Base de données avec sécurité

Pro­tec­tion des don­nées: tour d’ho­ri­zon de la nou­velle loi

Le Par­le­ment a adopté la nou­velle loi sur la pro­tec­tion des don­nées en automne 2020. Le délai réfé­ren­daire a expiré en jan­vier 2021 sans qu’un réfé­ren­dum ait été lancé. Les tra­vaux rela­tifs à l’or­don­nance d’exé­cu­tion (OLPD) étant encore en cours, il faut s’at­tendre à ce que la nou­velle loi entre en vigueur au second semestre 2022.

Il est recom­mandé aux entre­prises suisses de se fami­lia­ri­ser dès aujour­d’hui avec la nou­velle loi et ses exi­gences et d’adap­ter leur dis­po­si­tif de pro­tec­tion des don­nées, en par­ti­cu­lier en ce qui concerne leurs dis­po­si­tions rela­tives à la pro­tec­tion des don­nées et contrats. eco­no­mie­suisse répond aux ques­tions les plus pres­santes en col­la­bo­ra­tion avec deux avo­cats, Me Cor­ne­lia Sten­gel et Me Luca Stäuble, afin de signa­ler aux entre­prises suisses les mesures à prendre en lien avec l’en­trée en vigueur de la nou­velle loi sur la pro­tec­tion des don­nées (LPD).

Le pré­sent tour d’ho­ri­zon a pour seul but d’in­for­mer et de sen­si­bi­li­ser les per­sonnes inté­res­sées. Il ne rem­place pas un conseil juri­dique. eco­no­mie­suisse ne pourra être tenue pour res­pon­sable des actions ou omis­sions consé­cu­tives à la lec­ture de cet article.

FAQ

La nou­velle loi (nLPD) vise à pro­té­ger la per­son­na­lité et les droits fon­da­men­taux des per­sonnes phy­siques éta­blies en Suisse et dont les don­nées font l’ob­jet d’un trai­te­ment par des pri­vés (socié­tés pri­vées) ou par l’État. Les don­nées des per­sonnes morales ne seront plus pro­té­gées. L’idée sous-jacente est d’of­frir aux per­sonnes concer­nées une trans­pa­rence accrue et ainsi de ren­for­cer leurs droits sur leurs propres don­nées («auto­dé­ter­mi­na­tion infor­ma­tion­nelle»). La nou­velle loi vise aussi à pro­mou­voir les mesures de pré­ven­tion et la res­pon­sa­bi­lité indi­vi­duelle des res­pon­sables du trai­te­ment de don­nées. Pour ce faire, la loi ren­force la sur­veillance de la pro­tec­tion des don­nées et déve­loppe les dis­po­si­tions pénales. Elle ins­taure éga­le­ment de nou­veaux devoirs pour les entre­prises, notam­ment en cas de col­lecte, de perte ou d’uti­li­sa­tion abu­sive de don­nées per­son­nelles.

Bien que la nLPD s’ap­plique sur le ter­ri­toire de la Suisse, elle a éga­le­ment une por­tée extra­ter­ri­to­riale puis­qu’elle s’ap­plique aux états de fait qui se pro­duisent à l’étran­ger et qui déploient des effets en Suisse (art. 3). Autre­ment dit, si le pro­ces­sus de trai­te­ment de don­nées per­son­nelles a lieu hors de Suisse, mais qu’il concerne des per­sonnes phy­siques éta­blies en Suisse et pro­duit des effets en Suisse (ce cri­tère devrait être pré­cisé dans l’or­don­nance), le res­pon­sable du trai­te­ment des don­nées en ques­tion est tenu de res­pec­ter la nou­velle légis­la­tion suisse. Il doit en outre nom­mer, à cer­taines condi­tions, un repré­sen­tant légal en Suisse (art. 14 et 15 nLPD).

