Datenschutzgesetz Schweiz

Pro­tec­tion des don­nées: tour d’ho­ri­zon de la nou­velle loi

La révi­sion de la loi suisse sur la pro­tec­tion des don­nées (LPD) est ache­vée. Les nou­velles règles et les dis­po­si­tions d’exé­cu­tion conte­nues dans la nou­velle ordon­nance sur la pro­tec­tion des don­nées (OPDo) et la nou­velle ordon­nance sur les cer­ti­fi­ca­tions en matière de pro­tec­tion des don­nées (OCPD) entrent en vigueur le 1er sep­tembre 2023. Aucune période de tran­si­tion n’est pré­vue.

Il est recom­mandé aux entre­prises suisses de se fami­lia­ri­ser au plus vite avec la nou­velle loi et ses exi­gences et d’adap­ter leur dis­po­si­tif de pro­tec­tion des don­nées, en par­ti­cu­lier leurs dis­po­si­tions rela­tives à la pro­tec­tion des don­nées et leurs contrats. eco­no­mie­suisse répond aux ques­tions les plus pres­santes en col­la­bo­ra­tion avec deux avo­cats, Me Cor­ne­lia Sten­gel et Me Luca Stäuble, afin de signa­ler aux entre­prises suisses les mesures à prendre en lien avec l’en­trée en vigueur de la nou­velle loi sur la pro­tec­tion des don­nées.

Le pré­sent tour d’ho­ri­zon a pour seul but d’in­for­mer et de sen­si­bi­li­ser les per­sonnes inté­res­sées. Il ne rem­place tou­te­fois pas un conseil juri­dique. eco­no­mie­suisse ne pourra être tenue pour res­pon­sable pour les actions ou omis­sions consé­cu­tives à la lec­ture de cet article.

FAQ

La nou­velle loi (nLPD) vise à pro­té­ger la per­son­na­lité et les droits fon­da­men­taux des per­sonnes phy­siques éta­blies en Suisse et dont les don­nées font l’ob­jet d’un trai­te­ment par des pri­vés (socié­tés pri­vées) ou par l’État. Les don­nées des per­sonnes morales ne seront plus pro­té­gées. L’idée sous-jacente est d’of­frir aux per­sonnes concer­nées une trans­pa­rence accrue et ainsi de ren­for­cer leurs droits sur leurs propres don­nées («auto­dé­ter­mi­na­tion infor­ma­tion­nelle»). La nou­velle loi vise aussi à pro­mou­voir les mesures de pré­ven­tion et la res­pon­sa­bi­lité indi­vi­duelle des res­pon­sables du trai­te­ment de don­nées. Pour ce faire, la loi ren­force la sur­veillance de la pro­tec­tion des don­nées et déve­loppe les dis­po­si­tions pénales. Elle ins­taure éga­le­ment de nou­veaux devoirs pour les entre­prises, notam­ment en cas de col­lecte, de perte ou d’uti­li­sa­tion abu­sive de don­nées per­son­nelles.

La loi suisse sur la pro­tec­tion des don­nées actuelle date de 1992. Depuis, la col­lecte et l’uti­li­sa­tion de don­nées per­son­nelles prennent de l’am­pleur à mesure que l’éco­no­mie et la société se numé­risent. À l’échelle mon­diale et en par­ti­cu­lier au sein de l’UE, la pro­tec­tion des don­nées a été consi­dé­ra­ble­ment ren­for­cée et les orga­ni­sa­tions inter­na­tio­nales ont durci leurs normes mini­males en la matière. Pour la Suisse, il était donc néces­saire d’adap­ter sa loi de 1992 aux nou­veaux modes de consom­ma­tion (achats en ligne, réseaux sociaux, etc.), aux déve­lop­pe­ments tech­no­lo­giques (numé­ri­sa­tion, intel­li­gence arti­fi­cielle, etc.) et aux normes inter­na­tio­nales.

En adop­tant son règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD), l’Union euro­péenne a mis en place un nou­veau stan­dard à l’échelle inter­na­tio­nale. Entré en vigueur le 25 mai 2018, ce règle­ment fait par­ler de lui dans le monde entier en rai­son de sa por­tée extra­ter­ri­to­riale. De nom­breuses entre­prises suisses tombent dans le champ d’ap­pli­ca­tion du RGPD, en rai­son de leur orien­ta­tion sur les mar­chés de l’UE ou de l’EEE. À cela s’ajoute que le RGPD pré­voit que des don­nées per­son­nelles puissent être trans­fé­rées vers un État tiers uni­que­ment si celui-ci pré­sente un niveau de pro­tec­tion des don­nées «adé­quat» du point de vue de l’UE. Une cir­cu­la­tion des don­nées fluide en pro­ve­nance de l’UE est par­ti­cu­liè­re­ment impor­tante pour des pays comme la Suisse, qui entre­tiennent des rela­tions éco­no­miques très étroites avec l’UE.

Un objec­tif impor­tant de la révi­sion de la LPD était donc d’éla­bo­rer une solu­tion coor­don­née au niveau inter­na­tio­nal – «équi­va­lente» aux yeux de l’UE – qui favo­rise les déve­lop­pe­ments tech­no­lo­giques en lien avec l’éco­no­mie des don­nées et qui, en même temps, n’aban­donne pas les atouts de la légis­la­tion actuelle.

 

La Suisse dis­pose-t-elle d’un niveau de pro­tec­tion des don­nées «adé­quat» du point de vue de l’UE?

La Suisse est un «pays tiers» du point de vue de l’UE. Pour que le trans­fert de don­nées vers un pays tiers soit pos­sible, une déci­sion de la Com­mis­sion euro­péenne rela­tive à l’adé­qua­tion du dis­po­si­tif suisse est néces­saire. La Suisse dis­pose d’une telle déci­sion, mais celle-ci se fonde sur l’an­cienne légis­la­tion euro­péenne. Tou­te­fois, en révi­sant la LPD, la Suisse devrait avoir créé les condi­tions néces­saires pour que la Com­mis­sion euro­péenne conti­nue de qua­li­fier la loi suisse sur la pro­tec­tion des don­nées (révi­sée) d’adé­quate. La (nou­velle) déci­sion quant à l’adé­qua­tion est actuel­le­ment en attente.

Enfin, il ne faut pas oublier que la moder­ni­sa­tion du droit suisse s’ins­crit dans un contexte inter­na­tio­nal où les citoyens et les consom­ma­teurs dans le monde entier exigent une meilleure pro­tec­tion de leurs don­nées per­son­nelles et un contrôle accru sur ces don­nées. Cette ten­dance ne s’ob­serve d’ailleurs pas uni­que­ment dans l’UE, mais dans de nom­breux pays, dont le Nou­velle-Zélande. La Cali­for­nie a durci sa légis­la­tion en matière de pro­tec­tion des don­nées, en se fon­dant en par­tie sur la norme de l’UE.

