La Suisse se dote d’une nouvelle loi sur la protection des données. Celle-ci entrera en vigueur le 1er septembre et apporte avec elle une grande quantité d’obligations. Pour que les prestataires de formation continue puissent se préparer à la nouvelle loi, la FSEA a proposé un séminaire en ligne avec un expert.
La nouvelle loi sur la protection des données (LPD), totalement révisée, entrera en vigueur en Suisse le 1er septembre de cette année. Elle placera la protection des données au même niveau que dans l’Union européenne. Les entreprises qui se sont déjà ajustées au règlement général européen sur la protection des données (RGPD) n’auront que peu de modifications à mettre en place, comme l’indique la Confédération sur son portail PME. Mais pour les autres, il y a fort à faire. Et attention: la nouvelle LPD prend effet sans aucun délai de transition.
Séminaire en ligne pour les points majeurs
Pour que les prestataires de formation continue puissent se préparer à la nouvelle loi, la FSEA a proposé en juin un séminaire en ligne qui a fait la lumière sur les modifications majeures, mais a aussi mis fin aux malentendus et aux fausses idées. Ce séminaire était tenu par l’avocat Michael Widmer qui étudie les thématiques de la protection des données depuis 15 ans et qui enseigne, entre autres, un CAS sur la protection des données à l’Université des sciences appliquées de Zurich (ZHAW).
On entend souvent dire que la nouvelle LPD demande surtout beaucoup d’efforts et n’apporte que peu de bénéfices. À chacun son avis sur la question, réagit Michael Widmer. Dans tous les cas, il est bon de se pencher en temps voulu sur le sujet.
N’oublions pas qu’en cas d’infraction aux directives de la LPD, les conséquences peuvent revenir cher. Tout d’abord, dès le 1er septembre, l’engagement d’une procédure civile pour infraction aux droits de la personnalité sera entièrement gratuit pour la partie plaignante. De plus, les amendes pénales pour infraction à la LPD peuvent s’élever jusqu’à 250 000 francs; mais l’avocat nous rassure en rappelant que cette somme est plutôt prévue pour les grandes entreprises.
Malgré tout, une telle infraction peut devenir désagréable pour l’individu concerné: en effet, le·la coupable est en principe une personne physique, par exemple la directrice ou le directeur d’une entreprise. Certes, seul un manquement délibéré à ses obligations peut être sanctionné; mais le dol éventuel suffit, rappelle Michael Widmer. Et l’élément qui ne doit pas être négligé: aucune assurance ne peut couvrir les infractions à la LPD.
Les «personnes identifiables» sont aussi protégées
Dorénavant, la nouvelle LPD concerne uniquement les données de personnes physiques. Cela signifie que les données visées sont celles qui se rapportent à une «personne physique identifiée ou identifiable». Toutefois, cela peut se révéler délicat, comme l’explique Michael Widmer. Ainsi, plusieurs données différentes peuvent, une fois réunies, permettre de déduire l’identité d’une personne même si l’ensemble de données ne contient ni nom ni adresse. Dans le cas où l’identité d’une personne peut être déduite grâce à certaines combinaisons de données, il s’agit bien d’une personne identifiable et la loi sur la protection des données s’applique.
Dans la mesure où votre propre entreprise est soumise à la nouvelle LPD (les autorités cantonales, par exemple, font exception), une déclaration de protection des données est tout d’abord nécessaire, comme l’observe Michael Widmer. En d’autres termes: vous faites l’objet d’un devoir d’informer quant au type de données que vous traitez. Michael Widmer précise que cette communication peut aussi être faite à l’oral. Mais il s’avère alors relativement difficile, en cas de litige, de prouver que l’on a bien satisfait à son devoir d’informer. La règle devrait donc être de mettre à disposition une déclaration de protection des données, sur votre site web par exemple.
Les méprises communes
L’une des erreurs les plus communes concernant la nouvelle LPD consiste à croire que le traitement de données personnelles ne saurait autorisé qu’avec l’accord de la personne concernée. Sur ce point, la LPD diffère de la loi européenne. En Suisse, il est en principe admis de traiter des données personnelles, à condition de respecter certains principes de base.