Exemple: une entre­prise a son siège à l’étran­ger et traite des don­nées de per­sonnes phy­siques éta­blies en Suisse depuis l’étran­ger. Dans ce cas, il faut éva­luer chaque situa­tion. La nLPD s’ap­plique si le trai­te­ment de don­nées en Suisse est «sen­sible». Le RGPD exa­mine, par exemple, si des don­nées sont trai­tées en vue de conce­voir une offre de biens ou de ser­vices des­ti­nées à des per­sonnes au sein de l’UE.

La loi suisse sur la pro­tec­tion des don­nées actuelle date de 1992. Depuis, la col­lecte et l’uti­li­sa­tion de don­nées per­son­nelles croissent à mesure que l’éco­no­mie et la société se numé­risent. À l’échelle mon­diale et en par­ti­cu­lier au sein de l’UE, la pro­tec­tion des don­nées a été consi­dé­ra­ble­ment ren­for­cée et les orga­ni­sa­tions inter­na­tio­nales ont durci leurs normes mini­males en la matière. Pour la Suisse, il était donc néces­saire d’adap­ter sa loi de 1992 aux nou­veaux modes de consom­ma­tion (achats en ligne, réseaux sociaux, etc.), aux déve­lop­pe­ments tech­no­lo­giques (numé­ri­sa­tion, intel­li­gence arti­fi­cielle, etc.) et aux normes inter­na­tio­nales.

En adop­tant son règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD), l’Union euro­péenne a mis en place un nou­veau stan­dard à l’échelle inter­na­tio­nale. Entré en vigueur le 25 mai 2018, ce règle­ment fait par­ler de lui dans le monde entier en rai­son de sa por­tée extra­ter­ri­to­riale. De nom­breuses entre­prises suisses tombent dans le champ d’ap­pli­ca­tion du RGPD, en rai­son de leur orien­ta­tion sur les mar­chés de l’UE ou de l’EEE. À cela s’ajoute que le RGPD pré­voit que des don­nées puissent être trans­fé­rées vers un autre État uni­que­ment si celui-ci pré­sente un niveau de pro­tec­tion des don­nées «adé­quat» du point de vue de l’UE. Une cir­cu­la­tion des don­nées fluide en pro­ve­nance de l’UE est par­ti­cu­liè­re­ment impor­tante pour des pays comme la Suisse, qui entre­tiennent des rela­tions éco­no­miques très étroites avec l’UE.

Un objec­tif impor­tant de la révi­sion de la LPD était donc d’éla­bo­rer une solu­tion coor­don­née au niveau inter­na­tio­nal – «équi­va­lente» aux yeux de l’UE – qui favo­rise les déve­lop­pe­ments tech­no­lo­giques en lien avec l’éco­no­mie des don­nées et qui, en même temps, n’aban­donne pas les atouts de la légis­la­tion actuelle.

La nou­velle loi déve­loppe notam­ment les obli­ga­tions en matière d’in­for­ma­tion et les droits des per­sonnes concer­nées. Elle règle éga­le­ment ce qu’on appelle le «pro­fi­lage». Ce der­nier couvre tout genre de trai­te­ment auto­ma­tisé de don­nées per­son­nelles en vue d’éva­luer, d’ana­ly­ser ou de pré­dire le com­por­te­ment d’une per­sonne phy­sique (en par­ti­cu­lier le ren­de­ment au tra­vail, la situa­tion éco­no­mique, la santé, les inté­rêts, la loca­li­sa­tion, par exemple). Des consé­quences juri­diques plus strictes ne s’ap­pliquent qu’en cas de pro­fi­lage pré­sen­tant un risque élevé pour la per­son­na­lité de la per­sonne concer­née.

La Suisse dis­pose-t-elle d’un niveau de pro­tec­tion des don­nées «adé­quat» du point de vue de l’UE?