Bien que la nLPD s’ap­plique sur le ter­ri­toire de la Suisse, elle a éga­le­ment une por­tée extra­ter­ri­to­riale (prin­cipe des effets) puis­qu’elle s’ap­plique à des états de fait qui se pro­duisent à l’étran­ger et déploient des effets en Suisse (art. 3). Autre­ment dit, si le pro­ces­sus de trai­te­ment de don­nées per­son­nelles a lieu hors de Suisse, mais qu’il concerne des per­sonnes phy­siques éta­blies en Suisse et pro­duit des effets en Suisse, le res­pon­sable du trai­te­ment des don­nées en ques­tion est tenu de res­pec­ter la nLPD. Il doit en outre nom­mer, à cer­taines condi­tions, un repré­sen­tant légal en Suisse (art. 14 et 15 nLPD).

Exemple: Une entre­prise ayant son siège à l’étran­ger traite des don­nées de per­sonnes phy­siques éta­blies en Suisse depuis l’étran­ger. Dans ce cas, il faut éva­luer chaque situa­tion. La nLPD s’ap­plique que le trai­te­ment de don­nées soit «sen­sible» ou non en Suisse – cela devrait déjà être le cas en règle géné­rale lorsque des don­nées sont trai­tées pour un cer­tain nombre de per­sonnes se trou­vant en Suisse. Le RGPD, pour sa part, se fonde – pour autant qu’il n’y ait pas de bureau dans l’UE – sur le fait de savoir si le trai­te­ment des don­nées est lié à l’orien­ta­tion «mani­fes­te­ment inten­tion­nelle» de l’offre de biens ou de ser­vices vers des per­sonnes dans l’UE (la bou­tique en ligne est orien­tée dans ce sens, par exemple) ou à une obser­va­tion des com­por­te­ments en rela­tion avec des per­sonnes dans l’UE (uti­li­sa­tion de tech­no­lo­gies de web­tra­cking, par exemple). Dès lors, la por­tée géo­gra­phique de la nou­velle régle­men­ta­tion suisse est encore plus large que celle du RGPD.

Le 31 août 2022, le Conseil fédé­ral a publié l’or­don­nance sur la pro­tec­tion des don­nées (OPDo) et fixé l’en­trée en vigueur des nou­velles règles au 1er sep­tembre 2023. Sachant que la loi ne pré­voit pas de période de tran­si­tion, c’est le bon moment pour se pen­cher sur la mise en œuvre des adap­ta­tions néces­saires.

La nou­velle LPD s’ins­pire du RGPD, mais pré­sente quelques par­ti­cu­la­ri­tés. Dans la plu­part des cas, la loi suisse est moins for­ma­liste et a des exi­gences moindres par rap­port au RGPD. Ainsi, le prin­cipe selon lequel le trai­te­ment de don­nées per­son­nelles est auto­risé dans la mesure où ses prin­cipes sont res­pec­tés reste valable (art. 6 nLPD). Contrai­re­ment à l’UE, il n’est donc pas néces­saire de dis­po­ser d’une jus­ti­fi­ca­tion (art. 6 RGPD) pour trai­ter des don­nées per­son­nelles.

Sur cer­tains points, cepen­dant, la nou­velle loi suisse sera plus stricte que le RGPD. Il s’agit notam­ment du champ d’ap­pli­ca­tion géo­gra­phique (cf. point 3) et du champ d’ap­pli­ca­tion maté­riel (art. 2 nLPD). Selon la nLPD, ce der­nier englobe tous les trai­te­ments de don­nées (auto­ma­ti­sés et manuels), alors que le RGPD ne s’ap­plique qu’aux sys­tèmes de fichiers pour ce qui concerne les trai­te­ments de don­nées manuels. Ensuite, l’obli­ga­tion d’in­for­mer de la col­lecte de don­nées per­son­nelles selon la nLPD va plus loin que le RGPD dans la mesure où, en cas de trans­mis­sion de don­nées à l’étran­ger, il faut infor­mer sur tous les États des­ti­na­taires (art. 19 nLPD). La nLPD pré­voit éga­le­ment une obli­ga­tion de jour­na­li­ser le trai­te­ment de don­nées auto­ma­tisé et d’éta­blir un règle­ment pour les trai­te­ments auto­ma­ti­sés (art. 4 et 5 s. OPDo). De plus, sous la nLPD – à la dif­fé­rence du RGPD qui pré­voit des amendes exclu­si­ve­ment pour les entre­prises – des sanc­tions s’ap­pliquent aux per­sonnes phy­siques (art. 60 ss. nLPD) et, enfin, la notion de «don­nées per­son­nelles sen­sibles» com­prend deux caté­go­ries sup­plé­men­taires: les pour­suites et sanc­tions admi­nis­tra­tives ou pénales ainsi que des mesures d’aide sociale.

Non. Toutes les entre­prises, sans excep­tion, sont concer­nées par la nou­velle LPD. Quelle que soit la taille d’une entre­prise, elle pos­sède nombre de don­nées sur ses clients, par­te­naires, four­nis­seurs et col­la­bo­ra­teurs. Avec la numé­ri­sa­tion de l’éco­no­mie, la quan­tité de don­nées per­son­nelles à trai­ter par les entre­prises, PME com­prises, ira d’ailleurs gran­dis­sant. Cer­taines des (nou­velles) obli­ga­tions pré­vues par la nLPD dépendent tou­te­fois de l’am­pleur du trai­te­ment des don­nées ainsi que du risque que le trai­te­ment com­porte pour la per­son­na­lité ou les droits fon­da­men­taux des per­sonnes concer­nées. Cette approche fon­dée sur les risques, qui s’ap­plique entre autres à la sécu­rité des don­nées, per­met de prendre des mesures au cas par cas. Tou­te­fois, il va de soi que les PME peuvent aussi trai­ter des don­nées per­son­nelles sen­sibles à grande échelle ou exer­cer d’autres acti­vi­tés de trai­te­ment qui com­portent un risque élevé pour la per­son­na­lité des per­sonnes concer­nées.

Toutes les entre­prises – y com­pris les PME – doivent se pré­pa­rer de manière adé­quate à l’en­trée en vigueur de la nou­velle loi. Cette loi s’ali­gnant sur les stan­dards euro­péens, cela est d’au­tant plus vrai pour les entre­prises suisses qui, dans le cadre leurs acti­vi­tés, n’ont pas encore adapté leur dis­po­si­tif de pro­tec­tion des don­nées au RGPD.

