Nous y serons l’année prochaine: La révision totale de la loi fédérale sur la protection des données (LPD) et de l’ordonnance sur la protection des données (OPDo), déjà adoptée par le Parlement en septembre 2020, entrera en vigueur le 1er septembre 2023. À l’origine, la Confédération prévoyait l’entrée en vigueur de ces régimes juridiques dès le second semestre 2022. Cependant, le gouvernement fédéral a souhaité accommoder les entreprises et leurs responsables de la protection des données en leur laissant suffisamment de temps pour se préparer à ce changement. Les choses sérieuses commenceront au mois de septembre de l’année prochaine. D’ici là, il est encore temps de remettre en question vos pratiques de traitement de données et de bien vous préparer à la nouvelle législation.
À qui s’applique la nouvelle loi?
La loi sur la protection des données et l’ordonnance y afférente s’appliquent au traitement de données personnelles par des particuliers (et des organes fédéraux). Par conséquent, les entreprises privées, mais aussi les associations et, en principe, les particuliers sont concernés. Alors que les entreprises et les associations ne peuvent en règle générale pas se soustraire à la prise en compte du droit sur la protection des données, les particuliers sont exemptés de respecter les prescriptions du droit sur la protection des données tant qu’ils traitent des données personnelles exclusivement à des fins personnelles. L’exception «à des fins personnelles» ne s’applique toutefois qu’aux traitements de données relevant strictement de la sphère privée et familiale (famille proche et amis), ce qui n’est généralement pas le cas d’un site Internet public. Les exploitants de sites Internet privés – tout comme les entreprises – sont donc régulièrement concernés par la nouvelle LPD et la nouvelle OPDo.
Que sont les «données personnelles» et que signifie «traiter»?
Le terme «données personnelles» désigne toutes les données qui se réfèrent à une personne physique identifiée ou identifiable. Dans la pratique, ce terme peut couvrir un éventail très large de données et, selon les circonstances, il peut même s’agir d’une simple adresse IP.
La notion de «traitement» a également un sens très large. Le terme englobe en fait presque toutes les activités auxquelles on peut penser. Il inclut notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, la suppression ou la destruction de données. Ainsi, rien ne change sur ce plan par rapport à la législation actuelle. La révision apporte toutefois un allègement: désormais, la LPD et l’OPDo ne sont plus applicables lorsque des données concernant des personnes morales sont traitées. Mais attention, les collaborateurs et collaboratrices d’une entreprise sont toujours protégés par la LPD sous la nouvelle législation.
Que faut-il donc faire?
La législation sur la protection des données impose de nombreuses obligations aux responsables du traitement de données, certaines étant nouvelles et d’autres déjà existantes. Vous trouverez ci-dessous un aperçu des principales obligations des responsables.
Principes du traitement de données
Les principes de traitement n’étant pas fondamentalement modifiés par la révision, les traitements de données autorisés jusqu’à présent devraient normalement continuer à l’être dans le cadre de la nouvelle législation. Les données personnelles ne peuvent être traitées que de manière licite, et le traitement doit être effectué de bonne foi. Il est important que les données ne puissent être traitées que pour la finalité pour laquelle elles ont été collectées et que cette finalité soit reconnaissable pour la personne concernée (limitation de la finalité). Si des données personnelles sont traitées en violation des principes de la protection des données (p. ex. pour une autre finalité), il peut en résulter une atteinte à la personnalité de la personne concernée. Une telle atteinte peut toutefois être justifiée si elle répond à un intérêt privé ou public prépondérant (p. ex. traitement de données en relation directe avec un contrat) ou si la personne concernée y consent.
Suppression de données personnelles
Les données personnelles doivent être effacées ou anonymisées dès qu’elles ne sont plus nécessaires à la finalité du traitement.
Inventaire des traitements
Les entreprises et organisations de 250 collaborateurs et plus doivent tenir un inventaire de tous les traitements effectués. Les entreprises de moins de 250 collaborateurs en sont en principe dispensées, sauf si des données personnelles dignes de protection sont traitées à grande échelle ou si un profilage à haut risque est effectué.
Obligations d’information et déclaration de protection des données
Lorsque des données personnelles sont traitées, les personnes concernées doivent être informées de l’étendue et de la finalité du traitement des données. Cela se fait généralement par le biais d’une déclaration de protection des données, aussi appelée déclaration ou charte de confidentialité. Pour ce faire, il est recommandé de suivre les conseils suivants:
- Il convient d’informer sur tous les traitements de données, et pas seulement sur le traitement de données effectué par le biais du site Internet.
- La déclaration de protection des données doit être facile à trouver sur un site Internet, de préférence dans le pied de page sur chaque page.