La Suisse est un «pays tiers» du point de vue de l’UE. Pour que le trans­fert de don­nées vers un pays tiers soit pos­sible, une déci­sion de la Com­mis­sion euro­péenne rela­tive à l’adé­qua­tion du dis­po­si­tif suisse est néces­saire. La Suisse dis­pose d’une telle déci­sion, mais celle-ci se fonde sur l’an­cienne légis­la­tion euro­péenne. L’UE exa­mine actuel­le­ment si la nou­velle LPD est éga­le­ment adé­quate au regard du RGPD. Avec sa révi­sion, la Suisse a nor­ma­le­ment créé les condi­tions per­met­tant à l’UE d’ac­cor­der l’adé­qua­tion. En rai­son d’une récente juris­pru­dence de l’UE sur la cir­cu­la­tion de don­nées vers des pays tiers, mais pro­ba­ble­ment aussi pour des rai­sons poli­tiques, la déci­sion annon­cée pour 2020 a été repor­tée.

Enfin, il ne faut pas oublier que la moder­ni­sa­tion du droit suisse s’ins­crit dans un contexte inter­na­tio­nal où les citoyens et les consom­ma­teurs dans le monde entier exigent une meilleure pro­tec­tion de leurs don­nées per­son­nelles et un contrôle accru sur ces don­nées. Cette ten­dance ne s’ob­serve pas uni­que­ment dans l’UE, mais dans de nom­breux pays, dont le Japon. La Cali­for­nie a durci sa légis­la­tion en matière de pro­tec­tion des don­nées, en se fon­dant en par­tie sur la norme euro­péenne.

Selon toute vrai­sem­blance, la nLPD devrait entrer en vigueur au second semestre 2022. Dans la mesure où les tra­vaux entou­rant les ordon­nances ne sont pas ter­mi­nés (consul­ta­tion pré­vue en juin 2021), cette période n’a pas encore été confir­mée et cer­taines sources tablent sur une entrée en vigueur plus tar­dive. Cela dit, la loi ne pré­voit pas de période de tran­si­tion, aussi les entre­prises doivent-elles pro­cé­der aux ajus­te­ments néces­saires rapi­de­ment.

La nou­velle LPD s’ins­pire du RGPD, mais pré­sente quelques par­ti­cu­la­ri­tés. Dans la plu­part des cas, la loi suisse est moins for­ma­liste et a des exi­gences moindres par rap­port au RGPD. Il y a cepen­dant cer­tains points où la nou­velle loi suisse sera plus stricte que le RGPD. Il s’agit notam­ment du champ d’ap­pli­ca­tion maté­riel (art. 2 nLPD), du devoir d'in­for­ma­tion lors de la col­lecte de don­nées per­son­nelles (art. 19 nLPD), des amendes pour les per­sonnes phy­siques (art. 60 ss. nLPD) et de la défi­ni­tion des don­nées per­son­nelles par­ti­cu­liè­re­ment sen­sibles.

Non. Toutes les entre­prises, sans excep­tion, sont concer­nées par la nou­velle LPD. Quelle que soit sa taille, une entre­prise pos­sède nombre de don­nées sur ses clients, par­te­naires, four­nis­seurs et col­la­bo­ra­teurs. Avec la numé­ri­sa­tion de l’éco­no­mie, la quan­tité de don­nées à trai­ter par les entre­prises, PME com­prises, ira gran­dis­sant. Toutes les entre­prises doivent se pré­pa­rer à l’en­trée en vigueur de la nou­velle loi. Cette loi s’ali­gnant sur les stan­dards euro­péens, cela est d’au­tant plus vrai pour les entre­prises suisses qui, dans le cadre leurs acti­vi­tés, n’ont pas encore adapté leur dis­po­si­tif de pro­tec­tion des don­nées au RGPD.

