22.06.2021 - 09:47

La révision de la loi fédérale sur la protection des données et son impact pour les entreprises

Adoptée à l’automne dernier, la révision de la loi sur la protection des données (nLPD) vise à adapter la loi de 1992 aux récents développements technologiques (numérisation, intelligence artificielle, etc.) et aux nouveaux modes de consommation (achats en ligne, réseaux sociaux, etc.), tout en rehaussant le niveau de protection des individus. A mesure que l’économie et la société se numérisent, la collecte, l’utilisation des données personnelles et le risque de cyberattaques vont grandissant. Une révision de la loi se devait donc de promouvoir les mesures de prévention et la responsabilité individuelle des responsables du traitement de données au sein des entreprises. L’objectif : garantir la sécurité des données et éviter autant que possible leur utilisation abusive. Pour en savoir plus nous avons posé cinq questions à M. Arnaud Midez, responsable de projets à econonomiesuisse.

Dans quel contexte s’est déroulée la révision de la LPD ?

Cette modernisation de la législation suisse s’inscrit dans un contexte international où les citoyens et les consommateurs du monde entier exigent une meilleure protection et contrôle de leurs données personnelles. L’UE, notre principal partenaire économique a, dès 2018, adopté son règlement général sur la protection des données (RGPD), mettant ainsi en place un nouveau standard international qui a en outre une portée extraterritoriale. En effet, celui-ci a un impact direct chez nous. Du fait de leur orientation vers le marché européen, de nombreuses entreprises suisses tombent sous le champ d’application du RGPD. Un autre objectif de la révision de la loi suisse était donc d’élaborer une solution coordonnée au niveau international et de créer les conditions garantissant la circulation des données entre l’UE et la Suisse (l’UE examine actuellement si la nouvelle loi suisse est « adéquate » au regard du RGPD).

Quelles sont les modifications de cette loi qui impacteront les entreprises suisses ?

Il faut tout d’abord souligner que toutes les entreprises suisses, sans exception, seront concernées par la nouvelle loi. Quelle que soit sa taille, une entreprise possède nombre de données sur ses clients, partenaires, fournisseurs et collaborateurs. La nouvelle loi impose aux entreprises, PME comprises, de prendre les mesures organisationnelles et techniques nécessaires pour garantir la sécurité des données et éviter autant que possible leur utilisation abusive. Les principales sont :

Établir et tenir un registre des activités de traitement des données – des exceptions devraient être prévues pour les entreprises de moins de 250 collaborateurs (art. 12 nLPD). Cela sera précisé dans l’ordonnance d’exécution (OLPD) ;

Notifier le préposé fédéral à la protection des données et à la transparence (PFPDT) et la personne concernée en cas de violation de la sécurité des données (art. 24 nLPD) ;

Effectuer une analyse d’impact relative à la protection des données personnelles lorsque le traitement des données présente un risque élevé (art. 22 nLPD) ;

Informer en cas de collecte de données et indiquer le nom du ou des États en cas de communication à l’étranger (art. 19 nLPD) ;

Informer en cas de décision individuelle automatisée – c’est-à-dire une décision prise à l’égard d’une personne, par le biais d’algorithmes appliquée à ses données personnelles sans qu’aucun être humain n’intervienne dans le processus (art. 21 nLPD).

Quels sont les risques en cas de non-respect de la loi et qui est responsable ?

En cas de non-respect de la loi, les contrevenants risquent une amende allant jusqu’à 250 000 francs. Contrairement au RGPD européen, les sanctions prévues par la nLPD ne sont pas dirigées contre l’entreprise fautive, mais contre la personne physique en charge de la protection des données (directeur ou membre du conseil d’administration, par exemple). Le préposé fédéral à la protection des données (PFPDT) peut en outre intervenir et prendre des mesures administratives (ordonner la modification, la suspension ou la cessation d’un traitement ou l’effacement de données personnelles, par exemple). De telles sanctions pourront également être lourdes de conséquences pour la réputation des entreprises mises en cause.

Quelles sont les différences avec les obligations prévues dans le RGPD ?

La nouvelle loi (nLPD) s’inspire du RGPD européen, mais présente quelques particularités. Dans la plupart des cas, la loi suisse est moins formaliste et a des exigences moindres par rapport au RGPD. Il y a cependant certains points où la nouvelle loi suisse sera plus stricte que le RGPD. Il s’agit notamment du champ d’application matériel (art. 2 nLPD), du devoir d'information lors de la collecte de données personnelles (art. 19 nLPD), des amendes pour les personnes physiques (art. 60 ss. nLPD) et de la définition des données personnelles particulièrement sensibles.

Comment se préparer ?

Il est tout d’abord nécessaire que les entreprises s’y préparent dès que possible, et ce à l’aide d’une analyse des lacunes afin de s’adapter étape par étape à ce nouveau régime réglementaire. Selon la taille de l’entreprise, cela peut prendre plusieurs mois. Des solutions pragmatiques sont néanmoins de rigueur. Autrement dit, il faut commencer par mettre en œuvre les exigences minimales de la loi (un registre, l’obligation d’informer, etc.).

Un plan d’action devrait reposer sur les trois piliers suivants : sécurité informatique, aspects juridiques et gouvernance des données. Pour ce faire, les entreprises doivent adopter une approche globale consistant à :

Évaluer les risques. Les entreprises traitant un grand volume de données sont plus à risque de violer la loi. Il est essentiel de recenser et cartographier toutes les données personnelles (clients, fournisseurs, etc.) ou données personnelles particulièrement « sensibles » (au sens de l’art. 5 nLPD telles que la santé, la religion, etc.) dans les systèmes informatiques, bases de données et dossiers partagés.

Organiser et sécuriser. Une mise à niveau de la sécurité informatique et l’élaboration de procédures internes sont autant de mesures permettant d’agir en cas de violation, perte, fuite de données ou requêtes émanant d’individus. Afin d’améliorer leur gouvernance des données, les entreprises peuvent se référer à la charte de l’économie pour une gestion responsable des données mise à disposition par economiesuisse (téléchargeable sur le site www. https://www.economiesuisse.ch/fr/gestiondedonnees).

Sensibiliser. Tous les échelons d’une entreprise, de l’apprenti au chef d’entreprise, doivent être impliqués. En tenant un registre des visiteurs, un réceptionniste effectue déjà un traitement de données.

Anticiper. Bien que la loi n’entre en vigueur qu’en 2022, les prestataires exigeront dans les mois à venir des contrats incluant des clauses conformes à la nouvelle loi. Au risque de perdre des clients, les entreprises sont incitées à se mettre en conformité, et au besoin en recourant à des professionnels en sécurité informatique et protection des données pour élaborer en détail des programmes de conformité qui répondent aux nouvelles obligations pour les entreprises.

Liens utiles:

- Loi sur la protection des données (nLPD) : https://www.fedlex.admin.ch/eli/fga/2020/1998/fr

- Charte de l'économie suisse pour une gestion responsable des données: https://www.economiesuisse.ch/fr/gestiondedonnees

- FAQ d'economiesuisse : https://www.economiesuisse.ch/fr/articles/protection-des-donnees-tour-dhorizon-de-la-nouvelle-loi

Régine de Bosset

Avocate

regine.debosset@cnci.ch
032 727 24 27

Partager cet article

Thèmes associés

Informer