Close
Que voudriez-vous rechercher?

16 septembre 2022

La nouvelle Loi sur la protection des données (nLPD) – sur une page seulement
  • Nouvelle LPD à partir du 01.09.2023
  • L'essentiel sur une page
  • Effort limité pour les PME

La Suisse a moins d'un an pour se préparer à la nouvelle Loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023. Mais que faut-il entreprendre pour se préparer à ce nouveau cadre réglementaire ?

La réponse : En tout cas pour la plupart des PME, l'effort restera gérable, pour autant qu'elles soient déjà plus ou moins conformes à la LPD actuelle. Comme nous l'avons déjà souligné à plusieurs reprises, personne ne peut se conformer entièrement à la protection des données. Néanmoins, une entreprise peut déjà effectuer une part importante en instaurant les structures et processus nécessaires et en favorisant la sensibilisation à la protection des données.

Afin d'aider les PME, mais aussi les grandes entreprises, VISCHER a résumé ce qu'il faut accomplir pour se conformer à la LPD actuelle et la nouvelle LPD – le tout sur une seule page, courte et précise, sans jargon juridique. Le document est disponible gratuitement, peut être distribué et utilisé librement, et peut également être utilisé comme directive interne en matière de protection des données dans la mesure où une entreprise n'en a pas encore mis une en place.

Le document peut être téléchargé ici (en version allemande ici et en version anglaise ici). Diverses informations sont rassemblées dans ce document :

  • Il prend en considération la LPD actuelle et la nouvelle LPD, en indiquant les éléments nouveaux.
  • Il instaure des codes couleurs qui indiquent le type de réglementation (traitement des données, droits des personnes concernées, gestion, processus).
  • Il propose un ordre de mise en œuvre, avec une case par étape qui peut être cochée une fois réalisée.
  • Il indique les dispositions qui sont assorties de sanctions pénales (amendes pouvant aller jusqu'à CHF 250'000, mais uniquement en cas de violation intentionnelle et sur plainte).
  • Pour ceux qui sont déjà conformes avec le RGPD, il indique dans quels cas le droit suisse est plus strict ("Swiss Finish") ou nécessite une approche différente (lorsque le RGPD n'est que légèrement plus strict, il n'y a rien à faire).
  • Il donne la possibilité d'ajouter les coordonnées internes directement dans le document.
  • Il contient des liens vers des sources et des modèles adaptés (cependant certains documents sont uniquement disponibles en allemand).

Les entreprises peuvent choisir de faire appel à un conseiller externe spécialisé en protection des données, mais il n'est pas nécessaire d'en avoir un, hormis pour des cas difficiles ou complexes. Ni la LPD actuelle ni la nouvelle LPD n'exigent de nommer un délégué à la protection des données (ou un conseiller à la protection des données, comme nommé dans la nLPD). Il est toutefois recommandé de désigner une personne qui s'occupe de la protection des données en interne et qui a les capacités (et la volonté) de le faire – les connaissances nécessaires peuvent être acquises relativement facilement avec du contenu provenant de sources publiques, de tutoriels et, bien sûr, d'une formation continue.

Nous avons également considéré dans le guide la nouvelle Ordonnance sur la protection des données (OPDo). A cet égard, le Conseil fédéral a par exemple décidé que la plupart des entreprises de moins de 250 employés n'ont pas l'obligation de tenir un registre des activités de traitement. Cela se révélera très pratique pour de nombreuses PME, bien que l'effort requis pour un tel registre soit souvent surestimé et que sa création constitue en soi un bon point de départ pour se conformer à la protection des données. En outre, les connaissances ainsi acquises sont également nécessaires pour la création de la politique de confidentialité, que la plupart des entreprises doivent encore développer (beaucoup d'entreprise ne couvrent actuellement dans leur politique de confidentialité que les données collectées sur le site web, ce qui n'est pas suffisant à la lumière de la nLPD).

Le défi majeur en matière de conformité à la protection des données est et reste la communication des données personnelles à l'étranger, car les exigences en la matière ont été portées à un niveau irréaliste depuis 2020 (non pas à cause de la loi, mais de la manière dont elle a été appliquée, en particulier par les autorités européennes de protection des données) et il n'existe aucune solution raisonnable, même pour les mieux intentionnés. Le principal problème est le risque que, lorsque les données sont transférées vers des pays ne disposant pas d'un niveau adéquat de protection des données (ce qui ne peut être exclu même avec la plupart des solutions Cloud), les autorités étrangères puissent être en mesure, si elles le souhaitent, d'intercepter les données (ce qu'on appelle l'accès légal à l'étranger ou en anglais "foreign lawful access"). Si ce risque d'accès légal à l'étranger n'est souvent que théorique, il suscite néanmoins une grande inquiétude auprès des autorités de protection des données. Pour les entreprises, cela signifie soit qu'il faut investir beaucoup de temps et d'efforts dans la mise en conformité à la protection des données, soit que les exigences des autorités de protection des données ne sont pas respectées. Dans ce cadre, nous avons également publié plusieurs outils, qui sont aujourd'hui utilisés bien au-delà de la Suisse (notamment un FAQ sur les nouvelles clauses contractuelles types de l'UE [en anglais], un FAQ sur le risque d'accès légal à l'étranger par les autorités [en anglais], et une méthode d'évaluation standardisée de ce risque d'accès légal à l'étranger [en anglais]. L'Association pour la protection des données des entreprises (www.vud.ch) a également publié un FAQ sur le thème du "Cloud" [en allemand], dans laquelle elle aborde la question de savoir si l'utilisation des services cloud est admissible dans le cadre de la thématique précédente de l'accès légal à l'étranger par des autorités et comment de tels projets peuvent être mis en œuvre.

La vérification des accords avec les fournisseurs et autres sous-traitants peut représenter un certain travail. En effet, la nLPD prévoit des amendes si les contrats ne sont pas conformes à la loi. En pratique, la plupart des accords de traitement de données (en anglais "data processing agreements" ou "DPA"), du moins ceux des grands fournisseurs, répondent aux exigences actuelles, pour autant que les modifications nécessaires pour la Suisse aient été apportées (pour l'entreprise Microsoft, par exemple, une annexe suisse est requise, ce qu'elle fournit sans discussion).

Le plus grand travail consiste à vérifier si les traitements de données existants sont conformes aux principes de protection des données. A cet égard, la nouvelle LPD ne change pratiquement rien, c'est-à-dire que la manière dont les données peuvent être traitées reste en grande partie la même que sous le droit actuel. Jusqu'à présent, de nombreuses entreprises ne se sont pas systématiquement préoccupées de ces exigences et ont plutôt fait appel à leur "instinct" pour décider de ce qui était acceptable ou non (ce qui n'est pas le pire des conseillers dans ce domaine). La révision de la LPD pourrait être une bonne occasion d'apporter quelques améliorations à ce niveau, par exemple en sensibilisant les employés et en leur proposant d'examiner plus attentivement leur propre traitement de données. De cette manière, le travail à cet égard peut être réparti dans l'entreprise.

En outre, nous avons publié gratuitement un commentaire détaillé de la nouvelle Loi sur la protection des données (en français et en allemand) ainsi qu'un aperçu séparé sur le RGPD. Nous proposons également un enregistrement d'un webinaire sur la mise en œuvre de la nouvelle LPD en dix étapes en soulignant les différences avec le RGPD.

David Rosenthal et son équipe spécialisée en protection des données se feront un plaisir de répondre à vos questions et de fournir tout autre soutien.

Catégorie: Data & Privacy

Auteur