De plus, il convient de tenir compte du fait que la cri­mi­na­lité dans l’es­pace numé­rique est en constante aug­men­ta­tion. Le nombre de cybe­rat­taques aug­mente et aucune entre­prise n’est à l’abri. Or la nou­velle loi sur la pro­tec­tion des don­nées impose aux entre­prises de prendre les mesures orga­ni­sa­tion­nelles et tech­niques néces­saires pour garan­tir la sécu­rité des don­nées et évi­ter autant que pos­sible leur uti­li­sa­tion abu­sive.

Toute entre­prise doit se pré­pa­rer à l’en­trée en vigueur de la nou­velle loi. Un recen­se­ment des don­nées per­son­nelles trai­tées au sein de l’en­tre­prise et une éva­lua­tion des risques sont néces­saires pour déter­mi­ner les exi­gences de mise en confor­mité. Les tra­vaux néces­saires pour la mise en confor­mité peuvent être iden­ti­fiés au moyen d’une ana­lyse des lacunes (com­pa­rai­son de l’état actuel et de l’ob­jec­tif). Les exi­gences de mise en confor­mité sont plus éle­vées, par exemple, lorsque:

  • Les entre­prises traitent un grand volume de don­nées per­son­nelles. Exemple: Des socié­tés spé­cia­li­sées dans la vente en ligne ou dans l’im­port/export ont un por­te­feuille de clients impor­tant géné­rant un volume de don­nées per­son­nelles consé­quent.
  • Les entre­prises traitent des don­nées per­son­nelles par­ti­cu­liè­re­ment sen­sibles (au sens de l’art. 5 nLPD). Exemple: Les entre­prises trai­tant des don­nées per­son­nelles rela­tives aux opi­nions poli­tiques, reli­gieuses, à la santé, aux don­nées géné­tiques, raciales, à l’aide sociale, aux pour­suites, au pro­fi­lage, etc. sont concer­nées.

Dans ces cas, les exi­gences rela­tives au trai­te­ment licite des don­nées per­son­nelles ou le risque de vio­la­tion des droits de la per­son­na­lité sont plus éle­vés que dans le cas d’en­tre­prises trai­tant les don­nées d’un nombre limité de col­la­bo­ra­teurs, de four­nis­seurs, de clients, etc.

Ce tra­vail de mise en confor­mité néces­si­tera, selon les cas et le volume de don­nées per­son­nelles trai­tées, le déve­lop­pe­ment d’une cer­taine exper­tise ou le recours à des experts et l’éta­blis­se­ment de pro­cé­dures internes pour répondre aux exi­gences de la loi. Il ne faut pas sous-esti­mer les res­sources maté­rielles (logi­ciels de ges­tion de don­nées, etc.), humaines (nom­mer un res­pon­sable des ques­tions rela­tives à la pro­tec­tion des don­nées, etc.) et le temps qui doivent y être consa­crés.

Selon l’am­pleur de la mise en confor­mité, les entre­prises sont vive­ment encou­ra­gées à faire appel aux ser­vices d’ex­perts en infor­ma­tique et d’avo­cats ainsi qu’aux for­ma­tions pro­po­sées par les Chambres de com­merce.

Excep­tion faite de cer­taines obli­ga­tions, la nou­velle loi ne pré­voit pas de délai de tran­si­tion pour se mettre en confor­mité. Ainsi, une grande par­tie des devoirs des entre­prises ins­crits dans la loi s’ap­pli­que­ront dès l’en­trée en vigueur de la nLPD. Il est impor­tant et recom­mandé de se pré­pa­rer bien à l’avance et d’iden­ti­fier dès à pré­sent les éven­tuelles mesures à prendre. Ainsi, afin de s’as­su­rer qu’une pro­tec­tion effi­cace des don­nées sera en place lorsque la nLPD entrera en vigueur, cer­taines actions peuvent d’ores et déjà être entre­prises (déve­lop­per l’ex­per­tise interne en temps utile, éla­bo­rer des direc­tives internes et adap­ter des docu­ments tels que les décla­ra­tions en matière de pro­tec­tion des don­nées et les contrats avec des par­te­naires et des res­pon­sables du trai­te­ment des don­nées).