La seule «excep­tion pré­vue pour les PME» concerne les obli­ga­tions de tenir un registre des acti­vi­tés de trai­te­ment. Les PME employant moins de 250 per­sonnes au 1er jan­vier sont exemp­tées de cette obli­ga­tion, pour autant qu’elles ne traitent pas de «don­nées per­son­nelles sen­sibles» à grande échelle et qu'elles ne pra­tiquent pas de «pro­fi­lage à risque élevé». Une entre­prise a néan­moins inté­rêt à tenir un tel registre des acti­vi­tés de trai­te­ment sur une base volon­taire, car celui-ci peut four­nir une vue d’en­semble pré­cieuse des trai­te­ments de don­nées effec­tués dans l’en­tre­prise et ser­vir ainsi de fon­de­ment pour rem­plir d’autres obli­ga­tions, telles que les obli­ga­tions d’in­for­ma­tion vis-à-vis des per­sonnes concer­nées.

La nou­velle loi intro­duit de nou­velles obli­ga­tions. Les prin­ci­pales sont:

  • l’obli­ga­tion de mettre en place des mesures tech­niques et orga­ni­sa­tion­nelles afin que le trai­te­ment des don­nées res­pecte les pres­crip­tions de pro­tec­tion des don­nées dès la concep­tion et par défaut, en par­ti­cu­lier afin que les prin­cipes éta­blis pour le trai­te­ment soient res­pec­tés et que celui-ci soit limité au mini­mum néces­saire pour atteindre l’ob­jec­tif visé (art. 7 nLPD) (cf. les nou­veaux termes au point 12 ci-après);
  • l’obli­ga­tion d’ef­fa­cer (ou d’ano­ny­mi­ser) les don­nées per­son­nelles qui ne sont plus néces­saires pour atteindre les objec­tifs pour­sui­vis et qui ne sont pas sou­mises à une obli­ga­tion légale de conser­va­tion est déjà en vigueur en vertu du prin­cipe de pro­por­tion­na­lité et désor­mais expli­ci­te­ment ancrée dans la loi (art. 6, al. 4, nLPD);
  • l’obli­ga­tion d’éta­blir et tenir un registre des acti­vi­tés de trai­te­ment des don­nées. Les entre­prises de moins de 250 col­la­bo­ra­teurs béné­fi­cient ici d’une excep­tion si leur trai­te­ment des don­nées com­porte un faible risque d’at­teinte à la per­son­na­lité des per­sonnes concer­nées (art. 12 nLPD et point 6 du pré­sent docu­ment). L’OPDo pré­cise qu’il existe un risque élevé lorsque des don­nées per­son­nelles sen­sibles sont trai­tées à grande échelle ou lors­qu’un pro­fi­lage à risque élevé est effec­tué (art. 24);
  • l’obli­ga­tion de noti­fier le pré­posé fédé­ral à la pro­tec­tion des don­nées et à la trans­pa­rence (PFPDT) et la per­sonne concer­née en cas de vio­la­tion de la sécu­rité des don­nées (art. 24 nLPD et art. 15 OPDo). Contrai­re­ment au RGPD (qui pré­voit un délai de 72 heures pour la noti­fi­ca­tion), la nLPD ne fixe pas de délai expli­cite, mais indique que la noti­fi­ca­tion doit être effec­tuée «dans les meilleurs délais». Le contenu obli­ga­toire et la docu­men­ta­tion sont réglés dans l’OPDo (art. 15);
  • l’obli­ga­tion d’ef­fec­tuer au préa­lable une ana­lyse d’im­pact rela­tive à la pro­tec­tion des don­nées lors­qu’il existe un risque élevé pour la per­son­na­lité ou les droits fon­da­men­taux de la per­sonne en rai­son du trai­te­ment de don­nées (art. 22 nLPD et art. 14 OPDo);
  • l’obli­ga­tion d’in­for­mer lors de la col­lecte de don­nées per­son­nelles, que les don­nées soient col­lec­tées direc­te­ment auprès de la per­sonne concer­née ou auprès de tiers (art. 19 ss. nLPD et art. 13 OPDo). À noter que l’in­for­ma­tion rela­tive à la col­lecte de don­nées per­son­nelles doit être simple et com­pré­hen­sible pour les per­sonnes concer­nées. Il convient d’en tenir compte, notam­ment en ce qui concerne l’éla­bo­ra­tion de dis­po­si­tions rela­tives à la pro­tec­tion des don­nées. En ce qui concerne l’obli­ga­tion d’in­for­ma­tion, la nLPD est plus stricte que le RGPD et c’est une excep­tion (cf. aussi le point 5 ci-des­sus). La vio­la­tion (éven­tuel­le­ment) inten­tion­nelle de cette obli­ga­tion est sanc­tion­née par le droit pénal;
  • l’obli­ga­tion d’in­for­mer en cas de déci­sion indi­vi­duelle auto­ma­ti­sée – c’est-à-dire une déci­sion fon­dée exclu­si­ve­ment sur un trai­te­ment auto­ma­tisé et entraî­nant des consé­quences juri­diques pour la per­sonne concer­née ou l’af­fec­tant de manière signi­fi­ca­tive (art. 21 nLPD). La vio­la­tion (éven­tuel­le­ment) inten­tion­nelle de cette obli­ga­tion est sanc­tion­née par le droit pénal;
  • l’obli­ga­tion de jour­na­li­ser le trai­te­ment auto­ma­tisé de don­nées per­son­nelles sen­sibles à grande échelle ou le pro­fi­lage à risque élevé lorsque les mesures pré­ven­tives prises ne per­mettent pas de garan­tir la pro­tec­tion des don­nées (art. 4 OPDo) ainsi que d’éta­blir un règle­ment pour ces trai­te­ments auto­ma­ti­sés et de le mettre à jour régu­liè­re­ment (art. 5 OPDo).
     

La nou­velle régle­men­ta­tion vise prin­ci­pa­le­ment à ren­for­cer la trans­pa­rence et la pro­tec­tion des don­nées per­son­nelles des per­sonnes concer­nées. Pour y par­ve­nir, il faut notam­ment que les entre­prises com­mu­niquent les infor­ma­tions sur la col­lecte de don­nées per­son­nelles de manière concise, com­pré­hen­sible et faci­le­ment acces­sible (art. 13 OPDo) et que les droits de l’in­di­vidu soient ren­for­cés. Les droits de l’in­di­vidu incluent par exemple:

  • le droit d’être informé sur le trai­te­ment de ses don­nées per­son­nelles (art. 25-27 nLPD);
  • le droit à la remise ou à la trans­mis­sion des don­nées per­son­nelles (por­ta­bi­lité des don­nées) (art. 28 et 29 nLPD);
  • le droit de ne pas faire l’ob­jet d’une déci­sion indi­vi­duelle auto­ma­ti­sée (art. 21 nLPD).

