Loi sur la protection des données: se préparer dès à présent
D’ici l’an prochain, toutes les entreprises, sans exception, devront se mettre en conformité avec la nouvelle loi sur la protection des données. Force est de constater qu’un grand nombre de PME suisses n’ont pas – ou peu – conscience des enjeux.
Les entreprises font face à une défiance croissante de la part des consommateurs quant à l’utilisation de leurs données personnelles. Véritable or noir pour l’économie numérique, celles-ci doivent bénéficier d’une protection particulière.
Adoptée à l’automne dernier, la révision de la loi sur la protection des données vise à adapter la loi de 1992 aux récents développements technologiques, tout en réhaussant le niveau de protection des individus. Le principe: tout traitement de données relatives à une personne identifiée ou qui peut être identifiée, directement ou indirectement, doit l’être de manière proportionnée et non abusive.
En renforçant et instituant de nouveaux droits pour les citoyens (droits relatifs à l’accès, l’effacement, la portabilité des données personnelles, etc.), cette loi crée aussi de nouvelles obligations pour les entreprises. Ces dernières doivent non seulement informer et répondre aux requêtes d’individus en cas de collecte de données personnelles, mais également notifier les violations de la sécurité des données. Dans certains cas, la loi exigera davantage, en imposant une analyse d’impact ou la mise en place d’un registre des activités de traitement des données personnelles. Vaste programme!
Afin de se préparer au mieux à ce nouveau régime réglementaire, les PME se doivent d’adopter une approche globale consistant à:
Évaluer les risques
Les entreprises traitant un grand volume de données sont plus à risque de violer la loi. Il est essentiel de recenser et cartographier toutes les données personnelles (clients, fournisseurs, collaborateurs, etc.) ou données dites «sensibles» (religion, santé, génétiques, etc.) dans les systèmes informatiques, bases de données et autres dossiers partagés.
Organiser et sécuriser
Une mise à niveau de la sécurité informatique et l’élaboration de procédures internes sont autant de mesures permettant de se prémunir ou d’agir en cas de violation, perte, fuite de données ou requêtes émanant d’individus. Afin d’améliorer la gouvernance des données, les entreprises peuvent se référer à la charte de l'économie suisse pour une gestion responsable des données.
Sensibiliser
Tous les échelons d’une entreprise, de l’apprenti au chef d’entreprise, doivent être impliqués. En tenant un registre des visiteurs, un réceptionniste effectue déjà un traitement de données. Cependant, ce sont bel et bien les chefs d’entreprise et membres des conseils d’administration qui s’exposent, en cas de non-respect de la loi, à des sanctions pénales.
Anticiper
Bien que la loi n’entre en vigueur qu’au deuxième semestre 2022, les contrats doivent être revus dans les mois à venir pour y inclure des clauses conformes à la nouvelle loi. Ce sera lourd et risque de susciter des discussions avec les clients. Les entreprises sont fortement incitées à se mettre en conformité, étape par étape. Le plus tôt sera le mieux!
Un texte très légèrement différent a paru dans l'Agefi le 31 mars 2021.