La nou­velle loi intro­duit de nou­velles obli­ga­tions pour les entre­prises. Les prin­ci­pales sont:

  • mettre en place des mesures tech­niques et orga­ni­sa­tion­nelles afin que le trai­te­ment des don­nées res­pecte les pres­crip­tions de pro­tec­tion des don­nées par défaut, en par­ti­cu­lier afin que les prin­cipes éta­blis pour le trai­te­ment soient res­pec­tés et que celui-ci soit limité au mini­mum néces­saire pour atteindre l’ob­jec­tif visé (art. 7 nLPD);
  • éta­blir et tenir un registre des acti­vi­tés de trai­te­ment des don­nées. Les entre­prises de moins de 250 col­la­bo­ra­teurs béné­fi­cient ici d’une excep­tion, mais seule­ment si leur trai­te­ment de don­nées com­porte un faible risque d’at­teinte à la per­son­na­lité des per­sonnes concer­nées (cela sera pré­cisé dans l’or­don­nance, art. 12 nLPD);
  • noti­fier le pré­posé fédé­ral à la pro­tec­tion des don­nées et à la trans­pa­rence (PFPDT) et la per­sonne concer­née en cas de vio­la­tion de la sécu­rité des don­nées (art. 24 nLPD);
  • effec­tuer une ana­lyse d’im­pact rela­tive à la pro­tec­tion des don­nées per­son­nelles lorsque le trai­te­ment des don­nées pré­sente un risque élevé (art. 22 nLPD);
  • infor­mer en cas de col­lecte de don­nées et indi­quer le nom du ou des États en cas de com­mu­ni­ca­tion à l’étran­ger (art. 19 nLPD). Sur ce point, la nLPD est plus stricte que le RGPD;
  • infor­mer en cas de déci­sion indi­vi­duelle auto­ma­ti­sée – c’est-à-dire une déci­sion prise à l’égard d’une per­sonne, par le biais d’al­go­rithmes appli­quée à ses don­nées per­son­nelles sans qu’au­cun être humain n’in­ter­vienne dans le pro­ces­sus (art. 21 nLPD).

L’ob­jec­tif prin­ci­pal de cette loi est de ren­for­cer la trans­pa­rence et la pro­tec­tion des don­nées per­son­nelles des per­sonnes concer­nées. Dans cette optique, les per­sonnes pri­vées béné­fi­cie­ront des nou­veaux droits sui­vants:

  • le droit d’être informé du trai­te­ment de ses don­nées per­son­nelles (art. 25-27 nLPD);
  • le droit à la remise ou à la trans­mis­sion des don­nées per­son­nelles (por­ta­bi­lité des don­nées) (art. 28 et 29 nLPD)
  • le droit de ne pas faire l’ob­jet d’une déci­sion indi­vi­duelle auto­ma­ti­sée – c’est-à-dire une déci­sion prise à l’égard d’une per­sonne, par le biais d’al­go­rithmes appli­quée à ses don­nées per­son­nelles sans qu’au­cun être humain n’in­ter­vienne dans le pro­ces­sus (art. 21 nLPD).

Les autres chan­ge­ments par rap­port à la loi actuelle sont les sui­vants:

  • Don­nées per­son­nelles: Cette notion est désor­mais réduite puis­qu’elle ne com­prend plus les don­nées des per­sonnes morales et exclut ces der­nières du champ de pro­tec­tion de la LPD (art. 1 et art. 5, let. a nLPD).
  • Don­nées per­son­nelles sen­sibles: Elles incluent désor­mais les don­nées géné­tiques et bio­mé­triques (per­met­tant une iden­ti­fi­ca­tion unique) (art. 5, let. c nLPD).
  • Res­pon­sable du trai­te­ment: Il cor­res­pond au «maître du fichier» actuel et au «res­pon­sable du trai­te­ment» selon le RGPD. Il s’agit d’une per­sonne pri­vée (sou­vent une entre­prise) ou d’un organe fédé­ral qui, seul ou conjoin­te­ment avec d’autres, déter­mine les fina­li­tés et les moyens du trai­te­ment de don­nées per­son­nelles (art. 5, let. j nLPD).
  • Extra­ter­ri­to­ria­lité: Exten­sion du champ d’ap­pli­ca­tion de la nLPD aux états de fait qui se pro­duisent à l’étran­ger et qui déploient des effets en Suisse (art. 3, al. 1 nLPD).
  • Nomi­na­tion d’un repré­sen­tant en Suisse pour des entre­prises étran­gères: Cette obli­ga­tion s’ap­plique lors­qu’un res­pon­sable du trai­te­ment privé a son siège ou son domi­cile à l’étran­ger et que celui-ci effec­tue un trai­te­ment de don­nées per­son­nelles concer­nant des per­sonnes en Suisse et que d’autres condi­tions sont rem­plies (art. 14 f. nLPD).

En cas de non-res­pect de la loi, les contre­ve­nants risquent une amende allant jus­qu’à 250 000 francs. Contrai­re­ment au RGPD, les sanc­tions pré­vues par la nLPD ne sont pas diri­gées contre l’en­tre­prise fau­tive, mais contre la per­sonne phy­sique en charge de la pro­tec­tion des don­nées (direc­teur ou membre du conseil d’ad­mi­nis­tra­tion, par exemple). Seul un com­por­te­ment (pou­vant être) inten­tion­nel est sanc­tionné (art. 60 ss. nLPD).

Igno­rer la (nou­velle) loi sur la pro­tec­tion des don­nées peut avoir des consé­quences non seule­ment pour le res­pon­sable au sein d’une entre­prise, mais aussi pour l’en­tre­prise elle-même, en par­ti­cu­lier sa répu­ta­tion. Le pré­posé fédé­ral à la pro­tec­tion des don­nées (PFPDT) peut inter­ve­nir et prendre des mesures admi­nis­tra­tives (ordon­ner la modi­fi­ca­tion, la sus­pen­sion ou la ces­sa­tion d’un trai­te­ment ou l’ef­fa­ce­ment de don­nées per­son­nelles, par exemple).

Il est tout d’abord néces­saire de s’y pré­pa­rer dès que pos­sible, et ce à l’aide d’une ana­lyse des lacunes afin de s’adap­ter étape par étape à ce nou­veau régime régle­men­taire. Selon la taille de l’en­tre­prise, cela peut prendre plu­sieurs mois. Des solu­tions prag­ma­tiques sont néan­moins de rigueur, c’est-à-dire qu’il faut com­men­cer par mettre en œuvre les exi­gences mini­males de la loi (un registre, l’obli­ga­tion d’in­for­mer, etc.).

Un plan d’ac­tion devrait repo­ser sur les trois piliers sui­vants: sécu­rité infor­ma­tique, aspects juri­diques et gou­ver­nance des don­nées. Concer­nant le der­nier point, eco­no­mie­suisse a mis à dis­po­si­tion une charte de l’éco­no­mie suisse pour une ges­tion res­pon­sable des don­nées. Au besoin, les entre­prises devraient faire appel à des pro­fes­sion­nels en sécu­rité infor­ma­tique et pro­tec­tion des don­nées pour éla­bo­rer en détail des pro­grammes de confor­mité qui répondent aux nou­velles obli­ga­tions pour les entre­prises.

