Nouvelle Loi sur la protection des données : une conformité indispensable

La nouvelle loi sur la protection des données (LPD) est entrée en vigueur le 1^er septembre. Avec une révolution numérique déjà bien entamée, le besoin d’une réglementation plus poussée se faisait clairement sentir.

La loi suisse sur la protection des données est en vigueur depuis 1992. Avec l’explosion des échanges de données entre les entreprises, autant dire qu’elle ne reflétait plus la réalité technologique et nécessitait une refonte pour être en adéquation avec la législation européenne.

Éviter l'inadéquation de la Suisse

La mise à jour de cette loi était devenue cruciale pour plusieurs raisons », souligne Philipp Fischer, avocat spécialiste de la question. « La Suisse doit disposer d’une réglementation adaptée, notamment pour se conformer au règlement européen (RGPD), entré en vigueur en mai 2018. » En effet, l’alignement de la législation suisse avec les principes du RGPD autorisera la Suisse à conserver la décision d’adéquation de la Commission européenne qui permet un libre transfert de données personnelles avec les États membres de l’UE. À l’inverse, une reconsidération de cette décision complexifierait grandement ces transferts vers et depuis la Suisse, entraînant des conséquences pour l’économie helvétique.

Que faut-il retenir de cette nouvelle loi ?

Trois points. Tout d'abord, l'obligation pour les entreprises d'informer les individus sur l'utilisation de leurs données. « Tout manquement pourra être pénalement sanctionné. Ce n'est plus juste du " wishful thinking ", aujourd'hui, c'est du sérieux », insiste Philipp Fischer. Le deuxième point est l’octroi de droits spécifiques aux individus, lesquels requièrent des entreprises qu’elles se préparent à l’interne pour pouvoir répondre de manière rapide et complète à ces demandes. Par ailleurs, et c’est le troisième point, les compétences en matière de surveillance du " Préposé fédéral " sont étendues et il peut ouvrir une enquête d’office ou sur dénonciation en présence d’indices suffisants de violation de la loi. L’autorité suisse de protection des données est composée d'environ quarante collaborateurs. C'est insuffisant si l’on compare avec d'autres autorités européennes, « mais c’est un premier pas », ajoute-t-il.

Quid des sanctions ?

Philip Fischer explique également que la nouvelle loi renforce les sanctions à l’égard des entreprises. « Imposer une amende au dirigeant d’une PME est plus dissuasif qu'amender une grande entreprise. Cela dit, le but n'est pas de punir, mais de s'assurer que les questions en matière de protection des données sont prises au sérieux par les dirigeants et les conseils d'administration. »

Un processus en quatre piliers

En premier lieu, il s'agit de faire l'inventaire des données personnelles collectées par l’entreprise et documenter leurs traitements : c'est le registre des activités de traitement. « Quelles catégories de données personnelles sont collectées ? À qui les données sont-elles confiées ? Chaque action liée aux données personnelles doit figurer dans ce registre. C'est un travail chronophage, mais nécessaire », précise Philipp Fischer, avant de mentionner le deuxième pilier : l'importance de la " politique de confidentialité ", qui sert à informer les clients et les employés de ce que l’entreprise fait de leurs données personnelles. Il faut ensuite " garantir une bonne gouvernance ". L'entreprise doit identifier les responsabilités internes en matière de protection des données. Ces procédures et documentations devront être mises à jour régulièrement. Enfin, il faut " gérer les relations avec les tiers ". Lorsqu'un prestataire externe est impliqué dans le traitement des données personnelles, il convient d’intégrer au contrat les exigences le concernant. Le processus peut sembler complexe, mais la mise en œuvre de ces quatre piliers est essentielle pour assurer la bonne maîtrise par l’entreprise de la gestion des données personnelles.

Que va-t-il se passer dès septembre ?

Dans l’avenir immédiat, selon M^e Fischer, le Préposé pourrait lancer des enquêtes médiatiques visant les grandes entités, celles qui ont des ressources. L'objectif serait de montrer que les régulations existent et que leur non-respect pourra entraîner des conséquences. Après une première phase de sensibilisation, les autorités pourraient commencer à sévir. Quant aux PME qui ne seraient pas entièrement en conformité d'ici à septembre, le risque de sanction est moindre, mais elles doivent tout de même se préparer, élaborer un plan et le mettre en œuvre. « C’est un projet de 6 à 9 mois, et il faut comprendre que la pire des approches serait d’ignorer le problème », conclut Philipp Fischer.

Des mises en conformité à respecter

« C’est un fait : la loi actuelle sur la protection des données (LPD) ne répondait plus aux enjeux numériques », insiste M^e Nicolas Capt, avocat spécialiste du droit des médias et des technologies. La nouvelle mouture du texte conserve la « décision d’adéquation » qui permet à l’Union européenne de considérer la Suisse comme un interlocuteur offrant des garanties adéquates sur la protection des données. Les entreprises conformes au RGPD en raison de leurs activités visant des personnes physiques en Europe seront aussi conformes à la loi nationale.

Pour M^e Nicolas Capt, la seule marche à suivre pour une entreprise est de vérifier sa conformité auprès du service juridique, le cas échéant au moyen d’un audit préliminaire. L’essentiel est de réduire les écarts et d’élaborer un processus de conformité sur le long terme. Les informations fournies par les autorités helvétiques* constituent déjà une bonne base pour les entrepreneurs, incités à examiner leur situation et les risques encourus. Cela passe aussi par la bonne compréhension et la configuration correcte des logiciels utilisés.

Entre autres points, il faut distinguer la notion de privacy by design de celle de privacy by default (voir encadré), deux concepts qui régissent la création d’outils utilisant les données à caractère personnel.

La LPD introduit huit changements majeurs pour les entreprises.

1. Seules les données des personnes physiquessont dorénavant couvertes, et non plus celles des personnes morales.
2. Les données génétiques et biométriquesentrent dans la définition des données sensibles. 
3. Les principes de "Privacy by Design" et "Privacy by Default" sont introduits, le premier intégrant une protection des données dès la conception et le second impliquant une activation par défaut (sans intervention des utilisateurs).
4. Des analyses d’impactdoivent être menées en cas de risque élevé pour les droits fondamentaux des personnes concernées.
5. Le devoir d’informer est étendu : la collecte de toutes les données personnelles, et pas seulement des données sensibles, doit être faite auprès de la personne concernée.
6. La tenue d’un registre des activités de traitement devient obligatoire. Mais les PME dont le traitement des données présente un risque limité ne sont pas concernées.
7. Une annonce rapide est requise auprès du Préposé fédéral à la protection des données et à la transparence, en cas d’infraction.
8. La notion de profilage, soit le traitement automatisé de données personnelles, est introduite.