Cer­taines vio­la­tions (poten­tiel­le­ment) inten­tion­nelles du devoir d’in­for­mer sont pas­sibles d’une sanc­tion (art. 60 nLPD). Les entre­prises devraient donc s’as­su­rer qu’elles conservent à tout moment une vue d’en­semble des don­nées per­son­nelles qu’elles traitent et qu’elles peuvent répondre aux demandes des per­sonnes concer­nées dans les délais et dans la forme requise.

Non. Le trai­te­ment de don­nées per­son­nelles est auto­risé aussi bien par le droit en vigueur que par le nou­veau droit, tant qu’il n’y a pas d’at­teinte illi­cite à la per­son­na­lité des per­sonnes concer­nées. Il y a atteinte à la per­son­na­lité notam­ment lorsque:

  • le trai­te­ment des don­nées per­son­nelles ne res­pecte pas les prin­cipes du trai­te­ment des don­nées (art. 6 nLPD) et de la sécu­rité des don­nées (art. 8 nLPD);
  • des don­nées per­son­nelles sont trai­tées contrai­re­ment à la décla­ra­tion de volonté expresse de la per­sonne concer­née;
  • des don­nées per­son­nelles sen­sibles sont com­mu­ni­quées à des tiers.

Contrai­re­ment au RGPD, un motif jus­ti­fi­ca­tif n’est en prin­cipe pas néces­saire (cf. aussi le point 5 ci-des­sus). Selon la nLPD, le «prin­cipe d’au­to­ri­sa­tion avec réserve d’ob­jec­tion» conti­nue donc de s’ap­pli­quer, tan­dis que selon le RGPD, l’«inter­dic­tion de prin­cipe avec réserve d’au­to­ri­sa­tion» s’ap­plique (art. 6 et 9 RGPD).

Les pres­ta­taires externes qui traitent des don­nées per­son­nelles pour le compte et sur ins­truc­tion du man­dant ou du «res­pon­sable» (cf. à ce sujet le point 12 ci-après), comme les four­nis­seurs de ser­vices cloud, les héber­geurs web, les ser­vices de ges­tion des salaires, etc. sont consi­dé­rés comme des «sous-trai­tants» (art. 5, let. k nLPD).

Le trai­te­ment de don­nées per­son­nelles peut – comme c’est déjà le cas aujour­d’hui – être confié par contrat ou par la loi à un sous-trai­tant si celui-ci traite les don­nées comme le res­pon­sable serait lui-même en droit de le faire et si aucune obli­ga­tion légale ou contrac­tuelle de gar­der le secret n’in­ter­dit la délé­ga­tion (art. 9 nLPD). Le recours à un sous-trai­tant pré­sup­pose donc en géné­ral un contrat (écrit) (conven­tion de trai­te­ment de don­nées par un sous-trai­tant ou CTD). Avant la délé­ga­tion, le man­dant ou le res­pon­sable doit s’as­su­rer que le sous-trai­tant est en mesure de garan­tir la sécu­rité des don­nées (art. 8 nLPD et art. 1 ss. OPDo). Le sous-trai­tant est léga­le­ment tenu d’ob­te­nir l’au­to­ri­sa­tion préa­lable (géné­rale ou spé­ci­fique) du res­pon­sable du trai­te­ment avant de faire appel à un tiers pour le trai­te­ment des don­nées (art. 7 OPDo). Les par­ties peuvent inclure d’autres points dans la CTD (comme la pro­cé­dure à suivre en cas de récla­ma­tion des per­sonnes concer­nées ou de vio­la­tion de la sécu­rité des don­nées, les droits d’au­dit et de contrôle, la res­pon­sa­bi­lité, le for juri­dique, etc.) Dans la pra­tique, des contrats types fon­dés sur le contenu mini­mal selon le RGPD sont cou­ram­ment uti­li­sés.

Le fait de confier inten­tion­nel­le­ment un trai­te­ment de don­nées à un sous-trai­tant alors que les condi­tions pré­vues à l’art. 9, al. 1 et 2 ne sont pas rem­plies est punis­sable (art. 61, let. b nLPD).

Par com­mu­ni­ca­tion de don­nées per­son­nelles, on entend la «trans­mis­sion ou la mise à dis­po­si­tion de don­nées per­son­nelles» (art. 5 let. b nLPD). Ainsi, la simple pos­si­bi­lité d’ac­cès aux don­nées par un orga­nisme à l’étran­ger (équipe d’as­sis­tance, par exemple) consti­tue éga­le­ment une com­mu­ni­ca­tion au sens de la nLPD.

La com­mu­ni­ca­tion de don­nées per­son­nelles à l’étran­ger est auto­ri­sée dans la mesure où l’État des­ti­na­taire dis­pose d’une légis­la­tion garan­tis­sant un niveau de pro­tec­tion des don­nées «adé­quat» (art. 16, al. 1 nLPD). Les États qui rem­plissent cette condi­tion sont défi­nis par le Conseil fédé­ral et publiés dans l'annexe 1 de l'or­don­nance sur la pro­tec­tion des don­nées.

Inver­se­ment, cela signi­fie que tous les États qui ne figurent pas sur cette liste ne dis­posent pas d’un niveau de pro­tec­tion des don­nées «adé­quat» et qu’il n’est donc pos­sible de com­mu­ni­quer des don­nées per­son­nelles qu’en met­tant en place des mesures de pro­tec­tion sup­plé­men­taires (art. 16, al. 2 et art. 17 nLPD ainsi qu’art. 9 OPDo). Les clauses types de pro­tec­tion des don­nées (SCC) sont uti­li­sées à cette fin. L’ex­por­ta­teur de don­nées doit s’as­su­rer par des mesures appro­priées que le des­ti­na­taire des don­nées res­pecte les SCC (art. 10 OPDo). Étant donné que les SCC ne lient que le des­ti­na­taire en tant que par­tie contrac­tante, mais pas les auto­ri­tés locales, et que les don­nées per­son­nelles trans­fé­rées ne sont donc pas pro­té­gées contre tout accès par un État, l’ex­por­ta­teur de don­nées doit préa­la­ble­ment éva­luer le risque d’ac­cès inac­cep­table du point de vue suisse par les auto­ri­tés en pro­cé­dant à un «Trans­fer Risk Assess­ment» (TIA) (clause 14 SCC). Selon le risque, il convient de prendre des mesures de pro­tec­tion sup­plé­men­taires (pseu­do­ny­mi­sa­tion, cryp­tage des don­nées, par exemple) ou de renon­cer tota­le­ment au trans­fert de don­nées.

La vio­la­tion (poten­tiel­le­ment) inten­tion­nelle des dis­po­si­tions rela­tives à la com­mu­ni­ca­tion de don­nées per­son­nelles à l’étran­ger est pas­sible de sanc­tions (art. 61, let. a nLPD).