Sans entrer dans les consi­dé­ra­tions tech­niques, juri­diques et infor­ma­tiques d’une mise en confor­mité avec la nLPD, un plan d'ac­tion prag­ma­tique devrait rete­nir les prin­cipes sui­vants:

  1. Un état des lieux glo­bal est pri­mor­dial
    Les entre­prises devront être en mesure de répondre à tout moment à toute demande d’in­for­ma­tion, c’est-à-dire qu’en cas de col­lecte de don­nées per­son­nelles, elles doivent four­nir des infor­ma­tions sur l’iden­tité du res­pon­sable du trai­te­ment, la fina­lité du trai­te­ment, les éven­tuels des­ti­na­taires des don­nées, etc. Elles doivent aussi être en mesure de res­pec­ter les droits des per­sonnes concer­nées, pour four­nir à une per­sonne concer­née des infor­ma­tions sur le trai­te­ment de ses don­nées per­son­nelles. Cela sup­pose que les entre­prises sachent quelles don­nées per­son­nelles sont trai­tées et à quelles fins, si ces don­nées sont com­mu­ni­quées à d’autres pays et à d’autres per­sonnes, etc. Par consé­quent, les entre­prises doivent com­men­cer par faire un état des lieux de toutes les don­nées trai­tées. Le nou­veau registre obli­ga­toire peut ser­vir de point de départ. Un tel état des lieux est un effort col­lec­tif de tous les col­la­bo­ra­teurs impli­qués dans le trai­te­ment de don­nées per­son­nelles.
  2. Éva­luer les risques
    Plus le volume de don­nées per­son­nelles trai­tées par une entre­prise est impor­tant et plus les don­nées per­son­nelles sont sen­sibles, plus les exi­gences de confor­mité en matière de pro­tec­tion des don­nées sont éle­vées et plus les sanc­tions poten­tielles et les atteintes à la répu­ta­tion en cas de non-res­pect sont impor­tantes (cf. ques­tion 6).
  3. Sen­si­bi­li­ser
    Quelle que soit la taille de l’en­tre­prise: tous les col­la­bo­ra­teurs, de l’ap­prenti au chef d’en­tre­prise, doivent être sen­si­bi­li­sés aux enjeux de la pro­tec­tion des don­nées. Récep­tion­niste, chargé de pro­jets, res­pon­sable des res­sources humaines, consul­tant, indé­pen­dant, chef d’en­tre­prise – des col­la­bo­ra­teurs à tous les éche­lons d’une entre­prise traitent régu­liè­re­ment des don­nées per­son­nelles et en assument la res­pon­sa­bi­lité sur le plan pénal. Exemple: Un récep­tion­niste tient un registre des visi­teurs d’une entre­prise. En col­lec­tant et en archi­vant les noms et pré­noms des per­sonnes qui viennent dans l’en­tre­prise, celui-ci traite déjà des don­nées per­son­nelles.
  4. Trans­pa­rence et infor­ma­tion
    La trans­pa­rence en matière de trai­te­ment des don­nées reste un prin­cipe impor­tant avec la nou­velle LPD. Il y a aussi l’obli­ga­tion d’in­for­ma­tion en cas de col­lecte de don­nées. Le res­pon­sable du trai­te­ment est tenu d’in­for­mer les per­sonnes concer­nées de divers aspects du trai­te­ment de don­nées. L’éta­blis­se­ment et la mise à jour de la décla­ra­tion en matière de pro­tec­tion des don­nées sont essen­tiels en vue de l’en­trée en vigueur de la nLPD (sur le site web de l’en­tre­prise, mais aussi dans la cor­res­pon­dance).
  5. Sécu­rité infor­ma­tique
    Les entre­prises doivent s’as­su­rer que la sécu­rité des sys­tèmes infor­ma­tiques de l’en­tre­prise et des appli­ca­tions logi­cielles répond aux exi­gences de la nou­velle loi. Cela com­prend des mesures tech­niques et orga­ni­sa­tion­nelles visant à pré­ve­nir les cybe­rat­taques, le vol de don­nées et autres pertes de don­nées.
