Loi sur la pro­tec­tion des don­nées: se pré­pa­rer dès à pré­sent

Les entre­prises font face à une défiance crois­sante de la part des consom­ma­teurs quant à l’uti­li­sa­tion de leurs don­nées per­son­nelles. Véri­table or noir pour l’éco­no­mie numé­rique, celles-ci doivent béné­fi­cier d’une pro­tec­tion par­ti­cu­lière.

Adop­tée à l’au­tomne der­nier, la révi­sion de la loi sur la pro­tec­tion des don­nées vise à adap­ter la loi de 1992 aux récents déve­lop­pe­ments tech­no­lo­giques, tout en réhaus­sant le niveau de pro­tec­tion des indi­vi­dus. Le prin­cipe: tout trai­te­ment de don­nées rela­tives à une per­sonne iden­ti­fiée ou qui peut être iden­ti­fiée, direc­te­ment ou indi­rec­te­ment, doit l’être de manière pro­por­tion­née et non abu­sive.

En ren­for­çant et ins­ti­tuant de nou­veaux droits pour les citoyens (droits rela­tifs à l’ac­cès, l’ef­fa­ce­ment, la por­ta­bi­lité des don­nées per­son­nelles, etc.), cette loi crée aussi de nou­velles obli­ga­tions pour les entre­prises. Ces der­nières doivent non seule­ment infor­mer et répondre aux requêtes d’in­di­vi­dus en cas de col­lecte de don­nées per­son­nelles, mais éga­le­ment noti­fier les vio­la­tions de la sécu­rité des don­nées. Dans cer­tains cas, la loi exi­gera davan­tage, en impo­sant une ana­lyse d’im­pact ou la mise en place d’un registre des acti­vi­tés de trai­te­ment des don­nées per­son­nelles. Vaste pro­gramme!

Afin de se pré­pa­rer au mieux à ce nou­veau régime régle­men­taire, les PME se doivent d’adop­ter une approche glo­bale consis­tant à:

Éva­luer les risques

Les entre­prises trai­tant un grand volume de don­nées sont plus à risque de vio­ler la loi. Il est essen­tiel de recen­ser et car­to­gra­phier toutes les don­nées per­son­nelles (clients, four­nis­seurs, col­la­bo­ra­teurs, etc.) ou don­nées dites «sen­sibles» (reli­gion, santé, géné­tiques, etc.) dans les sys­tèmes infor­ma­tiques, bases de don­nées et autres dos­siers par­ta­gés.

Orga­ni­ser et sécu­ri­ser

Une mise à niveau de la sécu­rité infor­ma­tique et l’éla­bo­ra­tion de pro­cé­dures internes sont autant de mesures per­met­tant de se pré­mu­nir ou d’agir en cas de vio­la­tion, perte, fuite de don­nées ou requêtes éma­nant d’in­di­vi­dus. Afin d’amé­lio­rer la gou­ver­nance des don­nées, les entre­prises peuvent se réfé­rer à la charte de l'éco­no­mie suisse pour une ges­tion res­pon­sable des don­nées.

Sen­si­bi­li­ser

Tous les éche­lons d’une entre­prise, de l’ap­prenti au chef d’en­tre­prise, doivent être impli­qués. En tenant un registre des visi­teurs, un récep­tion­niste effec­tue déjà un trai­te­ment de don­nées. Cepen­dant, ce sont bel et bien les chefs d’en­tre­prise et membres des conseils d’ad­mi­nis­tra­tion qui s’ex­posent, en cas de non-res­pect de la loi, à des sanc­tions pénales.

Anti­ci­per

Bien que la loi n’entre en vigueur qu’au deuxième semestre 2022, les contrats doivent être revus dans les mois à venir pour y inclure des clauses conformes à la nou­velle loi. Ce sera lourd et risque de sus­ci­ter des dis­cus­sions avec les clients. Les entre­prises sont for­te­ment inci­tées à se mettre en confor­mité, étape par étape. Le plus tôt sera le mieux!

Un texte très légè­re­ment dif­fé­rent a paru dans l'Agefi le 31 mars 2021.