impact relative à la protection des données (AIPD) est un instrument qui permet aux responsables du traitement des données d’identifier, d’évaluer et de traiter les risques liés à la protection des données. La réglementation relative à l‘AIPD dans la nouvelle loi fédérale sur la protection des données totalement révisée est l’expression de l’approche basée sur les risques dans le droit de la protection des données, qui a également pour conséquence que l’obligation d’établir une AIPD n’existe qu’en cas de risque potentiellement élevé.

Les responsables du traitement des données, qu’ils soient privés ou publics, doivent effectuer une analyse d’impact relative à la protection des données personnelles (AIPD) lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

La loi sur la protection des données permet aux entreprises de pratiquer l’autorégulation. Ainsi, l’entreprise qui nomme un conseiller à la protection des données et qui communique cette nomination au PFPDT bénéficie de facilités en matière d’analyse d’impact relative à la protection des données. Le rôle et la personne du conseiller à la protection des données doivent toutefois répondre à certains critères. Le conseiller à la protection des données est chargé de surveiller le respect par l’entreprise des prescriptions en matière de protection des données et de la conseiller dans ce domaine.

Les tâches du conseiller à la protection des données comprennent le conseil d’ordre général et la formation de l’entreprise aux questions touchant la protection des données. Il participe également à l’adoption et à la mise en œuvre des conditions d’utilisation et des règles de protection des données. Si le conseiller à la protection des données conseille l’entreprise, il incombe cependant entièrement à celle-ci de veiller à ce que les données personnelles soient traitées conformément à la législation applicable.

Pour débuter la démarche, les entreprises peuvent se poser les questions suivantes :

  • Est-ce que des données personnelles sont traitées ?
  • Si oui, lesquelles ? de qui ? (clients, fournisseurs, collaborateurs)
  • D’où proviennent ces données ?
  • À qui sont-elles communiquées ?
  • Qui est le responsable du traitement ?

Sans entrer dans les considérations techniques, juridiques et informatiques d’une mise en conformité avec la nLPD, un plan d’action pragmatique devrait retenir les principes suivants :

1. Un état des lieux global est primordial
Les entreprises devront être en mesure de répondre à tout moment à toute demande d’information, c’est-à-dire qu’en cas de collecte de données personnelles, elles doivent fournir des informations sur l’identité du responsable du traitement, la finalité du traitement, les éventuels destinataires des données, etc. Elles doivent aussi être en mesure de respecter les droits des personnes concernées, pour fournir à une personne concernée des informations sur le traitement de ses données personnelles. Cela suppose que les entreprises sachent quelles données personnelles sont traitées et à quelles fins, si ces données sont communiquées à d’autres pays et à d’autres personnes, etc. Par conséquent, les entreprises doivent commencer par faire un état des lieux de toutes les données traitées. Le nouveau registre obligatoire peut servir de point de départ. Un tel état des lieux est un effort collectif de tous les collaborateurs impliqués dans le traitement de données personnelles.

2. Évaluer les risques
Plus le volume de données personnelles traitées par une entreprise est important et plus les données personnelles sont sensibles, plus les exigences de conformité en matière de protection des données sont élevées et plus les sanctions potentielles et les atteintes à la réputation en cas de non-respect sont importantes (cf. question 6).

3. Sensibiliser
Quelle que soit la taille de l’entreprise : tous les collaborateurs, de l’apprenti au chef d’entreprise, doivent être sensibilisés aux enjeux de la protection des données. Réceptionniste, chargé de projets, responsable des ressources humaines, consultant, indépendant, chef d’entreprise – des collaborateurs à tous les échelons d’une entreprise traitent régulièrement des données personnelles et en assument la responsabilité sur le plan pénal. Exemple : Un réceptionniste tient un registre des visiteurs d’une entreprise. En collectant et en archivant les noms et prénoms des personnes qui viennent dans l’entreprise, celui-ci traite déjà des données personnelles.

4. Transparence et information
La transparence en matière de traitement des données reste un principe important avec la nouvelle LPD. Il y a aussi l’obligation d’information en cas de collecte de données. Le responsable du traitement est tenu d’informer les personnes concernées de divers aspects du traitement de données. L’établissement et la mise à jour de la déclaration en matière de protection des données sont essentiels en vue de l’entrée en vigueur de la nLPD (sur le site web de l’entreprise, mais aussi dans la correspondance).

5. Sécurité informatique
Les entreprises doivent s’assurer que la sécurité des systèmes informatiques de l’entreprise et des applications logicielles répond aux exigences de la nouvelle loi. Cela comprend des mesures techniques et organisationnelles visant à prévenir les cyberattaques, le vol de données et autres pertes de données.

