Une nouvelle loi fédérale suisse sur la protection des données (FADP-nLPD) est entrée en vigueur le 1er septembre, sans aucune période transitoire. Êtes-vous prêt ? Votre entreprise est-elle prête ? Comment cela vous affectera-t-il exactement ?
Une nouvelle loi fédérale suisse sur la protection des données (FADP-nLPD) est entrée en vigueur le 1er septembre, sans aucune période transitoire. Êtes-vous prêt ? Votre entreprise est-elle prête ? Comment cela vous affectera-t-il exactement ?
Nous examinons ici de plus près les implications du FADP-nLPD (parfois aussi appelé « le nouveau FADP » et « nFADP ») pour vous, pour vos données et pour votre entreprise.
La protection des données en Suisse, l’avant et l’après
Les lois actuelles sur la protection des données remontent à 1992, à une époque où le monde était très différent, beaucoup moins avancé sur le plan technologique (et sans doute beaucoup plus sûr).
Cependant, le FADP-nLPD va permettre d’aligner la Suisse avec la législation mise en place par l’Union européenne à travers le règlement général sur la protection des données (RGPD), l’idée étant de renforcer considérablement la sécurité des données personnelles des citoyens suisses dans un monde actuel de plus en plus numérique.
Il est important de noter ici que si une entreprise se conforme aux règles du RGPD, elle aura très peu de changements à mettre en place pour être en conformité avec le nLPD.Mais il existe quelques différences.
Les bases de la loi nLPD
Essentiellement, cela signifie que les responsables du traitement et les sous-traitants sont tenus de garantir un niveau « adéquat » de protection des données. C’est-à-dire qu’ils doivent protéger l’intégrité, la confidentialité et la disponibilité des données personnelles au moyen de mesures de sécurité techniques et organisationnelles « adéquates ».
– Jonathan Da Dalto, Compliance and Delivery Manager chez Penta
Toutes les conditions suivantes sont applicables :
Les entreprises informeront les personnes concernées qu’elles utilisent leurs données et leur expliqueront pourquoi.
Il leur est ainsi impossible d’utiliser ces données à d’autres fins, au-delà de ce qui a été indiqué.
La collecte d’informations personnelles sera limitée à ce qui est directement pertinent et nécessaire au regard des finalités pour lesquelles elles sont traitées.
Les données doivent être supprimées dès qu’elles ne sont plus nécessaires.
Les données à caractère personnel ne seront utilisées qu’après avoir obtenu le consentement des personnes concernées, et celles-ci ont le droit de refuser.
L’entreprise utilisera exclusivement les données de la manière dont elle souhaiterait que ses propres données soient utilisées.
Elle vérifiera que les données ne contiennent pas d’erreurs ni d’écarts
Les données sensibles ne peuvent pas être transmises à des tiers.
Des mesures de sécurité seront mises en place pour garantir la sécurité des données.
Les données seront obtenues à partir de sources légales uniquement.
Qu’entend-on par données personnelles ?
La nLPD définit les données à caractère personnel de la manière suivante : « toute information se rapportant à une personne physique identifiée ou identifiable ».
Cela comprend, par exemple, une adresse e-mail, une adresse postale, un numéro de téléphone, un historique de commande, des données médicales, etc. ou n’importe quel élément permettant d’identifier une personne.
Ce qui signifie que tous les fichiers clients et dossiers de ressources humaines relèvent du champ d’application de la loi. Il est cependant intéressant de noter que les données relatives aux « personnes morales » (c’est-à-dire toute personne ou « entité », par exemple une entreprise, qui peut accomplir ce qu’un être humain a généralement le droit d’accomplir sous le regard de la loi – par exemple conclure des contrats, poursuivre et être poursuivi en justice, ou posséder des biens) ne sont pas concernées.
Quand la nLPD est-elle appliquée ?
À partir du moment où il existe un plan de traitement des données personnelles, ce qui est généralement le cas bien avant que les données ne soient effectivement obtenues.
S’il existe un risque pour la personne dont les données vont être utilisées (si cela affecte ses droits ou l’affecte personnellement), il est impératif d’effectuer d’abord une analyse d’impact.
Si une entreprise est victime d’une cyberattaque ou d’une faille de sécurité, elle doit la signaler rapidement à tous les utilisateurs et parties prenantes potentiellement concernées, ainsi qu’au préposé fédéral à la protection des données et à la transparence (PFPDT).
Que se passe-t-il si vous enfreignez la loi nLPD ?
Vous (en tant qu’individu) pouvez être condamné à une amende de 250 000 francs suisses. Une amende pouvant atteindre 50 000 francs suisses peut également être infligée à une entreprise dans les cas où l’identification de la personne responsable entraînerait un effort disproportionné.
Bien que cela soit nettement moins sévère que les amendes prévues par le RGPD (qui peuvent atteindre vingt millions d’euros ou 4 % du chiffre d’affaires mondial), le véritable danger est celui de l’atteinte à la réputation.
Comment la nLPD s’applique-t-elle aux PME ?
Toutes les règles de la nLPD s’appliquent exactement de la même manière pour les PME (petites et moyennes entreprises), mise à part le registre obligatoire du traitement des données.
En vertu des règles de la nLPD, toutes les entreprises doivent tenir un registre de leurs activités de traitement des données, à l’exception des PME dont le traitement des données présente un risque limité de préjudice pour la personne concernée.
Comment se conformer à la nLPD ?
Les premières étapes pour se conformer aux règles de la nLPD consistent à faire passer la protection des données en priorité et à effectuer une analyse des écarts en matière de protection des données.
Cela vous permettra :
d’analyser la situation actuelle ;
d’identifier les faiblesses et les risques potentiels ;
de définir une feuille de route pour mettre en œuvre de nouvelles mesures et limiter les risques.
En outre, il est conseillé de :
tenir un registre de toutes les activités de traitement (créer un registre de traitement des données) ;
définir des pratiques et procédures internes pour le stockage, l’utilisation, le transfert et la destruction des données, conformément à la loi nLPD ;
définir des processus pour les demandes d’accès SAR, le traitement des violations de données et l’analyse d’impact relative à la protection des données ;
former tous les employés sur la nLPD et toutes les questions liées à la confidentialité.
Cela peut également être une bonne idée de nommer un délégué à la protection des données (DPD). Le rôle d’un DPD est de veiller au respect de la loi et de fournir des conseils et des directives sur la protection des données.
En savoir plus sur la nLPD
Si vous avez des questions sur cette nouvelle loi, ou si vous souhaitez obtenir plus d’informations pour rester conforme à la nLPD,contactez-nous.
Jonathan Da Dalto
Manager, Compliance and Delivery at Penta
Jonathan a livré de nombreux projets à succès chez Penta. Son expertise repose sur des connaissances approfondies, une solide compréhension technique et une capacité à communiquer des exigences complexes aux divers intervenants du projet, qu’ils aient un profil technique ou non. Jonathan supervise la prestation de nos projets les plus importants et les plus complexes et veille à ce que les déploiements soient réalisés dans le respect des délais et des budgets prévus.
Si votre entreprise détient, contrôle ou traite des données et si elle est soumise à la loi sur la protection des données du DIFC, vous devez nommer...