En ce qui concerne la com­mu­ni­ca­tion de don­nées per­son­nelles aux États-Unis, nous atti­rons l’at­ten­tion sur le nou­veau cadre UE-États-Unis de pro­tec­tion des don­nées per­son­nelles (Data Pri­vacy Fra­me­work ou DPF), qui per­met aux entre­prises amé­ri­caines de se faire cer­ti­fier en tant qu’im­por­ta­teurs de don­nées. Depuis la déci­sion d’adé­qua­tion de la Com­mis­sion euro­péenne du 10 juillet 2023, les trans­ferts de don­nées de l’UE vers des entre­prises amé­ri­caines cer­ti­fiées dans le cadre du Data Pri­vacy Fra­me­work sont consi­dé­rés comme des trans­ferts de don­nées vers un pays offrant un niveau «adé­quat» de pro­tec­tion des don­nées (cf. com­mu­ni­qué de presse). On peut s’at­tendre à ce que le PFPDT éta­blisse pro­chai­ne­ment le niveau de pro­tec­tion adé­quat pour la Suisse (CH-US Data Pri­vacy Fra­me­work) des trans­ferts de don­nées dans ce cadre.

La nou­velle loi sur la pro­tec­tion des don­nées a intro­duit quelques nou­veaux termes ou les a par­tiel­le­ment har­mo­ni­sés avec le RGPD. Les plus impor­tantes sont:

  • Don­nées per­son­nelles: Le terme ne s’ap­plique qu’aux per­sonnes phy­siques. Les don­nées rela­tives aux per­sonnes morales ne sont donc plus concer­nées et sont par consé­quent exclues du champ de pro­tec­tion de la LPD (art. 1 et art. 5, let. a nLPD).
  • Don­nées per­son­nelles sen­sibles: Sont désor­mais éga­le­ment concer­nées les don­nées rela­tives à l’ap­par­te­nance à une eth­nie, les don­nées géné­tiques et les don­nées bio­mé­triques (per­met­tant une iden­ti­fi­ca­tion uni­voque) (art. 5, let. c nLPD).
  • Res­pon­sable du trai­te­ment: Cor­res­pond au «maître du fichier» selon le droit en vigueur et au «res­pon­sable du trai­te­ment» selon le RGPD. Il s’agit d’une per­sonne pri­vée (en par­ti­cu­lier d’une entre­prise) ou d’un organe fédé­ral qui, seul ou avec d’autres, décide des fina­li­tés et des moyens du trai­te­ment de don­nées per­son­nelles (art. 5, let. j nLPD). Par exemple, un employeur qui traite les don­nées per­son­nelles de ses employés dans le cadre de l’exé­cu­tion du contrat de tra­vail ou un com­mer­çant qui traite les don­nées per­son­nelles de ses clients dans le cadre de l’exé­cu­tion du contrat de vente.
  • Sous-trai­tant de don­nées: Est consi­dé­rée comme sous-trai­tant toute per­sonne qui traite des don­nées per­son­nelles pour le compte du res­pon­sable, par exemple les pres­ta­taires de ser­vices cloud (art. 5 let. k nLPD, cf. point 10 ci-des­sus).
  • Pro­fi­lage: Ce terme désigne toute forme de trai­te­ment auto­ma­tisé de don­nées per­son­nelles consis­tant à uti­li­ser ces don­nées pour éva­luer cer­tains aspects per­son­nels rela­tifs à une per­sonne phy­sique, notam­ment pour ana­ly­ser ou pré­dire des élé­ments concer­nant le ren­de­ment au tra­vail, la situa­tion éco­no­mique, la santé, les pré­fé­rences per­son­nelles, les inté­rêts, la loca­li­sa­tion, par exemple). Des consé­quences juri­diques plus sévères ne s’ap­pliquent tou­te­fois qu’au «pro­fi­lage à risque élevé», qui com­porte un risque mar­qué pour la per­son­na­lité ou les droits fon­da­men­taux de la per­sonne concer­née, parce qu’il conduit à un appa­rie­ment de don­nées qui per­met d’ap­pré­cier les carac­té­ris­tiques essen­tielles de la per­son­na­lité d’une per­sonne phy­sique. Le pro­fi­lage à risque élevé est com­pa­rable au concept actuel de «pro­fil de la per­son­na­lité». À noter que la nLPD n’in­tro­duit pas d’exi­gence de consen­te­ment pour le pro­fi­lage à risque élevé, mais se contente d’exi­ger que le consen­te­ment, s’il devait être requis comme motif jus­ti­fi­ca­tif en vertu de l’art. 31 nLPD, soit «expli­cite». Dans ce contexte, il convient de rap­pe­ler que le trai­te­ment de don­nées per­son­nelles ne requiert en prin­cipe aucun motif jus­ti­fi­ca­tif, que ce soit dans le cadre du droit en vigueur ou du nou­veau droit (cf. points 5 et 9 ci-des­sus).
  • Prin­cipes de «Pri­vacy by Design» et de «Pri­vacy by Default»: La nLPD intro­duit les prin­cipes de «Pri­vacy by Design» et de «Pri­vacy by Default». Comme son nom l’in­dique, le prin­cipe de «Pri­vacy by Design» (res­pect du prin­cipe de pro­tec­tion des don­nées dès la concep­tion) signi­fie que des mesures tech­niques et orga­ni­sa­tion­nelles doivent être prises dès la pla­ni­fi­ca­tion d’un sys­tème de trai­te­ment, notam­ment pour garan­tir la sécu­rité des don­nées per­son­nelles. Le prin­cipe de «Pri­vacy by Default» (pro­tec­tion des don­nées par défaut) signi­fie que les para­mètres par défaut d’un sys­tème de trai­te­ment des don­nées doivent être confi­gu­rés de manière que seules les don­nées per­son­nelles qui sont effec­ti­ve­ment néces­saires pour l’ob­jec­tif de trai­te­ment déter­miné soient trai­tées. Cette dis­po­si­tion vise à pro­té­ger les uti­li­sa­teurs n’ayant pas d’af­fi­ni­tés avec la tech­nique qui ne savent pas com­ment modi­fier eux-mêmes les para­mètres de pro­tec­tion des don­nées en fonc­tion de leurs pré­fé­rences. Il convient de noter qu’il est néces­saire de pro­cé­der à un para­mé­trage préa­lable favo­rable à la pro­tec­tion des don­nées exclu­si­ve­ment dans les cas où les para­mètres peuvent être modi­fiés.