  6. Orga­ni­sa­tion et pro­cé­dures internes
    Afin de répondre confor­mé­ment aux exi­gences de la nou­velle loi, aux éven­tuelles sol­li­ci­ta­tions externes (demandes d’in­for­ma­tion ou d’ef­fa­ce­ment des don­nées per­son­nelles d’un client) ou aux inci­dents impli­quant la fuite, la perte ou l’uti­li­sa­tion abu­sive de don­nées per­son­nelles, il convient d’éta­blir des pro­cé­dures internes adap­tées à la struc­ture de chaque entre­prise. Selon l’in­ci­dent, ces pro­cé­dures doivent défi­nir quel(s) col­la­bo­ra­teur(s) (sup­pléants inclus) doivent prendre quelle(s) mesure(s) et dans quel(s) délai(s). Exemple: dans le cas d’une vio­la­tion de la sécu­rité des don­nées, les pro­cé­dures doivent éta­blir les situa­tions et cri­tères per­met­tant d’éva­luer si un inci­dent doit être signalé aux auto­ri­tés. Ces pro­cé­dures doivent en outre com­por­ter des expli­ca­tions claires indi­quant quel col­la­bo­ra­teur doit signa­ler l’in­ci­dent, dans quel délai, sous quelle forme et à quelle auto­rité. Ce genre de pro­cé­dures peut prendre la forme de listes de contrôle (check-lists).
  7. Éta­blir un registre des acti­vi­tés
    La nLPD pré­voit que le res­pon­sable du trai­te­ment et le sous-trai­tant doivent cha­cun tenir un registre de leurs acti­vi­tés. Cette obli­ga­tion concerne toutes les entre­prises. Le Conseil fédé­ral peut tou­te­fois pré­voir des excep­tions pour les entre­prises de moins de 250 col­la­bo­ra­teurs (art. 12, al. 2 nLPD). Ces excep­tions seront pré­ci­sées dans l’or­don­nance, dont le pro­jet est tou­jours en cours d’éla­bo­ra­tion. L’éta­blis­se­ment de tels réper­toires sup­pose que tous les trai­te­ments de don­nées per­son­nelles au sein d’une entre­prise soient iden­ti­fiés et sys­té­ma­ti­que­ment ras­sem­blés. En par­ti­cu­lier dans des cas où un tel registre n’est pas encore tenu et où de nom­breuses opé­ra­tions dif­fé­rentes sont effec­tuées, cette pro­cé­dure implique un tra­vail consi­dé­rable et doit donc être démar­rée à un stade pré­coce.
  8. Révi­sion des contrats
    Au vu des chan­ge­ments qui s’opé­re­ront avec la nou­velle loi et d’ici son entrée en vigueur, les entre­prises devraient exa­mi­ner – et si néces­saire, adap­ter – les contrats pas­sés avec leurs clients, four­nis­seurs, pres­ta­taires de ser­vices mais éga­le­ment avec leurs col­la­bo­ra­teurs. Il faut s’y prendre à temps. Une mise en œuvre rapide est éga­le­ment judi­cieuse, car il faut s’at­tendre à ce que de nom­breux par­te­naires contrac­tuels exigent dans les mois à venir des contrats – ou adap­ta­tions aux contrats déjà exis­tants – incluant des clauses conformes à la nou­velle loi sur la pro­tec­tion des don­nées.
  9. Res­ter infor­més
    Pour com­prendre les impli­ca­tions de la mise en confor­mité selon la nLPD, il est néces­saire de pou­voir assi­mi­ler les enjeux et les impli­ca­tions concrètes de la nou­velle loi sur les pro­ces­sus de tra­vail. Infor­mez-vous en consul­tant les sites des auto­ri­tés de pro­tec­tion des don­nées (PFPDT), des blogs et des revues spé­cia­li­sés et par­ti­ci­pez aux dif­fé­rentes for­ma­tions (pro­po­sées par des Chambres de com­merce, par exemple).