Nouvelle loi sur la protection des données: rappels importants et organisation de quatre ateliers

La nouvelle loi sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. De nouvelles dispositions sont applicables et ceci sans délai transitoire. Ci-dessous un aperçu des nouveautés à mettre en oeuvre par les entreprises ains que de principes à respecter. En outre, la CNCI organise quatre ateliers en lien avec la nouvelle LPD.

Données personnelles de personnes physiques

La nouvelle loi concerne le traitement effectué par des personnes privées, tant physiques que morales, de données personnelles de personnes physiques uniquement. En effet, désormais les données des personnes morales ne sont plus protégées par la loi comme c’était le cas précédemment. Par données personnelles, il faut comprendre toutes les informations qui concernent une personne physique, qu’elle soit identifiée ou identifiable (p. ex. nom, numéro de téléphone, courriel, date de naissance). La notion de traitement est large. Il faut entendre toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.

Devoir d’informer

Le devoir d’information est renforcé par la nouvelle loi. Il s’agit de communiquer à la personne concernée par une collecte de données, au moins l’identité et les coordonnées du responsable de traitement, la finalité du traitement et les destinataires auxquels les données sont transmises. Cette information peut se faire par le biais de conditions générales ou d’une déclaration relative à la protection des données figurant sur le site internet de l’entreprise par exemple.

Droit d’accès

Toute personne est en droit de demander si des données personnelles la concernant sont traitées. Le responsable de traitement devra lui communiquer, dans les 30 jours, notamment quelles données personnelles sont traitées, la finalité du traitement, la durée de conservation et les destinataires auxquelles ces données sont communiquées.

Droit à la portabilité des données personnelles

Lorsque des données personnelles sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l’exécution d’un contrat, la précitée peut demander qu’on lui remette, dans les 30 jours, sous un format électronique couramment utilisé, les données personnelles la concernant.

Registre des traitements

Même si cela n’est pas obligatoire pour les entreprises de moins de 250 collaborateurs, il est néanmoins recommandé d’établir un registre des traitements afin de déterminer quelles données sont traitées et si les principes légaux (voir encadré) sont respectés.

L’annonce de la violation de la sécurité des données

La nouvelle loi prévoit une nouvelle obligation en cas de violation de la sécurité des données, c’est-à-dire en cas de perte, modification, effacement, destruction, divulgation ou tout accès non autorisé à des données personnelles. Lorsque cette violation entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, il s’agit de l’annoncer au Préposé fédéral à la protection des données en indiquant la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées. Il y a un risque élevé notamment lorsque le traitement est étendu, si des données sensibles sont traitées ou encore si la finalité du traitement est vaste.

Sanctions

Des amendes jusqu’à Fr. 250'000.- sont prévues en cas d’infractions poursuivies sur plainte et commises de manière intentionnelles ou par dol éventuel, mais non en cas de négligence. Toutefois, outre le risque de poursuites pénales, les conséquences d’une violation en matière de protection des données peuvent être plus dommageables en matière d’atteinte à l’image, de réputation et de perte de confiance de la part des clients notamment.