- Les déclarations de protection des données n’ont généralement pas besoin d’être acceptées par l’utilisateur (p. ex. pour les formulaires). Au lieu de cela, il suffit d’indiquer où se trouve la déclaration de protection des données.
- Veuillez noter qu’en raison des nouvelles obligations d’information plus étendues, vous devrez peut-être adapter vos déclarations de protection des données existantes.
En savoir plus:
Dans un article précédent du blog Hostpoint, le cabinet d’avocats VISCHER a compilé des conseils importants et utiles pour rédiger une déclaration de protection des données pour votre propre site Internet:
Comment rédiger une déclaration de protection des données de qualité pour votre site Web?
Sous-traitance du traitement de données
Avec les prestataires tels que Hostpoint, qui traitent des données personnelles pour le compte du responsable, il convient de conclure un contrat de sous-traitance de traitement de données (également appelé Data Processing Agreement ou DPA ou similaire). Il est également recommandé de suivre les conseils suivants:
- Un tel contrat doit contenir des mesures techniques et organisationnelles que le fournisseur informatique est tenu de respecter (voir également les explications sur la sécurité des données et l’article 32 du RGPD).
- Un contrat de sous-traitance de traitement de données conforme au Règlement général européen sur la protection des données (RGPD) suffit en principe aussi en Suisse, mais doit également faire explicitement référence à la LPD.
- Le recours à d’autres tiers par le sous-traitant du traitement de données doit être réglementé.
Sécurité des données
L’accès aux données personnelles ne doit être possible que pour les personnes (p. ex. collaborateurs ou collaboratrices, membres de l’association) qui en ont réellement besoin, par exemple pour l’accomplissement de leur travail. Cela doit être garanti par des mesures techniques et organisationnelles (MTO). Les mesures techniques peuvent être, par exemple, des droits d’accès limités ou des pare-feu, tandis que les mesures organisationnelles peuvent revêtir la forme d’instructions et de formations. Les sites Internet et autres systèmes informatiques doivent être maintenus à jour sur le plan technique afin de prévenir les failles de sécurité qui pourraient avoir des conséquences désastreuses.
Si toutefois la confidentialité, l’intégrité ou la disponibilité de données personnelles est violée et qu’il en résulte un risque élevé pour les personnes concernées, cela doit être signalé au préposé fédéral à la protection des données et à la transparence (PFPDT). Le Conseil fédéral prévoit également d’introduire une obligation de notification des cyberattaques contre les infrastructures critiques. Dans ce contexte, le Centre national pour la cybersécurité (NCSC) doit également être informé. Demandez conseil dans de tels cas afin d’agir correctement.
Divulgation de données à l’étranger
Si des données sont divulguées à l’étranger, il faut soit que le pays en question dispose d’un niveau de protection des données adéquat, soit que des mesures complémentaires soient prises. Cette exigence s’applique déjà dans le cadre de la législation actuelle. La notion de divulgation à l’étranger ne désigne pas seulement l’envoi actif de données, mais aussi, par exemple, les accès à distance. La notion de «divulgation» a donc une portée plus large que ce que l’on pourrait penser initialement. Parmi les mesures à prendre le cas échéant, on peut citer la conclusion de clauses contractuelles types («EU SCC») ainsi que les amendements nécessaires pour la Suisse («Swiss amendments»).
Vérifiez quels prestataires de services et fournisseurs vous utilisez en relation avec votre site Internet et autres offres. S’ils sont basés à l’étranger, assurez-vous que le pays en question garantit un niveau de protection des données adéquat et, si tel n’est pas le cas, que vous avez pris les mesures supplémentaires nécessaires.
Droits des personnes concernées
Les personnes dont les données personnelles sont traitées ont le droit d’obtenir des informations sur leurs propres données. Ces informations doivent être fournies en règle générale dans un délai de 30 jours et sans frais pour les personnes concernées. Les personnes ont également le droit de faire rectifier des données erronées les concernant ou de demander leur suppression. Ces droits ne sont toutefois pas absolus et il existe des restrictions.
Consentement
Si un consentement est nécessaire pour un traitement de données, la personne concernée doit être informée des conséquences du consentement et ce consentement doit être exprimé librement. Pour les données personnelles dignes de protection (p. ex. données de santé) ou le profilage à haut risque, le consentement doit même être explicite.
«Privacy by Default und Privacy by Design»
Cette expression désigne la protection des données par des moyens techniques et des paramètres par défaut favorisant la protection des données. Il est désormais obligatoire de concevoir le traitement des données d’un point de vue technique et organisationnel de manière à respecter la législation sur la protection des données, et de concevoir des paramètres par défaut aussi favorables que possible à la protection des données. Si les exploitants de sites Internet, d’applications ou d’autres logiciels proposent différents paramètres de protection des données, la variante la plus respectueuse de la vie privée doit toujours être définie comme paramètre par défaut. Par exemple, si un site Internet dispose d’un espace membre dans lequel les utilisateurs inscrits peuvent décider si les autres utilisateurs peuvent voir leur nom ou non, la visibilité du nom doit être désactivée dans le paramètre par défaut.