En cas de vio­la­tion de la nou­velle loi, vous vous expo­sez à des sanc­tions sous forme d’amendes pou­vant aller jus­qu’à 250 000 francs (si vous ne res­pec­tez pas vos obli­ga­tions d’in­for­ma­tion ou de ren­sei­gne­ment, par exemple – art. 19 ss. et 25 ss. nLPD) ou votre devoir de dili­gence, notam­ment en com­mu­ni­quant illé­ga­le­ment des don­nées per­son­nelles à l’étran­ger (art. 16 s. nLPD) ou à un sous-trai­tant (art. 9 nLPD) ou si vous ne res­pec­tez pas les exi­gences mini­males en matière de sécu­rité des don­nées (art. 8 nLPD en rela­tion avec l’art. 1 s. OPDo). Contrai­re­ment au RGPD, les sanc­tions pré­vues par la nLPD ne sont pas diri­gées contre l’en­tre­prise fau­tive, mais contre la per­sonne phy­sique res­pon­sable du res­pect de la pro­tec­tion des don­nées (le direc­teur ou le membre du conseil d’ad­mi­nis­tra­tion, mais aussi, dans cer­taines cir­cons­tances, d’autres col­la­bo­ra­teurs, par exemple). Seul un com­por­te­ment (poten­tiel­le­ment) inten­tion­nel est sanc­tionné (art. 60 ss. nLPD). Excep­tion­nel­le­ment, les entre­prises peuvent aussi être direc­te­ment mises en cause si une amende de 50 000 francs au maxi­mum est envi­sa­gée et si l’iden­ti­fi­ca­tion de la per­sonne phy­sique cou­pable au sein de l’en­tre­prise ou de l’or­ga­ni­sa­tion entraî­ne­rait des frais d’en­quête dis­pro­por­tion­nés (art. 64, al. 2 nLPD).

Igno­rer la (nou­velle) loi sur la pro­tec­tion des don­nées peut avoir des consé­quences non seule­ment pour le res­pon­sable au sein d’une entre­prise, mais aussi pour l’en­tre­prise elle-même, en par­ti­cu­lier pour sa répu­ta­tion. Les com­pé­tences du Pré­posé fédé­ral à la pro­tec­tion des don­nées (PFPDT) ont éga­le­ment été élar­gies (art. 51 nLPD). Désor­mais, il peut non seule­ment émettre des recom­man­da­tions, mais aussi ordon­ner des mesures admi­nis­tra­tives (ordon­ner l’adap­ta­tion, l’in­ter­rup­tion ou l’an­nu­la­tion d’un trai­te­ment ou l’ef­fa­ce­ment de don­nées per­son­nelles, par exemple), ce qui peut consti­tuer une mesure dras­tique pour cer­taines entre­prises.

Il est tout d’abord néces­saire de s’y pré­pa­rer dès que pos­sible à l’aide d’une ana­lyse des lacunes exis­tantes afin d’adap­ter gra­duel­le­ment la confor­mité en matière de pro­tec­tion des don­nées à ce nou­veau régime régle­men­taire. Selon la taille de l’en­tre­prise et l’am­pleur des trai­te­ments de don­nées, ce pro­ces­sus peut prendre quelques jours ou plu­sieurs mois. Pour les entre­prises qui sont déjà en confor­mité avec le RGPD, la tâche sera bien entendu plus simple que pour celles qui com­mencent tout juste. Des solu­tions prag­ma­tiques sont néan­moins de rigueur, c’est-à-dire qu’il faut com­men­cer par mettre en œuvre les exi­gences mini­males de la loi (un registre, l’obli­ga­tion d’in­for­mer, contrats de sous-trai­tant, trans­ferts de don­nées vers des pays tiers, etc.).

Un plan d’ac­tion devrait repo­ser sur les trois piliers sui­vants: sécu­rité infor­ma­tique, aspects juri­diques et gou­ver­nance des don­nées. Concer­nant le der­nier point, eco­no­mie­suisse a éla­boré une charte de l'éco­no­mie suisse pour une ges­tion res­pon­sable des don­nées. Si cela se révèle néces­saire faute d’ex­per­tise et/ou de res­sources internes, les entre­prises devraient faire appel à des experts en sécu­rité infor­ma­tique et en pro­tec­tion des don­nées, que ce soit pour l’éla­bo­ra­tion ou des véri­fi­ca­tions ponc­tuelles de docu­ments (décla­ra­tions de pro­tec­tion des don­nées, par exemple) ou de contrats (CTD), ou pour l’éla­bo­ra­tion de pro­grammes de confor­mité détaillés (direc­tives, pro­ces­sus, par exemple).

Sans entrer dans des aspects tech­niques, juri­diques et infor­ma­tiques détaillés d’une mise en confor­mité avec la nLPD, un plan d’ac­tion prag­ma­tique devrait au moins rete­nir les mesures sui­vantes:

  1. Défi­nir les res­pon­sa­bi­li­tés et les fonc­tions
    Eu égard à la pla­ni­fi­ca­tion, il est impor­tant de com­men­cer par défi­nir les res­pon­sa­bi­li­tés et d’at­tri­buer des fonc­tions. Il est judi­cieux de créer un ser­vice cen­tral de pro­tec­tion des don­nées (coor­di­na­teur, per­sonne de contact).

    Dans ce contexte, il est pos­sible d’exa­mi­ner rapi­de­ment s’il faut dési­gner un conseiller à la pro­tec­tion des don­nées (contrai­re­ment au RGPD, la nLPD pré­voit que cela est facul­ta­tif pour les pri­vés – seuls les organes fédé­raux en ont l’obli­ga­tion légale, art. 10 nLPD et art. 23 OPDo).
     
  2. Un état des lieux glo­bal est pri­mor­dial
    Les entre­prises devront être en mesure de répondre à tout moment à toute demande d’in­for­ma­tion, c’est-à-dire qu’en cas de col­lecte de don­nées per­son­nelles, elles doivent four­nir des infor­ma­tions sur l’iden­tité du res­pon­sable du trai­te­ment, la fina­lité du trai­te­ment, les éven­tuels des­ti­na­taires des don­nées, etc. (art. 19 ss. nLPD et art. 13 OPDo). Elles doivent aussi être en mesure de res­pec­ter les droits des per­sonnes concer­nées, pour four­nir à une per­sonne concer­née des infor­ma­tions sur le trai­te­ment de ses don­nées per­son­nelles (art. 25 ss. nLPD et art. 16 ss. OPDo). Cela sup­pose que les entre­prises sachent quelles don­nées per­son­nelles sont trai­tées et à quelles fins, si ces don­nées sont com­mu­ni­quées à d’autres pays et à d’autres per­sonnes, etc.

