Le rythme accéléré des échanges de biens et de services dans notre société a fait naître un décalage entre le monde économique et l’environnement juridique. Pour protéger nos droits fondamentaux et nos libertés individuelles, les États ont établi des règles spécifiques encadrant le traitement des données personnelles et des données sensibles. Ces règles prévoient, à l’encontre de ceux qui traitent nos données, des sanctions en cas de non-respect des obligations légales ou règlementaires.
Cet article apporte un éclairage sur la situation en Europe, notamment en Suisse. Il présente les modalités pratiques de la nouvelle Loi fédérale sur la Protection des Données (nLPD), entrant en vigueur le 1er septembre 2023, ainsi qu’une méthodologie efficace de gouvernance des données personnelles.
Contexte : Le défi de la protection des données dans un monde en évolution rapide
La mondialisation se caractérise par le développement de services et d’interactions entre acteurs internationaux. Le rythme des transactions entre ces acteurs est tel que le cadre législatif est régulièrement à la traine. Ce cadre tente davantage de s’adapter aux technologies, aux usages et aux besoins du marché plutôt que de poser les conditions propices à l’essor d’une activité.
Cadre juridique européen de la protection des données personnelles
nLPD & RGPD – un cadre législatif adéquat
L’essor du numérique illustre le décalage entre la réalité économique et la mise en place d’une régulation appropriée. De nombreux pays ont défini un cadre législatif qui a évolué pour s’adapter aux tendances préoccupations liées aux droits fondamentaux des individus.
A l’instar des pays membres de l’UE qui sont adopté en 2018 d’un Règlement Général sur la Protection des Données ou RGPD, la Suisse, en tant que partenaire privilégié de l’UE, se devait également de disposer d’un cadre juridique contraignant pour protéger la personnalité et les droits fondamentaux des personnes physiques. L’UE reconnaît la Suisse comme un État tiers ayant un niveau de protection des données adéquat, ce qui permet depuis 2019 l’échange de données entre l’UE et la Suisse sans exigences supplémentaires.
A l’issue d’un long processus, la Suisse a fixé au 1er septembre 2023 l’entrée en vigueur de sa loi sur la protection des données révisée, inspirée du RGPD et garantissant la compatibilité avec le droit européen, tout en présentant des particularités.
Concrètement, les entreprises suisses sont soumises au RGPD depuis le 25 mai 2018 sous deux conditions :
- Leurs activités ciblent des personnes situées sur le territoire de l’UE
- Leurs activités consistent au profilage ou à l’analyse du comportement de ces personnes.
De plus, les entreprises suisses seront soumises à la nLPD, qui prévoit des obligations particulières, des rôles et responsabilités en matière de protection des données des personnes physiques, ainsi que des sanctions en cas de non-respect de ces exigences.
Obligations des entreprises en vertu de la nLPD : Un cadre structurant
La loi pose de nouvelles exigences aux entreprises pour garantir la protection de la personnalité et des droits fondamentaux des personnes physiques établies en Suisse. Elles doivent notamment respecter les obligations suivantes :
- Tenir un registre des activités de traitement sauf si l’effectif de l’entreprise est inférieur à 250 salariés et présente un risque limité d’atteinte à la personnalité.
- Informer les personnes lors de la collecte de leurs données personnelles.
- Signaler les violations de la protection des données personnelles (perte des données, utilisation abusive des données, etc.).
- Etablir des mesures appropriées (techniques et organisationnelles) pour garantir la protection des données dès la conception du traitement (principe du privacy by design) ainsi que la protection par défaut des données traitées (principe du privacy by default).
- Obtenir le consentement des personnes lorsque l’entreprise mène des opérations de profilage avec un risque élevé.
- Réaliser une analyse d’impact relative à la protection des données « AIPD » en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
Le tableau ci-après présente les changements apportés dans la LPD révisée par rapport à sa version initiale (tableau non exhaustif, proposé par Positive Thinking Company).
En conséquence, les entreprises et les organes fédéraux suisses sont désormais impliqués dans le dispositif de protection de la vie privée et doivent assumer leurs responsabilités sous peine de s’exposer à des poursuites et à des sanctions dont les amendes visent désormais les personnes physiques (dirigeants d’entreprises, responsables d’organisations, etc.).
Sanctions en cas de non-conformité à la nLPD
L’article 4 de la nLPD attribue au Préposé la mission de surveiller la bonne application des dispositions fédérales de protection des données.
En complément, les articles 60 et suivants de la nLPD prévoient des amendes en cas d’omissions et de comportements intentionnels inappropriés. L’amende est de CHF 250’000 au plus pour les personnes privées, et d’au maximum CHF 50’000 pour les entreprises. Étant donné que la nLPD ne prévoit aucun délai transitoire, Positive Thinking Company recommande aux organisations privées et publiques de mettre en œuvre les actions requises par la nLPD sans plus tarder.
Comment assurer sa conformité à la nLPD ?
Au-delà des sanctions pécuniaires et des poursuites pénales encourues, les entreprises doivent se mobiliser pour mettre en œuvre un plan d’action approprié de mise en conformité. L’enjeu majeur étant de pouvoir offrir une transparence accrue sur la manière dont les données sont traitées et protégées, ce qui permettra de renforcer les droits des personnes sur leurs données personnelles.
Positive Thinking Company recommande une approche en 3 phases :
- Analyse de l’existant
- Cartographier les données traitées de manière exhaustive.
- Identifier et évaluer les risques sur la sécurité des données personnelles.
- Identifier les mesures, processus et techniques existantes de protection des données personnelles.
- Mise en œuvre
- Établir un plan d’action chiffré : cibler les actions à mettre en œuvre pour respecter les exigences de conformité.
- Rédiger un registre des activités de traitement.
- Préciser les durées de conservation des données pour chaque traitement.
- Rédiger les documents adaptés au contexte : procédures, chartes, notes, etc.
- Faire la revue de la déclaration en matière de protection des données, la revue des transferts de données, la revue des contrats notamment avec les sous-traitants.
- Mettre en œuvre des mesures techniques et organisationnelles adaptées, selon que l’entreprise traite ou non des données personnelles sensibles, ou alors un grand volume de données personnelles.
- Établir une analyse d’impact relative à la protection des données (AIPD).
- Implémenter les processus de réponses aux droits des personnes sur leurs données personnelles (consultation, modification, suppression, etc.).
- Désigner et publier les coordonnées du Data Protection Officer.
- Implémenter la réponse aux incidents et / ou non conformités de protection des données personnelles.
- Implémenter les modalités de communication avec les personnes concernées et les autorités en cas d’incidents susceptible de porter atteinte aux droits et à la vie privée numérique des personnes.
- Informer, sensibiliser et former le personnel à la protection des données.
- Amélioration continue
- Assurer le maintien du niveau de conformité.
- Evaluer l’efficacité des mesures déployées.
- Mettre à jour la stratégie et la gouvernance des données personnelles.
- Renouveler les sessions de sensibilisation.
- Faire la mise à jour des études d’impacts (AIPD).
Pour aller plus loin : Conférence sur la nLPD au Swiss IT Forum
Nos experts, Franklin Ndata et Jessica Gomez, donneront une conférence à ce sujet, « PrivaaS – Privacy as a Service – Faites de l’obligation légale (nLPD) un atout stratégique », au Swiss IT Forum(s) le 21 septembre 2023 de 10h30 à 11h10.
N’hésitez pas à cliquer ici pour vous inscrire.