Article publié le 15 avril 2021, mis à jour le 25 avril 2023
La nouvelle Loi sur la Protection des Données (nLPD) suisse entrera en vigueur le 1er septembre 2023. Il était temps de donner un coup de jeune au texte actuel, introduit en 1992 – soit avant l’arrivée d’Internet ! Cette mise à jour s’impose également au regard des standards établis par l’Union Européenne (UE) avec le Règlement Général sur la Protection des Données (RGPD), entré en application en 2018.
Les entreprises ont jusqu’à la fin de l’été pour se conformer au nouveau texte de loi, ainsi qu’aux ordonnances qui l’accompagnent sur la protection des données (OPDo) et la certification en matière de protection des données (OCPD).
Vous ne savez pas par où commencer ? Cet article fait le point sur les objectifs de la loi fédérale et vous donne des astuces pratiques pour les appliquer.
Les nouvelles exigences de la Suisse en matière de protection des données
La nouvelle loi sur la protection des données introduit des changements structurants. Les domaines déjà abordés dans la version en vigueur sont souvent traités de façon plus stricte, et plusieurs sujets jusque-là laissés de côté font leur entrée.
Rémi Pactat
Senior Manager Wavestone, Switzerland
Cette révision suggère des défis importants pour les entreprises qui auraient jusqu’à présent laissé de côté le sujet de la protection des données !
Registre des traitements obligatoire
Les entreprises de plus de 250 collaborateurs traitant des données personnelles sont désormais tenues de créer, et de maintenir à jour, un registre des traitements. La même obligation s’applique aux entreprises de moindre envergure lorsqu’elles répondent à certaines conditions : traitements à grande échelle, profilage à haut risque, etc.
Ce registre doit décrire de manière détaillée l’ensemble des processus impliquant des données personnelles au sein de l’organisation. Il sert de base à l’identification des traitements sensibles, et à la réalisation d’une analyse d’impact sur la protection des données. Cette analyse détaillée se justifie par la possibilité que le traitement engendre un risque élevé pour les droits et les libertés des personnes concernées.
Primauté à la protection des utilisateurs
La nouvelle loi instaure de nouveaux impératifs au service de la sécurité des données et des personnes : obligations en matière de transparence vis-à-vis des individus concernés, encadrement de la sous-traitance, annonce en cas de violation de la sécurité des données, journalisation et implémentation de mesures de sécurité techniques et organisationnelles…
Dès leur conception, les mesures de traitement des données doivent renforcer les droits des personnes concernées, la protection des données personnelles mais aussi les obligations des responsables des traitements. Ce sont les principes de Privacy by Design et Privacy by Default.
La Suisse se rapproche des standards européens sans s’y conformer intégralement
Moins de contraintes liées au traitement des données
Contrairement au règlement européen, la nouvelle LPD ne requiert pas systématiquement de fondement juridique pour traiter des données personnelles. La nomination d’un conseiller à la protection des données ou DPO (Data Protection Officer) restera elle aussi facultative après l’entrée en vigueur du nouveau texte.
Sanctions allégées
Le Parlement a, là-aussi, décidé de s’éloigner de la ligne de l’UE, en ne misant pas sur des montants intimidants.
En droit suisse, contrairement à ce qui prévaut en droit européen, ce sont d’ailleurs les personnes physiques qui sont visées – et non les organisations. Seule la violation intentionnelle de la loi ou l’insoumission à une décision est punie par des amendes (non-assurables), pouvant aller jusqu’à 250’000 francs suisses. Il s’agira de voir si ces sanctions s’avèrent aussi dissuasives que les 20 millions d’euros ou 4% du chiffre d’affaires annuel prévus par le RGPD.
Se conformer à la nouvelle LPD : les incontournables
L’entrée en vigueur du nouveau texte suisse marque un tournant pour les entreprises, helvétiques et étrangères, qui doivent s’y conformer. Pour celles qui ont déjà le niveau de maturité requis par le RGPD, peu d’adaptations sont à prévoir. Pour les autres… Le processus de mise en conformité s’annonce plus conséquent. Bien que le niveau d’exigence de la nouvelle réglementation suisse soit inférieur à celui du RGPD, les coûts de mise en conformité sont relativement similaires.
Nous recommandons une mise en conformité au texte le plus strict, c’est-à-dire le RGPD. Qui peut le plus, peut le moins ! L’alignement sur les pratiques de ses voisins européens facilite également la collaboration. Pour démarrer ou continuer votre projet d’alignement sereinement, nous vous partageons trois actions indispensables que nous recommandons à nos clients.
Cartographier vos traitements
Commencez par consolider une vision unique de tous les traitements impliquant des données personnelles dans votre organisation. Cette vue « par traitement » vous permet d’identifier les processus supportés par plusieurs assets (applications, base de données, etc.) ou qui font intervenir plusieurs tiers.
Cette première cartographie met l’ensemble des éléments à plat. Vous pouvez ainsi vous focaliser sur les traitements les plus à risques, avant de lancer toute analyse ou remédiation. Il sera ensuite temps de lancer les actions sur les assets et tiers concernés (une revue contractuelle peut parfois s’avérer plus importante qu’une revue des accès !).
Créer un binôme RSSI / DPO, pour adapter votre stratégie sécurité aux exigences privacy
Le RSSI (Responsable de la Sécurité des Systèmes d’Information) joue un rôle prépondérant dans la protection des données personnelles : il supervise les mesures de protection, techniques et organisationnelles. Le DPO le sollicite pour sécuriser le traitement de données personnelles, au travers de décisions stratégiques et technologiques.
Dans l’autre sens, le RSSI s’assure auprès du DPO que les mesures de sécurité envisagées sont alignées avec les exigences règlementaires (durée de conservation des logs, droits des personnes, etc.). Il s’appuie sur lui en cas d’incident impliquant des données personnelles.
Sensibiliser vos collaborateurs aux données personnelles
L’un des principaux enjeux du DPO : être impliqué dès la phase de conception des projets, afin d’éviter l’apparition d’écarts de conformité trop importants. Mais comment donner le réflexe aux collaborateurs de contacter le DPO lorsque des données personnelles sont concernées ?
Mettez en place des programmes de sensibilisation aux enjeux privacy à destination de vos équipes. En expliquant ce qui est en jeu, vous maximisez les chances que le DPO soit sollicité à bon escient. Il peut ainsi fournir l’accompagnement nécessaire au cas par cas, en attendant la mise en place de processus pérennes de privacy-by-design et by-default.