6. Organisation et procédures internes
Afin de répondre conformément aux exigences de la nouvelle loi, aux éventuelles sollicitations externes (demandes d’information ou d’effacement des données personnelles d’un client) ou aux incidents impliquant la fuite, la perte ou l’utilisation abusive de données personnelles, il convient d’établir des procédures internes adaptées à la structure de chaque entreprise. Selon l’incident, ces procédures doivent définir quel(s) collaborateur(s) (suppléants inclus) doivent prendre quelle(s) mesure(s) et dans quel(s) délai(s). Exemple : dans le cas d’une violation de la sécurité des données, les procédures doivent établir les situations et critères permettant d’évaluer si un incident doit être signalé aux autorités. Ces procédures doivent en outre comporter des explications claires indiquant quel collaborateur doit signaler l’incident, dans quel délai, sous quelle forme et à quelle autorité. Ce genre de procédures peut prendre la forme de listes de contrôle (check-lists).

7. Établir un registre des activités
La nLPD prévoit que le responsable du traitement et le sous-traitant doivent chacun tenir un registre de leurs activités. Cette obligation concerne toutes les entreprises. Le Conseil fédéral peut toutefois prévoir des exceptions pour les entreprises de moins de 250 collaborateurs (art. 12, al. 2 nLPD). L’établissement de tels répertoires suppose que tous les traitements de données personnelles au sein d’une entreprise soient identifiés et systématiquement rassemblés. En particulier dans des cas où un tel registre n’est pas encore tenu et où de nombreuses opérations différentes sont effectuées, cette procédure implique un travail considérable et doit donc être démarrée à un stade précoce.

8. Révision des contrats
Au vu des changements qui s’opéreront avec la nouvelle loi et d’ici son entrée en vigueur, les entreprises devraient examiner – et si nécessaire, adapter – les contrats passés avec leurs clients, fournisseurs, prestataires de services mais également avec leurs collaborateurs. Il faut s’y prendre à temps. Une mise en œuvre rapide est également judicieuse, car il faut s’attendre à ce que de nombreux partenaires contractuels exigent dans les mois à venir des contrats – ou adaptations aux contrats déjà existants – incluant des clauses conformes à la nouvelle loi sur la protection des données.

9. Rester informés
Pour comprendre les implications de la mise en conformité selon la nLPD, il est nécessaire de pouvoir assimiler les enjeux et les implications concrètes de la nouvelle loi sur les processus de travail. Informez-vous en consultant les sites des autorités de protection des données (PFPDT), des blogs et des revues spécialisés et participez aux différentes formations organisées par des associations patronales.

La nouvelle LPD prévoit des amendes de CHF 250’000.00 au plus à l’encontre de personnes privées (art. 60). Seront punis les comportements et les omissions intentionnels, mais pas la négligence. Le non-respect du devoir d’informer, de renseigner et d’annoncer et la violation des devoirs de diligence et celle du devoir de discrétion seront punis sur plainte seulement.

L’insoumission à une décision du PFPDT sera en revanche poursuivie d’office. C’est en principe la personne physique responsable qui sera punie. L’entreprise elle-même pourra toutefois nouvellement l’être aussi, à hauteur de CHF 50’000.00 maximum, si l’identification de la personne punissable au sein de l’entreprise ou de l’organisation nécessite des actes d’enquête disproportionnés. Au contraire des autorités européennes de protection des données, le nouveau droit n’accorde toujours pas de pouvoir de sanction au PFPDT. Les contrevenants seront punis par les autorités cantonales de poursuite pénale. Le PFPDT pourra dénoncer des infractions et faire valoir les droits d’une partie plaignante dans la procédure (art. 65, al. 2, de la LPD révisée), mais il n’aura pas le droit de porter plainte. Autrement que la nouvelle LPD, le RGPD dispose que les sanctions administratives ne sont prononcées qu’à l’encontre de personnes morales. Les autorités européennes de protection des données peuvent condamner des entreprises fautives à des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Dispositions légales :

Informations des autorités :

Outils :

  • Un livre blanc sur la nouvelle loi sur la protection des données a été réalisé par l’entreprise Softcom en collaboration avec le Clusis. Il comprend notamment des documents Word et Excel permettant de structurer sa mise en conformité avec la nouvelle loi et listant les questions à se poser. Il existe en version papier et numérique et peut être commandé à l’adresse : info(at)clusis.ch
  • Un outil gratuit pour déterminer rapidement son degré de conformité avec la nouvelle loi a été mis en ligne par l’étude d’avocats Vischer. Il s’agit du Vischer Privacy Score. Il est actuellement proposé en version bêta, en allemand et en anglais. Voir sous: privacyscore.ch/en.
  • Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une infothèque relative à la protection des données, laquelle propose divers modèles de documents et informations utiles

Articles :

Vidéo et podcast :