Nouvelle loi sur la protection des données : se préparer dès maintenant !

Nous y sommes bientôt : la nouvelle loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre prochain. Cette nouvelle législation va sensiblement augmenter les exigences envers les entreprises, institutions et associations qui traitent des données personnelles et sensibles. Marquant une petite révolution dans le domaine de la protection des données, cette nouvelle loi s’adapte aux changements technologiques et sociaux de notre époque.

 

Une mise en œuvre qui approche

La nouvelle loi sur la protection des données (nLPD) a été adoptée le 25 septembre 2020 par le Parlement. Après de nombreuses délibérations et le report de la mise en œuvre, il a finalement été décidé qu’elle entrera en vigueur le 1er septembre prochain. Les entreprises doivent se mettre en conformité d’ici là, car des sanctions seront également mises en place en cas de violation de la protection des données.

 

S’adapter aux évolutions et à nos voisins

Une révision complète de la loi sur la protection des données, née en 1992, devenait indispensable afin de l’adapter aux évolutions technologiques et sociales. Un autre point important est la compatibilité du droit suisse avec le Règlement européen sur la protection des données (RGPD). Si la nLPD n’est pas une mise en œuvre complète du RGPD, elle en reprend les règles principales, permettant une libre circulation des données avec l’Union européenne et évitant une perte de compétitivité des entreprises suisses.

 

Le site du PFPDT offre des informations précises et détaillées concernant les modifications apportées par la nLPD.

 

Qui est concerné et quel est le champ d’application ?

Toutes les personnes physiques ou morales (toutes les entreprises, sans exception, quelle que soit leur taille) et les organes fédéraux qui traitent des données personnelles de personnes privées. On entend par données personnelles « toutes les informations concernant une personne physique identifiée ou identifiable », comme une adresse, un numéro de téléphone, un historique de commandes, des données médicales, etc., qui permettent d’identifier une personne. Tenir un fichier client ou un fichier de ressources humaines suffit à entrer dans le champ d’application de la loi. La nouvelle loi accorde aux personnes concernées des droits d’information ou de suppression de leurs données, entre autres.

 

Quels changements attendent les entreprises ?

Huit changements majeurs pour les entreprises sont introduits dans la nLPD* :

  1. Seules les données des personnes physiques, et non plus celles des personnes morales, sont couvertes ;
  2. Les données génétiques et biométriques sont considérées comme sensibles ;
  3. Deux nouveaux principes sont introduits : « Privacy by Design » (protection des données dès la conception) et « Privacy by Default » (protection des données par défaut)
  4. Des analyses d’impacts doivent être menées lors du traitement de données susceptibles d’entrainer un risque élevé d’atteinte à la personnalité ;
  5. Le devoir d’informer la personne concernée est étendu à la collecte de toutes les données personnelles, non plus uniquement les données sensibles ;
  6. La tenue d’un registre des activités de traitement devient obligatoire (les PME de moins de 250 collaborateurs sont exemptées de cette obligation, pour autant que leur traitement de données comporte un faible risque d’atteinte) ;
  7. En cas de violation de la sécurité des données, une annonce rapide doit être faite auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
  8. La notion de profilage, soit le traitement automatisé de données personnelles, fait son entrée dans la loi.

*Source : Nouvelle loi sur la protection des données (nLPD) (admin.ch)

 

Tenir un fichier client ou un fichier de ressources humaines suffit à entrer dans le champ d’application de la loi.

 

Une check-list de mesures pour se conformer à la nLPD

Plus une entreprise traite une grande quantité de données sensibles, plus les exigences seront importantes. Afin de se mettre en conformité avec les nouvelles règles, les entreprises doivent entre autres :

  • Mettre en place des mesures techniques et organisationnelles afin que le traitement des données respecte les prescriptions de protection des données par défaut, c’est-à-dire dès la conception du traitement ;
  • Ajouter, mettre à jour les différentes déclarations sur la protection des données sur leur site web, les contenus publicitaires et marketing, les contrats, etc. ;
  • Examiner les contrats actuels (sous-traitants) pour veiller à ce que la sécurité des données soit assurée ;
  • Nommer un conseiller à la protection des données personnelles (DPO) à l’interne ou bien faire appel à une entreprise externe spécialisée.

Pour les PME, la Confédération a mis en ligne une check-list, comprenant les douze mesures à mettre en place pour se conformer à la nLPD.

 

Des ressources utiles pour aller plus loin

Le 1er septembre approchant, de plus en plus de ressources sont mises à disposition des entreprises pour les aider à se préparer à la mise en œuvre de la loi. En particulier, le site du PFPDT offre des informations précises et détaillées concernant les modifications apportées par la nLPD. Du côté des événements, une conférence est par exemple organisée par la Fédération des Entreprises Romandes (FER) Genève, en partenariat avec la FER et le Clusis, le 2 mai prochain.

 

À l’aide de ces ressources et de l’appui d’experts externes, les entreprises sont fortement encouragées à se mettre en conformité avant le 1er septembre, afin d’éviter les sanctions prévues dans la nouvelle loi.