Se conformer à la nouvelle loi sur la protection des données

En résumé

La nouvelle loi entrera en vigueur le 1er septembre 2023, sans période transitoire. Des outils pour s’y préparer existent.

Dès le 1er septembre 2023, les personnes physiques et morales (comme les entreprises) seront soumises à de nouvelles règles avec la nouvelle loi fédérale sur la protection des données. Elle s’appliquera notamment à tous les détenteurs de données personnelles.

Comment se mettre en conformité? C’est le thème d’un événement qui a été organisé par la Fédération des Entreprises Romandes (dont la FER Genève est membre) et le Clusis (Association suisse de la sécurité de l’information), le 2 mai à Genève.

Qu’entend-on par données personnelles?

Il s’agit des informations concernant une personnes physique identifiée ou identifiable, comme une adresse postale, une adresse e-mail, une photo, un historique de commande, etc. Un fichier client ou un dossier des ressources humaines entrent dans cette catégorie. A noter que les données sur les personnes morales ne sont pas concernées.

Quels sont les grands principes de la nouvelle loi?

L’étude d’avocats Vischer les a synthétisés en dix commandements:

  1. Nous disons aux personnes ce que nous faisons de leurs données et pourquoi.
  2. Nous nous y tenons et n’utilisons pas les données à d’autres fins.
  3. Nous pratiquons la minimisation des données et le «besoin de savoir».
  4. Nous supprimons les données dès que nous n’en avons plus besoin.
  5. Nous permettons aux personnes de dire «non» au traitement.
  6. Nous ne faisons que ce que nous trouverions acceptable pour nous-mêmes.
  7. Nous vérifions que nos données ne contiennent pas d’erreurs ou de lacunes problématiques.
  8. Nous ne transmettons pas de données sensibles (données personnelles sensibles: art. 5 let. c nLPD) à des tiers.
  9. Nous prenons des mesures pour garantir la sécurité des données chez nous.
  10. Nous obtenons des données légalement à partir de sources légales. Exceptions (uniquement) possibles en cas d’intérêts légitimes prépondérants. Nous concevons chaque traitement selon ces principes.

Comment savoir où je me situe?

Un outil gratuit pour déterminer rapidement son degré de conformité avec la nouvelle loi a été mis en ligne par l’étude d’avocats Vischer. Il s’agit du Vischer Privacy Score. Il est actuellement proposé en version bêta, en allemand et en anglais. Voir sous: privacyscore.ch/en

Comment me mettre en règle?

Un livre blanc sur la nouvelle loi sur la protection des données a été réalisé par l’entreprise Softcom en collaboration avec le Clusis. Il comprend notamment des documents word et excel permettant de structurer sa mise en conformité avec la nouvelle loi et listant les questions à se poser. Il existe en version papier et numérique et peut être commandé à l’adresse info@clusis.ch. Prix: 50 francs pour les membres Clusis, 100 francs pour les non-membres et 80 francs pour les partenaires Clusis. Voir clusis.com/nlpd

Comment trouver un spécialiste?

Une solution est de s’adresser au Clusis, qui en compte parmi ses membres.

Comment en savoir plus?

Un article d’Entreprise romande paru le 4 novembre 2022 résume les grands points de la nouvelle loi (taper «Les entreprises suisses devront davantage protéger les données personnelles» dans un moteur de recherche). Revoir en ligne l’événement sur la nLPD de la Fédération des Entreprises Romandes et du Clusis sur le site de la FER Genève (Formations et événements>Evénements en images). a La FER Genève organise des formations sur la nLPD, combinant formation en ligne et présentielle. Il reste des places pour la formation du 14 septembre. Prix: 500 francs pour les membres FER Genève, 700 francs pour les non-membres. Toutes les infos sont sous: formations.fer-ge.ch