L’idée commune selon laquelle un consentement serait toujours nécessaire pour pouvoir envoyer une newsletter n’est, elle aussi, pas entièrement correcte, selon Michael Widmer. Aucun consentement n’est nécessaire pour envoyer une newsletter à quelqu’un avec qui l’on entretient déjà une relation commerciale. Mais la situation est différente si l’on utilise n’importe quelle adresse (par exemple celle indiquée sur une carte de visite que l’on nous a remise): dans ce cas, un consentement est nécessaire. Toutefois, cela dépend aussi du prestataire utilisé pour l’envoi des newsletters. Si l’on a recours par exemple au logiciel américain Mailchimp, les données sont transmises vers un pays étranger dont le niveau de protection assuré est qualifié d’inadéquat; ce qui complique les choses, comme nous le développerons plus bas.
La soi-disant obligation de nommer un·e conseiller·ère à la protection des données n’est, elle aussi, qu’une idée reçue, selon Michael Widmer. Il est toutefois judicieux de désigner, au sein de l’entreprise, une personne qui s’occupera de cette thématique.
Enfin, l’avocat explique qu’il convient aussi de faire une distinction en ce qui concerne le devoir d’informer. Certes, il faut communiquer les informations concernant les données personnelles traitées dès qu’une personne concernée l’exige. Mais dans le même temps, il faut tenir compte du fait que les autres données personnelles ne soient pas affectées.
Les premiers pas
Pour commencer, Michael Widmer recommande de déterminer quelles données personnelles sont traitées au sein de l’entreprise, et de créer pour cela un registre des activités de traitement. Certes, les entreprises qui emploient moins de 250 collaboratrices et collaborateurs n’y sont pas obligées, à condition que l’on n’y traite pas un grand volume de données particulièrement sensibles et qu’il n’y ait pas de profilage à risque élevé. Mais on constate qu’il est quasiment impossible de rédiger une déclaration de protection des données sans registre des activités de traitement. Et la déclaration de protection des données est en revanche incluse dans le devoir d’informer.
Le registre des activités de traitement peut être un simple fichier Excel. On devrait y trouver, au minimum: l’identité du responsable, la finalité du traitement, les catégories de données personnelles et de destinataires, la durée de conservation des données ou les critères de détermination de cette durée, une description des mesures visant à garantir la sécurité des données ainsi que, le cas échéant, les informations concernant la communication de données à l’étranger (nom du pays concerné et garanties prévues).
Il convient également, selon Michael Widmer, de contrôler tous les contrats conclus avec des prestataires (par exemple avec des fournisseurs de services informatiques ou de cloud ou avec des prestataires RH) à la lumière des nouvelles réglementations de protection des données, et de les ajuster si besoin. La vérification de la sécurité des données devrait aussi compter parmi les premières étapes. Il peut être utile de restreindre les droits d’accès (aux listes de participant·es par exemple), de crypter certaines catégories de données ou d’avoir recours à d’autres mesures de protection des données.
Pays aux niveaux de protection adéquats ou inadéquats
Comme l’a montré la discussion qui a suivi la présentation, la grande difficulté de la nouvelle LPD réside dans les détails, ou plutôt dans les outils utilisés au quotidien tel que Zoom, Dropbox, Teams et autres, qu’il s’agisse de services de cloud ou de services d’envoi de newsletters tels que Mailchimp. Comme le transcrit l’avocat: «une relation compliquée».
Car il faut, en principe, distinguer les pays au niveau de protection adéquat de ceux au niveau adéquat (des listes correspondantes sont disponibles sur Internet). Ainsi, les pays de l’UE sont considérés comme assurant un niveau de protection adéquat, si bien que la divulgation de données y est possible sans complications; tandis que les États-Unis font partie des pays au niveau de protection inadéquat. En résumé: si vous utilisez des logiciels ou des services de cloud venus des États-Unis, ou si vous transférez vos données sur des serveurs localisés dans un pays qui n’assure pas un niveau de protection adéquat, vous devez faire particulièrement attention ou obtenir un consentement qui corresponde. Le site web du Préposé fédéral à la protection des données et à la transparence (PFPDT) fournit des instructions concernant la façon de procéder en cas de communication de données personnelles à l’étranger. Comme l’affirme l’avocat, la communication de données vers un pays qui n’assure pas un niveau de protection adéquat signifiera toujours des efforts beaucoup plus importants. Il serait donc recommandé de chercher des alternatives: par exemple des fournisseurs de services localisés en Suisse ou dans l’UE ou l’EEE; cela vaut également pour l’emplacement des serveurs.
Comme on peut le constater, l’application des nouvelles dispositions demande beaucoup de temps. Michael Widmer recommande donc de s’y mettre dès maintenant. Vous trouverez sur Internet de nombreuses informations détaillées concernant la nouvelle loi, sur de nombreux sites web. La page du PFPDT concernant la nouvelle loi sur la protection des données peut servir de point de départ.