    Par consé­quent, les entre­prises doivent com­men­cer par faire un état des lieux de toutes les don­nées trai­tées. Le nou­veau registre obli­ga­toire (registre dit des acti­vi­tés de trai­te­ment) peut ser­vir de point de départ. Cela per­met non seule­ment de créer une bonne base pour éla­bo­rer d’autres docu­ments (obli­ga­toires) rela­tifs à la pro­tec­tion des don­nées (dis­po­si­tions rela­tives à la pro­tec­tion des don­nées, sous-trai­tance, etc.), mais éga­le­ment d’as­su­mer en même temps l’obli­ga­tion (éven­tuelle) de tenir un registre des acti­vi­tés de trai­te­ment. Un tel état des lieux est un effort col­lec­tif de tous les col­la­bo­ra­teurs impli­qués dans le trai­te­ment de don­nées per­son­nelles.
     
  3. Ana­lyse des lacunes et éva­lua­tion des risques
    Les tra­vaux néces­saires pour la mise en confor­mité peuvent être iden­ti­fiés puis docu­men­tés au moyen d’une ana­lyse des lacunes (com­pa­rai­son de l’état actuel et de l’ob­jec­tif à atteindre). Pour cela, il est éga­le­ment pos­sible de recou­rir à des modèles de registre des acti­vi­tés de trai­te­ment.

    Cer­taines obli­ga­tions de la nLPD, comme les exi­gences en matière de sécu­rité des don­nées, l’obli­ga­tion pour les PME de tenir des registres des acti­vi­tés de trai­te­ment ou l’obli­ga­tion de réa­li­ser une ana­lyse d’im­pact sur la pro­tec­tion des don­nées, dépendent du risque que pré­sentent le trai­te­ment de don­nées au sein de l’en­tre­prise. Aussi une éva­lua­tion préa­lable des risques est-elle néces­saire pour déter­mi­ner les mesures concrètes en vue de la mise en œuvre. Pour garan­tir une sécu­rité des don­nées adé­quate, il convient de déter­mi­ner le besoin de pro­tec­tion des don­nées per­son­nelles et de défi­nir les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées au regard du risque. Pour les cri­tères per­met­tant de déter­mi­ner le besoin de pro­tec­tion des don­nées per­son­nelles, on peut se fon­der sur les cri­tères de l’art. 1, al. 2 OPDo et pour ceux per­met­tant d’éva­luer le risque pour la per­son­na­lité ou les droits fon­da­men­taux de la per­sonne concer­née sur les cri­tères de l’art. 1, al. 3 OPDo. Au moment de défi­nir des mesures tech­niques et orga­ni­sa­tion­nelles, il convient en outre de tenir compte de l’état de la tech­nique et des coûts de mise en œuvre (art. 1, al. 4 OPDo).

    Des risques accrus et donc des exi­gences plus éle­vées en matière de confor­mité à la régle­men­ta­tion en matière de pro­tec­tion des don­nées (en par­ti­cu­lier la sécu­rité des don­nées) peuvent exis­ter, par exemple, lorsque:
     
    • Les entre­prises traitent un grand volume de don­nées per­son­nelles. Exemple: Des socié­tés spé­cia­li­sées dans la vente en ligne ou dans l’im­port/export ont un por­te­feuille de clients impor­tant géné­rant un volume de don­nées per­son­nelles consé­quent.
    • Les entre­prises traitent des don­nées per­son­nelles par­ti­cu­liè­re­ment sen­sibles (au sens de l’art. 5, let. c nLPD). Exemple: Les entre­prises trai­tant des don­nées per­son­nelles rela­tives aux opi­nions poli­tiques, reli­gieuses, à la santé, aux don­nées géné­tiques, raciales, à l’aide sociale, aux pour­suites, etc. sont concer­nées.
    • Les entre­prises effec­tuent un pro­fi­lage à risque élevé.
    • Les entre­prises prennent des déci­sions indi­vi­duelles auto­ma­ti­sées.
       
    ​​​​Dans ces cas, les exi­gences rela­tives à la pro­tec­tion des don­nées et en par­ti­cu­lier à la sécu­rité des don­nées sont plus éle­vées que dans le cas d’en­tre­prises trai­tant les don­nées d’un nombre limité de col­la­bo­ra­teurs, de four­nis­seurs, de clients, etc.

    Ce tra­vail de mise en confor­mité néces­si­tera, selon les cas et le volume de don­nées per­son­nelles trai­tées, le déve­lop­pe­ment d’une cer­taine exper­tise ou le recours à des experts et, régu­liè­re­ment, l’éta­blis­se­ment de pro­ces­sus internes pour répondre aux exi­gences de la loi. Il ne faut pas sous-esti­mer les res­sources maté­rielles (logi­ciels de ges­tion de don­nées, etc.), humaines (nom­mer un res­pon­sable des ques­tions rela­tives à la pro­tec­tion des don­nées, etc.) et le temps qui doivent y être consa­crés.

    Selon l’am­pleur de la mise en confor­mité, les entre­prises sont vive­ment encou­ra­gées à faire appel aux ser­vices d’ex­perts en infor­ma­tique et d’avo­cats ainsi qu’aux for­ma­tions pro­po­sées par les Chambres de com­merce.
     
  4. Sen­si­bi­li­ser
    Quelle que soit la taille de l’en­tre­prise: tous les col­la­bo­ra­teurs, de l’ap­prenti au chef d’en­tre­prise, doivent être sen­si­bi­li­sés aux enjeux de la pro­tec­tion des don­nées. Récep­tion­niste, chargé de pro­jets, res­pon­sable des res­sources humaines, consul­tant, indé­pen­dant, chef d’en­tre­prise – des col­la­bo­ra­teurs à tous les éche­lons d’une entre­prise traitent régu­liè­re­ment des don­nées per­son­nelles et en assument la res­pon­sa­bi­lité sur le plan pénal.

    Ni la nLPD ni le RGPD n’exigent expli­ci­te­ment l’or­ga­ni­sa­tion de for­ma­tions, mais dans les faits, celles-ci sont sou­vent néces­saires (et peuvent éven­tuel­le­ment avoir pour effet de réduire la res­pon­sa­bi­lité en cas d’in­frac­tion pénale) afin de créer la sen­si­bi­lité néces­saire à ce sujet dans l’en­tre­prise.

    Exemple: Un récep­tion­niste tient un registre des visi­teurs d’une entre­prise. En col­lec­tant et en archi­vant les noms et pré­noms des per­sonnes qui viennent dans l’en­tre­prise, celui-ci traite déjà des don­nées per­son­nelles.
     
