La Suisse s’adapte à la numérisation rapide de la société. La nouvelle loi sur la protection des données renforce la gouvernance des données personnelles et assure la compatibilité du droit suisse avec le droit européen. Tout le cycle de vie des données personnelles est concerné : la collecte, le stockage (dont la durée de conservation), l’utilisation, le transfert et enfin l’effacement des données.
- Quel est l’impact de la nLPD pour Infomaniak, ses partenaires et les propriétaires de sites ?
- Comment se mettre en conformité avec la nLPD ?
Nous faisons le tour de cette évolution avec Tiago Pedro, Data Protection Officer (DPO) d’Infomaniak. Les informations contenues dans cet article sont fournies à titre indicatif et ne remplacent pas les conseils d’un professionnel dans votre cas d’application.
Protéger les données est notre première responsabilité
La protection des données est au cœur de notre métier et de nos solutions. Elle oriente nos choix dès les premiers stades de conception et tout au long de la vie de nos produits.
En tant que client(e) d’Infomaniak, vos données sont traitées et hébergées :
- par une entreprise suisse, indépendante, en conformité avec le droit européen, dont le modèle d’affaires n’est pas l’analyse et la vente de données ;
- par des technologies et des logiciels développés par Infomaniak ou basés sur des technologies open source ;
- dans des centres de données exclusivement gérés par Infomaniak en Suisse.
Notre politique de confidentialité des données est claire et transparente :
- Nous traitons vos informations personnelles comme si elles étaient les nôtres.
- Nous utilisons des données personnelles que pour assurer vos services et nos activités (facturation, support client, etc.).
- Chaque processus de traitement des données est répertorié et documenté.
En tant que prestataire cloud, nous avons une double responsabilité :
- Lorsque nous traitons des données personnelles liées à notre activité propre, nous sommes « Responsables de traitement de données ».
- Lorsque nous hébergeons les données que vous nous confiez, nous sommes « sous-traitants ».
Par conséquent, nous mettons en œuvre les moyens techniques et organisationnels pour :
- Assurer un haut niveau de protection de vos données personnelles.
- Vous permettre de respecter vos obligations légales liées à l’utilisation de nos services.
Comprendre la nouvelle loi suisse sur la protection des données
Qui est concerné ? De quelles données parle-t-on ? Qu’est-ce qui change ? Que faut-il savoir ?
La nLPD concerne toutes les organisations suisses ou étrangères qui traitent des données de personnes situées en Suisse, où que ce soit dans le monde. Cela concerne les collaborateurs, les clients, les prospects, les administrés, leurs sous-traitants, tiers, etc. Des amendes peuvent être infligées aux personnes effectivement responsables d’un manquement/violation à la nLPD.
Elle concerne toutes les données personnelles :
Données personnelles
- Nom, Prénom
- Adresse mail
- Numéro de téléphone
- Adresse postale
- …
Données personnelles sensibles
- Empreintes biométriques
- Informations médicales
- Casier judiciaire
- Origine ethnique
- Opinion politique
- …
4 notions pour comprendre la nouvelle LPD
- L’analyse d’impact : si un traitement de données personnelles peut entraîner un risque élevé d’atteinte aux droits de la personne, il est requis d’analyser l’impact en cas de fuite de données, d’attaque malveillante, d’usurpation d’identité, etc.
- La proportionnalité : il est requis de détruire les données dont on a plus besoin. Des mesures de sécurité appropriées (techniques et organisationnelles) doivent être mises en place en regard des risques identifiés. Les entreprises de 250 personnes ou plus doivent créer un registre des activités de traitement des données personnelles.
- La transparence : il est requis d’informer de manière exhaustive sur le traitement de toutes les données personnelles et leurs éventuels transferts. S’il existe un risque élevé d’atteinte aux droits de la personne, il faut annoncer les violations de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.
- L’efficacité : en cas de manquement à la nLPD, le PFPDT peut agir rapidement en prenant lui-même des décisions. Les dispositions pénales sont beaucoup plus fermes (de CHF 10 000.- à 250 000.-).
