Sommaire
La protection des données a toujours été un sujet crucial dans le monde numérique d’aujourd’hui. Le 1er septembre 2023 a marqué une étape importante dans ce domaine avec la mise en vigueur de la nouvelle loi sur la protection des données (nLPD). Cette loi apporte des changements significatifs qui auront un impact considérable sur les entreprises et leurs manières de traiter leurs données.
Dans cet article, nous vous guiderons à travers les points essentiels de cette législation, notamment:
- L’objet principal de la nLPD.
- Les changements majeurs pour les entreprises.
- Les raisons de l’instauration de cette loi.
- La différence entre la nLPD et la RGPD.
- Les parties concernées par cette loi.
- Les risques associés à la non-conformité.
- Les étapes à suivre pour adapter votre entreprise à ces nouvelles directives.
Quel est l’objet de la nLPD ?
La nouvelle loi sur la protection des données (nLPD) vise principalement à :
- Accorder plus de contrôle aux citoyens sur leurs données personnelles, renforçant ainsi leurs droits d’accès, de rectification et d’opposition.
- Réglementer rigoureusement le traitement des données, posant des cadres précis sur leur collecte, stockage et partage.
- Adapter la législation aux innovations technologiques actuelles et futures, garantissant sa pertinence face à l’évolution rapide de la technologie.
- Mettre l’accent sur la cybersécurité, en incitant les entités à renforcer leurs mesures de protection.
- Harmoniser avec les normes internationales, en particulier le RGPD européen, pour faciliter les échanges de données à l’échelle mondiale.
Quels changements pour les entreprises ?
Avec l’adoption de la nouvelle loi sur la protection des données (nLPD), les entreprises ont dû se préparer à de nombreuses modifications dans la manière dont elles traitent et gèrent les données personnelles. Découvrons ensemble les principaux changements que vous devez prévoir et comment vous pouvez les intégrer dans vos opérations.
Couverture uniquement des données des personnes physiques
La nLPD se concentre dorénavant uniquement sur les données des personnes physiques, excluant ainsi celles des personnes morales. Pour les entreprises, cela signifie qu’elles doivent veiller à ce que leurs systèmes et processus soient capables de distinguer et de traiter différemment ces deux types de données. La mise en place d’une base de données clairement définie et de systèmes de classification peut aider à respecter cette exigence.
Inclusion des données génétiques et biométriques comme données sensibles
Avec cette nouvelle loi, les données génétiques et biométriques sont désormais classées comme sensibles. Vous devez alors prendre des précautions supplémentaires lors de vos traitements. Vous pouvez envisager d’utiliser des technologies de cryptage avancées et de mettre en place des protocoles stricts pour l’accès et le stockage de ces types de données.
Introduction des principes de “Privacy by Design” et de “Privacy by Default”
La nLPD a intégré deux principes essentiels à la protection des données : le “Privacy by Design” et le “Privacy by Default”. Ces principes stipulent que la protection des données doit être envisagée dès la conception des produits et services et que les mesures de sécurité maximales doivent être activées par défaut. Cela signifie que vous devez envisager une refonte possible de vos systèmes pour garantir que la protection des données est intégrée dès le départ. L’accompagnement par un architecte n’ayant pas de parti pris sur le développement de vos applications vous permettra d’avoir un suivi pragmatique des mesures de sécurité à mettre en place. De plus, les sessions de formation pour vos développeurs et autres parties prenantes sont également essentielles pour garantir une mise en œuvre efficace de ces principes.
Recommandation d’analyses d’impact en cas de risque élevé
Lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, une analyse d’impact relative à la protection des données (AIPD) devient essentielle. Cette analyse permet d’identifier et de minimiser les risques liés au traitement des données personnelles. Il est donc recommandé de mettre en place des procédures claires pour déterminer quand une AIPD est nécessaire et comment la mener à bien.
Obligation de tenir un registre des activités de traitement
Afin de garantir la transparence et la traçabilité des activités liées aux données, la nLPD impose aux entreprises, la tenue d’un registre des activités de traitement. Les entreprises comptant moins de 250 collaborateurs et traitant des données présentant un faible risque sont exemptées de cette obligation.
Ce registre doit détailler les types de données traitées, les finalités, les destinataires et les mesures de sécurité mises en place. La mise en place de votre registre exige une organisation rigoureuse et une mise à jour régulière pour refléter toutes vos activités de traitement.
Obligation d’informer la personne concernée lors de la collecte de données
Avec la nLPD, vous êtes tenus d’informer clairement les individus lors de la collecte de leurs données. Le consentement doit être volontaire, spécifique et sans ambigüité, souvent obtenu via une méthode “opt-in”, nécessitant une action affirmative de la personne concernée.Vous devez également être en mesure de fournir une preuve du consentement recueilli, soulignant ainsi l’importance de la transparence et du respect des droits des individus dans ce nouveau cadre légal.
