Révision de la loi sur la protection des données

⏱ 6 min

Les entreprises suisses sont soumises aux prescriptions de la révision de la loi sur la protection des données (LPD). De quels éléments les entreprises doivent-elles tenir compte et quelles sont les principales mesures à prendre?

A l’automne 2020, le Parlement suisse a approuvé une révision complète de la loi sur la protection des données. Cette révision conserve toutefois les principes fondamentaux. Alors que jusqu’à présent le non-respect des dispositions en matière de protection des données n’entraînait de facto aucune conséquence, la nouvelle loi prévoit un système de sanctions. Désormais, les responsables s'exposent à des sanctions pénales en cas de violation des dispositions. Par ailleurs, la nouvelle loi intègre également un devoir étendu d’informer et de documenter.

Aperçu des principales nouveautés et de leurs conséquences

Sanctions pénales

A partir du 1^er septembre 2023, toute personne qui enfreint la nouvelle loi sur la protection des données sera passible, sur plainte, d’une amende pouvant aller jusqu'à CHF 250'000. Une entreprise est notamment passible de sanctions lorsqu’elle n’assume pas ses obligations d’informer et de documenter ou qu’elle viole la sécurité des données. Les premières personnes susceptibles d’être menacées de sanctions sont les personnes chargées de la direction de l'entreprise. Dans une société anonyme, il s’agit notamment des membres du conseil d'administration, le cas échéant, aussi des membres de la direction. Si l'infraction est mineure et que l’amende envisagée n’excède pas CHF 50'000, l'autorité chargée de l'enquête peut renoncer à identifier les personnes responsables et condamner l'entreprise à payer l'amende.

Nouveau devoir d’informer

Les entreprises sont tenues d’informer les personnes physiques du traitement de leurs données personnelles. Beaucoup d’entreprises publieront dorénavant ces informations sur leur site Internet, généralement dans une déclaration de protection des données. Actuellement, la plupart de ces déclarations ne mentionnent que des informations relatives au traitement d’informations personnelles collectées sur le site Internet des entreprises. A l'avenir, elles devront préciser des informations supplémentaires sur l'entreprise et les processus spécifiques au traitement des données.

Informations sur l’entreprise:

Identité de l’entreprise (par ex. numéro CHE)
Coordonnées de contact de l’entreprise (adresse électronique)
Droit des personnes concernées (droits d’accès et de recours)

Par processus:

Objectif du traitement
Destinataire (au moins des catégories)
Informations qui garantissent un traitement des données transparent (par ex. justification, durée de conservation, etc.)
En cas de transfert des données à l’étranger, les informations doivent mentionner l’Etat et les garanties applicables
Autre devoir d’informer en cas de décision individuelle automatisée

Il faudra s’attendre à des sanctions si les personnes concernées ne sont pas suffisamment informées.

Renforcement des droits des personnes concernées

Les droits des personnes concernées précisent les droits dont celles-ci disposent face aux entreprises qui traitent leurs données, le droit d'accès étant le plus important. Contrairement à l’Union européenne, il n’existe en Suisse aucun «droit de suppression» explicite. L’idée de suppression ressort toutefois indirectement de la disposition qui précise qu’un traitement contraire à la volonté expresse de la personne concernée constitue habituellement une atteinte à la personnalité. En outre, il existe un droit à la remise ou à la transmission des données dans un format électronique courant. En règle générale, les entreprises disposent d’un délai de 30 jours pour fournir les renseignements. A l'avenir, une entreprise sera passible de sanctions si elle tarde à communiquer des informations ou si celles-ci sont insuffisantes.

Renforcement de la sécurité des données au moyen d’une approche fondée sur les risques

L’article 8, al. 1 nouveau de la loi sur la protection des données précise: «Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru».

A l’avenir, cet article sera fondamental et son non-respect passible de sanctions. Toutefois, le texte accorde aux entreprises une grande liberté d'appréciation. Une analyse de l'article montre ce qu'il faut faire: les différents processus doivent être soumis à une évaluation des risques. Il faut (i) établir une vue d'ensemble ou un inventaire de tous les processus qui contiennent et/ou traitent des données personnelles et (ii) procéder à l’évaluation du risque que chaque processus représente pour la protection des données. Sur la base du risque évalué, (iii) définir et (iv) mettre en œuvre les mesures techniques et organisationnelles (MTO) appropriées qui en découlent. Il est nécessaire de (v) vérifier régulièrement que l'évaluation des risques est toujours d’actualité et, le cas échant, l’adapter aux nouvelles circonstances et à l'évolution technique, en plus des MTO. Il est également impératif de vérifier régulièrement la mise en œuvre correcte des MTO et leur efficacité. Toutes les activités mentionnées sont documentées afin de prouver la diligence de l'entreprise (et donc des organes responsables) en cas de procédure pénale. Les entreprises de plus de 250 collaborateurs tiennent un inventaire plus formel (appelé «registre des activités de traitement») avec des informations spécifiques.

