Les entreprises suisses devront davantage protéger les données personnelles
En résumé
La nouvelle loi fédérale sur la protection des données entrera en vigueur le 1er septembre 2023. Les entreprises doivent s’y préparer.
Alors que les nouvelles technologies ont pris une place considérable dans nos vies, l’actuelle loi fédérale sur la protection des données date de 1992, avant l’explosion du web. La Confédération a donc adopté une nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre 2023. La législation suisse se rapprochera ainsi considérablement de celle de l’Union européenne, où un Règlement général sur la protection des données (RGPD) est en vigueur depuis 2018.
Qui est concerné?
Toutes les personnes physiques ou morales (les entreprises) et les organes fédéraux qui traitent des données personnelles de personnes privées. On entend par données personnelles «toutes les informations concernant une personne physique identifiée ou identifiable», comme une adresse, un numéro de téléphone, un historique de commandes, des données médicales, etc., qui permettent d’identifier une personne. Tenir un fichier client ou un fichier de ressources humaines suffit à entrer dans le champ d’application de la loi. Les données sur les personnes morales ne sont en revanche pas concernées.
Quels principes doivent régir le traitement des données?
- On ne peut traiter des données personnelles (ce qui comprend leur collecte) que dans un but déterminé et licite, conforme aux principes de la bonne foi et de la proportionnalité.
- Ces données doivent être stockées avec un niveau de sécurité adéquat.
- Les personnes de qui l’on récolte les données doivent être informées et le but doit être clair pour elles (on n’est cependant généralement pas obligé d’obtenir leur accord explicite).
- Les données récoltées doivent être limitées au strict minimum pour atteindre le but visé. Si ce dernier n’a plus lieu d’être, les données doivent être détruites ou anonymisées.
- Le détenteur des données doit s’assurer qu’elles sont exactes et se donner les moyens d’y remédier si ce n’est pas le cas.
- Les personnes concernées peuvent demander à ce que les données qui les concernent soient transférées à un tiers, puis effacées.
- Seules les personnes autorisées doivent avoir accès aux données.
- En cas de problème, par exemple de vol de données, il faut informer le préposé fédéral à la protection des données si un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée existe. Les personnes concernées doivent aussi être informées, si cela est nécessaire à leur sécurité ou que le préposé l’exige.
- Les grandes entreprises doivent tenir un registre du traitement des données, ainsi que les PME dont les traitements de données présentent un risque élevé d’atteinte à la personnalité des personnes concernées. Les PME pour lesquelles ce risque est limité sont exemptées de cette obligation.
- Des règles particulières régissent les données sensibles (opinions politiques ou religieuses, santé, mesures d’aide sociale, données génétiques biométriques, poursuites ou sanctions pénales ou administratives, etc.). La personne concernée doit notamment donner son autorisation explicite à la récolte et au traitement de ces données. Il en va de même lorsqu’on effectue un profilage à risque élevé.
On entend par profilage «toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique», selon la nouvelle loi. Ce n’est pas le cas si les données sont anonymisées.
A quel moment faut-il se préoccuper de la protection des données?
La loi pose le principe de la Privacy by Design, c’est-à-dire que l’on doit se préoccuper de la protection des données dès le moment où l’on conçoit la récolte et le traitement des données, de manière à les rendre conformes à la loi. Si on envisage de traiter des données et que cela est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, il faut d’abord réaliser une analyse d’impact, qui identifie et évalue les risques que cela peut représenter pour ces personnes.
A quelles sanctions les contrevenants s’exposent-t-ils?
Des amendes pouvant atteindre deux cent cinquante mille francs peuvent être infligées. C’est nettement moins sévère que les amendes prévues par le RGPD, qui peuvent atteindre 4% du chiffre d’affaires mondial ou vingt millions d’euros. Le vrai risque n’est cependant pas l’amende, mais les dégâts à la réputation que peuvent provoquer une mauvaise protection des données.
Par où commencer?
On peut commencer par recenser les données personnelles dont on dispose et les traitements qu’on leur fait subir. On peut ensuite analyser d’éventuels écarts avec les exigences de la loi et les corriger. Enfin, il faut mettre sur place une vraie gouvernance, avec une évaluation des risques, des procédures documentées et des responsabilités clairement définies. Des prestataires peuvent aider les entreprises à le faire. Il faut cependant se souvenir que la protection des données est un processus continu: il ne suffit pas de se mettre à jour une fois et de cesser de s’en préoccuper. Pour une petite entreprise, il faudrait procéder à une évaluation des risques au moins chaque année.