Comment se mettre en conformité avec la nLPD ?
En fonction de la localisation des personnes dont vous traitez les données, vous devez savoir si votre organisation doit se conformer à la nLPD, au règlement général sur la protection des données (RGPD) en Europe ou les deux.
Si votre organisation est déjà conforme au RGPD, on peut raisonnablement partir du principe qu’il n’y a pas grand-chose à faire. Si votre organisation traite seulement des données personnelles d’individus localisés en Suisse, une vérification approfondie s’impose pour veiller à la conformité avec la nLPD.
Questions fréquentes concernant la nLPD
- Est-il obligatoire de désigner un responsable de traitement des données personnelles ? C’est une fausse question. Le « responsable du traitement » (vous) est une notion qui désigne une personne privée ou un organe fédéral qui traite des données personnelles et par extension, ses sous-traitants. À ne pas confondre avec un « Conseiller à la protection des données » (équivalent DPO) dont la nomination est facultative pour les entreprises.
- Faut-il une bannière de cookies/consentement sur un site Web suisse ? Si votre site s’adresse seulement aux visiteurs suisses, il n’est pas nécessaire d’obtenir le consentement de vos utilisateurs pour utiliser des cookies (sauf exception pour des données sensibles, un risque élevé et du profilage). Il faut dans tous les cas informer sur le traitement des données et informer d’un droit de refus du traitement des données.
- Peut-on utiliser des outils comme Hotjar ou GA4 avec la nLPD ? En principe, ces outils sont assimilés aux cookies. Ils sont autorisés dans le même cadre que les cookies tant que l’utilisateur ne le refuse pas, par exemple via les réglages de protection des données de son navigateur Web.
Bien démarrer sa mise en conformité avec la nLPD
Par quoi commencer ? Voici une bonne base pour entamer la démarche de mise en conformité avec la nouvelle loi sur la protection des données :
1. Une politique de protection des données transparente
La première étape est de cartographier les traitements des données personnelles pour identifier des risques particuliers. Votre organisation doit acquérir une bonne connaissance d’elle-même en matière de données personnelles.
Il n’y a pas de schéma standard, mais votre politique de confidentialité des données doit contenir toutes les informations détaillées, par ex. : expliquer quel est le traitement de quelle donnée, sa finalité, sa durée de conservation, le moyen de sécurisation, avec qui la donnée est partagée, dans quel pays et comment elle est exploitée par des tiers (vendeurs par ex.). Plusieurs cas de figure requièrent l’établissement d’un registre des activités de traitement contenant une série d’indications décrites à l’art. 12 nLPD. C’est le cas pour les entreprises de plus de 250 collaborateurs, celles qui traitent des données sensibles à grande échelle ou dont les traitements constituent un profilage à risque élevé.
2. Moins de données, moins de risques, moins de dommages
Votre organisation doit agir de manière responsable. Il faut se demander si certaines données ne sont pas superflues et les supprimer. Lorsque les traitements sont identifiés et décrits, on peut en évaluer la sécurité. On attend de votre organisation qu’elle adopte les mesures techniques et organisationnelles adéquates : privacy by design, by default. C’est un processus d’amélioration continue.
3. Mettre en place des règles et un cadre clair
Votre organisation doit instaurer des règles et les transmettre à tous les échelons l’organisation. Avec la nLPD, la responsabilité peut descendre en dessous de la direction si des manquements apparaissent. La protection des données doit donc faire partie de la communication interne, du recrutement, etc. Cela peut prendre la forme de jeux de rôles, de quizz, de vidéos informatives, etc. La protection des données doit s’intégrer à tous les processus pertinents et devenir un réflexe à tous les étages de votre organisation.
***
La protection des données est un sujet qu’il faut prendre au sérieux et nous espérons que cet article vous a aidé à bien comprendre les enjeux de la nLPD et à répondre à vos questions.
Infomaniak est un prestataire cloud engagé en matière de protection des données et il est important de prendre du temps dans votre organisation pour vous assurer d’être en conformité avec la nLPD et le RGPD et, en cas de doute, de vous faire accompagner par un professionnel.