Notification obligatoire au PFPDT en cas de violation de données
En cas de violation de la sécurité des données, vous êtes tenus d’en informer rapidement le Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est donc essentiel que vous ayez des protocoles de réponse aux incidents bien définis pour réagir rapidement en cas de violation, et s’assurer que vous êtes en mesure de notifier les parties appropriées dans les délais impartis.
Pourquoi cette loi ?
Avec l’essor de technologies telles que l’intelligence artificielle (IA) et la blockchain, notre manière d’interagir, de travailler et de vivre a été profondément transformée. Ces innovations, ajoutées à d’autres comme les smartphones, les réseaux sociaux, le Cloud et l’Internet des objets, ont créé un environnement numérique en constante évolution. Dans ce contexte de rapide transformation technologique, il était devenu impératif d’adapter et de mettre à jour la loi sur la protection des données pour répondre aux défis actuels et garantir une protection optimale des informations personnelles.
En parallèle de ces considérations nationales, la mise en conformité du droit suisse avec le droit européen est devenue une priorité. La nLPD se veut en phase avec le Règlement européen sur la protection des données (RGPD). Une telle harmonisation est essentielle pour éviter que les entreprises suisses ne subissent une perte de compétitivité face à leurs homologues européens, compte tenu de l’importance des échanges de données dans l’économie moderne.
Quelle différence avec la RGPD ?
Bien que la nouvelle loi sur la protection des données (nLPD) de la Suisse partage de nombreux points communs avec le RGPD, notamment dans l’optique de renforcer la protection des citoyens, elle présente aussi certaines spécificités distinctes. Voici quelques-unes des principales différences :
- Portée géographique : Le RGPD englobe les données personnelles des résidents de l’UE. Ainsi, peu importe où une entreprise est située, si elle traite des données de citoyens de l’UE, elle doit respecter le RGPD. La nLPD, quant à elle, se concentre sur les données des résidents suisses. Cela signifie que les entreprises suisses traitant des données de résidents européens doivent s’assurer de leur conformité avec les deux réglementations.
- Délégué à la protection des données (DPO) : Contrairement à la RGPD qui impose à certaines entreprises de désigner un DPO pour assurer la conformité, la nLPD ne comporte pas cette obligation. Toutefois, la nomination d’un expert en protection des données est fortement conseillée.
- Analyse d’impact sur la protection des données (AIPD) : Bien que la RGPD contraint les entreprises à effectuer une AIPD pour les traitements de données à haut risque, la nLPD ne formule pas cette exigence. Néanmoins, une telle démarche est recommandée.
- Sanctions : La différence est notable entre la RGPD et la nLPD concernant les sanctions. Le régime européen peut infliger des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global. Par ailleurs, alors que la RGPD sanctionne directement l’entreprise, la nLPD vise les individus coupables de la transgression.
Ainsi, il est crucial pour les entreprises présentes à la fois dans l’UE et en Suisse de se pencher sur ces distinctions pour s’assurer de leur pleine conformité aux deux réglementations.
Qui est concerné par cette nouvelle loi ?
Toute entité, qu’il s’agisse d’entreprises, d’institutions publiques ou d’associations, qui traitent des données de personnes physiques résidant en Suisse, est concernée par la nLPD.
Dans cette continuité, il est donc important que l’ensemble des équipes de votre entité soit sensibilisé plus globalement sur les aspects sécurité et plus particulièrement sur la cybersécurité.
Quels sont les risques à ne pas la respecter ?
Les entreprises qui ne se conforment pas à la nLPD s’exposent à de sérieuses conséquences. Les violations de cette réglementation peuvent entraîner des amendes pouvant atteindre CHF 250’000.En outre, au-delà des sanctions financières, les entreprises risquent de subir des dommages à leur réputation, ce qui pourrait avoir un impact à long terme sur leur crédibilité et leur confiance auprès des clients et des partenaires.
Comment mettre en place les changements dans votre entreprise ?
Pour une transition réussie vers la conformité à la nLPD, adoptez une démarche structurée :
- Sensibilisation: Formez tous les employés à l’importance et aux implications de la nLPD.
- Audit: Examinez les processus de gestion des données actuels pour déceler des non-conformités et des données obsolètes.
- Technologie: Utilisez des outils pour surveiller, gérer et protéger les données sensibles.
- Mise à jour des processus: Réajustez vos processus en fonction des lacunes identifiées, cela peut englober de nouvelles politiques ou mesures de sécurité.
- Consultation: En cas de doute, sollicitez des experts en protection des données ou des avocats spécialisés.
Afin de sécuriser vos données, il est judicieux de réaliser un audit de sécurité informatique pour évaluer et à améliorer la posture de sécurité de votre organisation. Vous pouvez également vous renseignez sur les prestations que proposent SmartYou en terme de services de sécurité.
Vous avez besoin d’aide pour naviguer dans ces étapes cruciales ?