22 rue du Mont-Blanc CH-1201 Genève

Nouvelle LPD : Quels changements attendus ?

data protection

Vous avez peut-être entendu parler de la nouvelle Loi sur la protection des données (LPD) qui entrera en vigueur le 1 septembre 2023 en Suisse, mais qu’est-ce que cela signifie pour votre entreprise ?

L’actuelle loi suisse sur la protection des données date de 1992. Cette révision ainsi que l’ordonnance relative à la loi fédérale sur la protection des données (OLPD) adaptent la loi aux nouvelles conditions technologiques et sociales. Elles renforcent la transparence et la protection des données personnelles dans le but de s’aligner sur le règlement général sur la protection des données (RGPD) appliqué en Europe. En effet, si la Commission européenne venait à ne plus reconnaître le niveau suisse de protection des données comme adéquat, alors les pertes et le désavantage concurrentiel que les entreprises suisses pourraient subir est immense.

Dans cet article, nous allons donc explorer les principaux changements introduits par la nouvelle LPD et ce que vous devez faire pour vous assurer que votre entreprise atteigne un niveau de conformité suffisant et puisse le conserver.

Qu’est-ce que la Loi sur la Protection des Données ?

La LPD est une loi exhaustive sur la protection des données qui vise à protéger la confidentialité des données personnelles ainsi qu’à assurer leur traitement légal (collecte, stockage, utilisation, transfert, conservation).

Ainsi, on entend par donnée personnelle toute information qui concerne une personne physique identifiée ou identifiable.

  • Nom
  • Prénom
  • E-mail
  • Numéro de téléphone
  • Adresse postale
  • Numéro AVS

Et parmi ces données personnelles, il existe des données personnelles “sensibles” telles que le casier judiciaire, les données de santé, l’origine ethnique, l’opinion politique, etc. qui demandent un régime particulier.

La LPD s’applique alors à toutes les entreprises et organisations qui traitent des données personnelles et sensibles pouvant avoir un effet sur la Suisse, qu’elles soient publiques ou privées, sur le territoire helvétique ou à l’étranger.

Quels sont les objectifs de la nouvelle LPD ?

Dans un contexte de bouleversement technologique et social accéléré par la pandémie, le nombre de cyberattaques s’est multiplié. La nouvelle LPD vise donc à renforcer la sécurité et à responsabiliser les entreprises en fournissant un cadre réglementaire à la collecte, au traitement et à l’utilisation des données personnelles. Il y a là un véritable enjeu de réussite numérique pour la Suisse et ses entreprises.

En effet, il faut qu’un échange aisé des données entre la Suisse et l’UE reste possible à l’avenir. Pour cela, les organisations doivent garder un niveau adéquat de protection des données. D’un point de vue économique, celles qui sont déjà conformes à la LPD et au RGPD se différencient rapidement par leur attractivité et apparaissent comme un partenaire de confiance.

La nouvelle LPD s’inscrit également dans le principe d’autodétermination informationnelle en protégeant le droit des individus à la vie privée. Elle donne aux individus le contrôle sur leurs données personnelles et leur permet de choisir qui peut y accéder.

data privacy

Quand est-ce que mon organisation devra s’adapter à ces nouvelles dispositions ?

Vous ne disposez plus que de quelques mois avant l’entrée en vigueur de la nouvelle LPD le 1er Septembre 2023 pour prendre les mesures nécessaires. Aucun délai de transition n’est prévu, c’est-à-dire que la nouvelle loi prendra effet et devra être respectée dès la date de début fixée.

De nombreuses entreprises suisses ont des activités commerciales en lien avec l’UE et doivent répondre à des exigences accrues en matière de protection des données.

Si vous êtes conformes au RGPD, vous êtes conscients des changements que cela a induits dans la protection des données par votre organisation. Cependant, il existe encore quelques différences entre ces deux législations que swissprivacy.law a listé dans un tableau comparatif complet.

20210211-Tableau-comparatif-nLPD-et-RGPD.pdf (swissprivacy.law)

Pour le reste, des changements majeurs sont encore à prévoir.

Quels sont les changements majeurs de la nouvelle LPD ?

Les données personnelles des personnes physiques seront régies par des règles plus strictes. Voici une liste des principaux changements induits par la nouvelle LDP :

  1. Le cadre de la loi a changé et n’inclut plus les personnes morales.
  2. Les données génétiques et biométriques ont été ajoutées à la liste des données personnelles sensibles.
  3. Les entreprises doivent désormais tenir compte des principes de protection des données dès la conception des traitements et des applications – Privacy-by-Design et Privacy-by-Default (art. 7 nLPD).
  4. La tenue d’un registre des activités de traitement est devenue obligatoire (exception pour les PME de moins de 250 employées).
  5. Dans un souci de transparence, le devoir d’informer les personnes concernées de manière adéquate de toute collecte de données a été renforcé et ne s’applique plus uniquement aux données sensibles. La loi fédérale est plus encadrée sur ce point que le RGPD.
  6. Lorsque le traitement envisagé entraîne un risque élevé, une analyse d’impact doit obligatoirement être réalisée.
  7. La notion de profilage fait son entrée dans la loi. Si des décisions sont prises sur la base d’un traitement automatisé, le responsable du traitement doit en informer les personnes concernées (art. 21 nLPD).
  8. La nouvelle LPD inclut un droit d’accès ainsi qu’un droit à la portabilité des données.
  9. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être notifié dans les meilleurs délais (72 h pour le RGPD) en cas de violation de la sécurité des données (art. 22 nLPD).