Dans sa version révisée, la loi sur la protection des données reconnaît pleinement qu’il est impossible d'atteindre une sécurité à 100 % avec des efforts raisonnables. Les entreprises doivent donc accepter le fait qu'elles puissent être confrontées à des violations de la protection des données. Ce qui ne doit pas être sanctionné en soi. La situation devient toutefois délicate pour les organes responsables si l'entreprise ne documente pas leur activité consciencieuse. En d’autres termes, c’est le traitement minutieux, approprié et conscient des données personnelles qui est déterminant et non l’utilisation d’une solution de sécurité informatique coûteuse. L'entreprise peut prendre des risques raisonnables. Elle doit cependant être en mesure de démontrer de quelle manière elle les a évalués et justifier les niveaux choisis.

Mesures recommandées pour les entreprises

Compte tenu de la révision complète de la loi sur la protection des données, les entreprises devront tout d’abord clarifier les questions suivantes: Comment s'organisent-elles? Qui dirige le projet? Quelles sont les ressources mises à disposition et dans quel délai? Quand fait-on appel à une aide externe? Il est recommandé de planifier le projet et d'informer les responsables de l'entreprise des étapes essentielles le plus tôt possible.

Ensuite, si l’entreprise prévoit de traiter des données personnelles, elle devrait inventorier les processus concernés. Cet inventaire des processus inclut les principales caractéristiques et constitue une base solide pour l'évaluation des risques. Il s’agit par la suite d’évaluer les risques que les processus inventoriés représentent en matière de protection des données et définir des MTO appropriées, pour lesquelles l'entreprise établit généralement une norme à son échelle. Les écarts éventuels sont consignés pour chaque processus. Lorsqu’un processus révèle des risques potentiels élevés, il convient de déterminer les mesures à prendre pour les réduire à un niveau approprié.

Finalement, l’entreprise met en place ou adapte différents processus:

Il est nécessaire d’assurer une alerte interne en cas d'incident en lien avec la protection des données. L’entreprise dispose d’un délai de 72 heures pour évaluer la nécessité de transmettre une déclaration au préposé fédéral à la protection des données et à la transparence (PFPDT). Elle est tenue de le faire lorsque les conditions sont réunies. En cas d'incident en lien avec la protection des données, il convient également de vérifier s’il faut informer les personnes concernées.
Il est indispensable de garantir un traitement correct des droits des personnes concernées, en particulier les demandes d'accès et de suppression. En règle générale, le délai pour fournir un renseignement est de 30 jours. Si cela peut sembler long à première vue, selon les cas, le travail nécessaire pour collecter, vérifier et communiquer les données peut s'avérer considérable. Il est donc indispensable d’être bien préparé et d'avoir mis en place un processus efficace.
A l'avenir, lorsque l’entreprise modifiera des processus impliquant le traitement de données personnelles ou en introduit de nouveaux, elle devra tenir compte de la protection des données, vérifier l’inscription des processus dans l’inventaire et, le cas échéant, adapter les MTO. Lorsqu’elle traite d’importants volumes de données personnelles sensibles, l’entreprise doit procéder à une analyse d’impact formelle relative à la protection des données. A moins d’avoir désigné un conseiller à la protection des données, elle est tenue de remettre cette analyse au PFPDT.

Conclusion

La révision complète de la loi sur la protection des données renforce la protection des données, ce qui entraînera des conséquences pour les entreprises à long terme. Les nouvelles dispositions les obligent à examiner en détail leurs processus de traitement des données personnelles et leurs mesures de sécurité. Ressentie au premier abord comme une charge et un travail supplémentaire fastidieux, cette obligation sera bénéfique avec le temps. En effet, l'examen de ses propres processus révèle souvent des procédures inefficaces, inutiles ou obsolètes. En conclusion, une bonne protection des données est un critère de qualité pour une entreprise - également en ce qui concerne ses activités et ses prestations.

Votre entreprise est-elle parée pour sa mise en conformité avec la nouvelle règlementation suisse sur la protection des données?

Notre test sur la protection des données vous permet d’obtenir un aperçu immédiat.

Faites le test maintenant