Petit secret professionnel
Outre les secrets professionnels généralement connus (p. ex. le secret professionnel auquel sont soumis les avocats ou les médecins), la notion de secret professionnel a également été étendue dans la législation sur la protection des données. Les données personnelles secrètes qui vous sont confiées dans le cadre de l’exercice de votre activité professionnelle doivent être tenues secrètes. Si vous ne voulez pas garantir cette confidentialité, vous devez donc le préciser au préalable ou préciser avec qui vous êtes susceptible de partager ces données. On considère que des données personnelles sont secrètes lorsqu’elles ne sont pas généralement connues et que la personne concernée a un intérêt digne de protection à ce que ces données demeurent secrètes. Cela ne signifie pas pour autant que les données personnelles non secrètes peuvent être divulguées sans restriction. Même dans ce cas, une divulgation n’est autorisée que dans le strict cadre de la législation sur la protection des données.
Analyse d’impact sur la protection des données
Si de nouveaux traitements de données sont prévus et peuvent présenter un risque élevé pour les personnes concernées, une analyse d’impact sur la protection des données doit être effectuée. Celle-ci doit documenter la nature exacte du traitement prévu et examiner les mesures appropriées pour protéger les personnes concernées.
Conseillers à la protection des données et représentants en Suisse
Dans le cadre de la nouvelle législation sur la protection des données, il est possible de désigner un conseiller à la protection des données au sein de l’entreprise. Il n’y a en revanche aucune obligation de le faire. Il convient de distinguer ce conseiller à la protection des données facultatif en vertu du droit suisse du délégué à la protection des données en vertu du RGPD. Ce dernier est même obligatoire dans certains cas lorsque le RGPD est applicable.
Dans certaines conditions, les responsables de traitement basés à l’étranger qui traitent des données personnelles en Suisse doivent désigner un représentant en Suisse. C’est le cas dans les situations suivantes:
- Lorsque le traitement des données est lié à l’offre de biens et de services ou à l’observation du comportement de personnes en Suisse.
- Lorsqu’il s’agit d’un traitement régulier et de grande ampleur.
- Lorsque le traitement des données présente un risque élevé pour la personne concernée.
Responsabilité pénale
En ce qui concerne la responsabilité pénale, il faut notamment tenir compte du fait qu’à partir du 1er septembre 2023, la violation de certaines obligations entraînera une responsabilité pénale qui, contrairement au RGPD, n’affectera pas l’entreprise, mais la personne physique responsable. Les personnes responsables peuvent être aussi bien des membres de la direction que d’autres personnes habilitées à prendre des décisions au sein de l’entreprise, ou encore les personnes qui ont commis une violation d’obligation (p. ex. violation de la confidentialité). Toutefois, dans le droit suisse, seule les violations délibérées sont punissables.
Les éléments suivants sont notamment punissables d’une amende pouvant aller jusqu’à CHF 250 000.–:
- violation des obligations d’information (p. ex. absence de déclaration de protection des données ou déclaration insuffisante),
- absence de contrat avec un sous-traitant du traitement de données,
- violation de la sécurité des données (violation de la confidentialité, de la disponibilité ou de l’intégrité des données, MTO),
- divulgation de données personnelles dans des pays ne garantissant pas un niveau de protection adéquat, sans prise de mesures de protection supplémentaires ou sans qu’une exception ne s’applique (p. ex. consentement),
- violation d’obligations d’information,
- violation du «petit secret professionnel».
Comment cela doit-il être mis en œuvre?
Il est recommandé de désigner, au sein de l’entreprise, de l’organisation ou même de l’association, une personne qui s’occupe de la protection des données. Il ne s’agit pas d’un conseiller à la protection des données au sens de la loi (voir ci-dessus), mais d’une personne au sein de l’entreprise ou de l’association qui acquiert des connaissances de base en matière de protection des données et qui est la personne de référence dans l’entreprise en cas de questions à ce sujet. Cette personne peut acquérir les connaissances de base nécessaires par le biais de sources publiques ou de formations continues et, si nécessaire, faire appel à un soutien externe.
En savoir plus:
L’équipe de protection des données de VISCHER a résumé et publié sur une page «La nouvelle Loi sur la protection des données (nLPD) – sur une page seulement» et aborde ce qui doit être mis en œuvre dans une PME – ou même dans une association.