Retrouvez tous les changements dans le document officiel de la loi fédérale sur la protection des données.

https://fedlex.data.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2020/1998/fr/pdf-x/fedlex-data-admin-ch-eli-fga-2020-1998-fr-pdf-x.pdf

Que dois-je faire pour me conformer aux prescriptions de la nouvelle LPD ?

Dans la nouvelle LPD, il y a 6 principes généraux à respecter qui sont repris dans les changements majeurs énoncés précédemment. Il s’agit de la transparence, la limitation de traitement, la minimisation des données, la confidentialité, la limitation de stockage et l’exactitude.

Le responsable du traitement doit s’assurer que tous les principes de la protection de la vie privée soient respectés. Votre entreprise doit ainsi pouvoir démontrer qu’elle respecte l’ensemble de ceux-ci. Il est donc essentiel de mettre en place un cadre de gouvernance.

Des certifications existent déjà pour devenir conforme à la nouvelle LPD. La norme IS027001:2022 est une bonne manière d’aborder les aspects liés à la sécurité de l’information. L’ISAE 3000 pourrait également répondre à ces besoins.

Voici une check-list des précautions élémentaires pour prévenir une violation de données :

  • Sensibiliser et former ses collaborateurs – mettre en place des procédures et de la documentation
  • Mettre une place des moyens d’authentification des utilisateurs (contrôles de traçage, authentification multi-facteurs…)
  • Gérer les droits d’accès – Ouvrir le système en fonction des besoins et gérer les droits dans le temps afin d’éviter les zones de risques inattendues
  • Sécuriser les échanges avec des organismes externes (Ex : chiffrer les données avant de les transmettre)
  • Sécuriser les postes de travail (bloquer certains ports, verrouiller son poste, mettre à jour les logiciels, stocker les données sur un serveur)
  • Sécuriser l’informatique mobile (chiffrement, synchronisation, verrouillage, filtre de confidentialité)
  • Protéger le réseau informatique interne – bloquer les accès, changer régulièrement les mots de passe changés, utiliser un VPN et une double authentification pour les connexions à distance, s’assurer qu’aucune interface d’administration ne soit accessible, limiter les flux vers l’extérieur, installer un système de détection des intrusions, cloisonner le réseau
  • Effectuer des sauvegardes fréquentes et rédiger des plans de continuité
  • Gérer la sous-traitance – encadrer la sécurité des données et vérifier leurs garanties
  • Protéger les locaux (alarme, badge, codes, délimitation des zones à risques)
  • Sécuriser les serveurs – utiliser des comptes individuels pour une meilleure traçabilité
  • Sécuriser le site internet
  • Encadrer les développements informatiques (Security -by-design)
  • Nommer un conseiller à la protection des données personnelles (DPD) en interne ou bien faire appel à une entreprise externe spécialisée.

Quels sont les risques et les sanctions encourues en cas de non-conformité à la LPD ?

Les compétences du préposé fédéral à la protection des données et à la transparence (PFPDT) en matière d’application de la nouvelle LPD ont été élargies. Les autorités de surveillance peuvent ainsi intervenir lorsqu’elles constatent des irrégularités ou sur dénonciation. En effet, les clients, collaborateurs ou encore des entreprises concurrentes peuvent attirer leur attention sur ces faits et exiger un examen ou déposer une plainte pénale.

Ainsi, en cas de violation intentionnelle des dispositions de protection des données, des mesures fortes allant jusqu’à l’effacement des données peuvent être ordonnées. Outre ces sanctions, l’organisation concernée ainsi que le responsable du traitement encourent des amendes et des procédures pénales. Ce n’est donc plus seulement l’entreprise elle-même qui peut être visée en premier lieu par des procédures pénales, mais également la personne responsable (propriétaire et collaborateurs). À noter que le montant maximal de l’amende passe de 10 000 CHF à 250 000 CHF. Il s’agit d’une différence importante par rapport au RGPD qui inflige des amendes beaucoup plus élevées aux entreprises, et non aux personnes physiques.

Les entreprises étrangères activent sur le marché suisse ou dont le traitement des données déploie des effets en Suisse sont soumises aux mêmes mesures. La nouvelle LPD se base sur le principe dit du lieu du résultat.

sanctions

Comment piloter la gestion de la conformité de la protection des données personnelles au sein de mon organisation ?

 

Nous vous accompagnons, avec une approche claire et efficace, dans les phases d’analyse, de conseil, de récolte de l’information et de mise en place de smartcockpit au travers de workshop afin que vous soyez prêts pour la nouvelle LPD et/ou pour le RGPD ➡️  Contactez-nous !

Nous proposons ainsi un cockpit de gestion de la conformité de la protection des données personnelles spécialement conçu pour le DPD (délégué à la protection des données).

Il vous permet de gérer, suivre et assurer la conformité en :

  • Mettant en place la bonne gouvernance autour de la protection des données
  • Tenant un registre des activités de traitement
  • Formant et sensibilisant ses collaborateurs
  • Alignant ses processus pour être conforme
  • Réalisant des analyses d’impact pour les activités à haut risque (AIPD)
  • Révisant des contrats, accords et termes et conditions
  • Ayant un processus pour gérer les incidents
  • Et bien plus encore…