  5. Trans­pa­rence et infor­ma­tion
    La trans­pa­rence en matière de trai­te­ment des don­nées reste un prin­cipe impor­tant avec la nou­velle LPD. Il y a aussi l’obli­ga­tion d’in­for­ma­tion en cas de col­lecte de don­nées. Le res­pon­sable du trai­te­ment est tenu d’in­for­mer les per­sonnes concer­nées de divers aspects du trai­te­ment de don­nées. L’éta­blis­se­ment et la mise à jour de la décla­ra­tion en matière de pro­tec­tion des don­nées sont essen­tiels en vue de l’en­trée en vigueur de la nLPD (sur le site web de l’en­tre­prise, mais aussi dans la cor­res­pon­dance).
     
  6. Sécu­rité infor­ma­tique
    En ce qui concerne la sécu­rité des don­nées, les entre­prises doivent s’as­su­rer que la sécu­rité des sys­tèmes infor­ma­tiques de l’en­tre­prise et des appli­ca­tions logi­cielles répondent aux exi­gences de la nou­velle loi. Cela com­prend des mesures tech­niques et orga­ni­sa­tion­nelles (éta­blir des droits d’ac­cès, pseu­do­ny­mi­ser des don­nées, etc.) visant à pré­ve­nir les cybe­rat­taques, la mani­pu­la­tion et le vol de don­nées ainsi que d’autres pertes de don­nées. Avec ces mesures, il s’agit de tendre vers les objec­tifs de pro­tec­tion de la sécu­rité des don­nées selon l’art. 2 OPDo (confi­den­tia­lité, dis­po­ni­bi­lité, inté­grité et tra­ça­bi­lité).

    Dans ce contexte, il convient de men­tion­ner que «pen­dant toute la durée du trai­te­ment», il existe une obli­ga­tion de véri­fier et, le cas échéant, d’adap­ter les mesures prises et qu’une vio­la­tion inten­tion­nelle des exi­gences mini­males en matière de sécu­rité des don­nées est pas­sible de sanc­tions (art. 61, let. c nLPD).
     
  7. Orga­ni­sa­tion et pro­cé­dures internes
    Afin de répondre confor­mé­ment aux exi­gences de la nou­velle loi aux éven­tuelles sol­li­ci­ta­tions externes (demandes d’in­for­ma­tion ou d’ef­fa­ce­ment des don­nées per­son­nelles d’un client) ou aux inci­dents impli­quant la fuite, la perte ou l’uti­li­sa­tion abu­sive de don­nées per­son­nelles, il convient d’éta­blir des pro­cé­dures internes claires ainsi que des règle­ments ou des direc­tives y rela­tifs. Selon l’in­ci­dent, ceux-ci doivent défi­nir en par­ti­cu­lier quel(s) col­la­bo­ra­teur(s) (sup­pléants inclus) doi(ven)t prendre quelle(s) mesure(s) et dans quel(s) délai(s).

    Exemple: Dans le cas d’une vio­la­tion de la sécu­rité des don­nées, les pro­cé­dures doivent éta­blir les situa­tions et cri­tères per­met­tant d’éva­luer si un inci­dent doit être signalé aux auto­ri­tés. Ces pro­cé­dures doivent en outre com­por­ter des expli­ca­tions claires indi­quant quel col­la­bo­ra­teur doit signa­ler l’in­ci­dent, dans quel délai, sous quelle forme et à quelle auto­rité. Ce genre de pro­cé­dures peut prendre la forme de listes de contrôle (check-lists).
     
  8. Éta­blir et tenir un registre des acti­vi­tés
    La nLPD pré­voit que le res­pon­sable du trai­te­ment et le sous-trai­tant doivent cha­cun tenir un registre de leurs acti­vi­tés. Cette obli­ga­tion concerne toutes les entre­prises. Le Conseil fédé­ral peut tou­te­fois pré­voir des excep­tions pour les entre­prises de moins de 250 col­la­bo­ra­teurs (art. 12, al. 2 nLPD et art. 24 OPDo).

    L’éta­blis­se­ment de tels réper­toires sup­pose que tous les trai­te­ments de don­nées per­son­nelles au sein d’une entre­prise soient iden­ti­fiés et sys­té­ma­ti­que­ment ras­sem­blés. En par­ti­cu­lier dans des cas où un tel registre n’est pas encore tenu et où de nom­breuses opé­ra­tions dif­fé­rentes sont effec­tuées, cette pro­cé­dure implique un tra­vail consi­dé­rable et doit donc être démar­rée à un stade pré­coce.
     
  9. Révi­sion des contrats
    Au vu des chan­ge­ments qui s’opé­re­ront avec la nou­velle loi et d’ici à son entrée en vigueur, les entre­prises devraient exa­mi­ner – et si néces­saire adap­ter – les contrats pas­sés avec leurs clients, four­nis­seurs, pres­ta­taires de ser­vices mais éga­le­ment avec leurs col­la­bo­ra­teurs. Il faut s’y prendre à temps. Une mise en œuvre rapide est éga­le­ment judi­cieuse, car il faut s’at­tendre à ce que de nom­breux par­te­naires contrac­tuels exigent à leur tour des contrats – ou une adap­ta­tion des contrats déjà exis­tants – incluant des clauses conformes à la nou­velle loi sur la pro­tec­tion des don­nées.
     
  10. Res­ter infor­més
    Pour com­prendre les impli­ca­tions de la mise en confor­mité selon la nLPD, il est néces­saire de pou­voir assi­mi­ler les enjeux et les impli­ca­tions concrètes de la nou­velle loi sur les pro­cé­dures de tra­vail. Infor­mez-vous en consul­tant les sites des auto­ri­tés de pro­tec­tion des don­nées (PFPDT), des blogs et des revues spé­cia­li­sés et par­ti­ci­pez aux dif­fé­rentes for­ma­tions (pro­po­sées par les Chambres de com­merce, par exemple).

    Il convient de noter que garan­tir la confor­mité en matière de pro­tec­tion des don­nées n’est pas un exer­cice ponc­tuel. Au contraire, celle-ci doit être contrô­lée régu­liè­re­ment et, si néces­saire, adap­tée, notam­ment au vu des évo­lu­tions tech­niques (nou­veaux sys­tèmes infor­ma­tiques, par exemple), juri­diques (adap­ta­tions légis­la­tives ou de la pra­tique des auto­ri­tés, par exemple) et entre­pre­neu­riales (nou­veaux ser­vices, nou­velles suc­cur­sales dans d’autres pays, par exemple). En ce qui concerne la sécu­rité des don­nées, l’art. 1, al. 5, OPDo pres­crit expli­ci­te­ment que le besoin de pro­tec­tion des don­nées per­son­nelles, le risque encouru ainsi que les mesures tech­niques et orga­ni­sa­tion­nelles doivent être rééva­lués pen­dant toute la durée du trai­te­ment et adap­tés en cas de besoin. Il importe d’éta­blir les pro­cé­dures et les res­pon­sa­bi­li­tés pour ces véri­fi­ca­tions.