Blog

La protection des données est devenue un enjeu prioritaire pour les entreprises ainsi que pour les particuliers. Ces dernières années, nous avons réalisé à quel point nos données avaient de la valeur et pourquoi il était important de les garder confidentielles, surtout lorsque celles-ci sont sensibles. D’autant plus que les récoltes de données ont tendance à s’intensifier et rendent constamment possibles de nouvelles manières de traiter ces informations. Le progrès technologique rapide et les nouveaux risques associés amènent le pouvoir législatif à devoir actualiser ses lois. C’est pour ces raisons que le Parlement suisse a adopté la nouvelle loi fédérale sur la protection des données (nLPD) lors d’une session en automne 2020.

Entrée en vigueur de la nLPD

Dès le 1er septembre 2023, la nLPD sera en vigueur. Cette dernière vise à offrir une meilleure garantie de protection pour nos données, afin que chacun puisse continuer sa vie numérique plus sereinement. Les entreprises qui collectent des données personnelles, donc la plupart des entreprises en somme, sont concernées puisque qu’elles devront observer de nouveaux principes et mettre en place des mesures et outils inédits afin de respecter cette base légale actualisée. 

Quels sont les changements majeurs ? 

1. Il sera désormais nécessaire d’informer quant à la collecte de n’importe quel type de données, sensibles ou non. On parle ici d’un « devoir d’informer ». Il était auparavant uniquement valable pour les données sensibles. 
2. Les données biométriques et génétiques seront considérées comme des données sensibles. 
3. Les données des personnes morales ne seront plus couvertes par la nLPD. Seules les données des personnes physiques le seront. 
4. Le principe de « Privacy by Design » sera instauré. L’expression peut être traduite comme « protection des données dès conception » et demande d’intégrer la protection des données et le respect de la sphère privée dans la conception de tous les produits ou services qui seraient amenés à récolter des données utilisateurs. 
5. Le principe de « Privacy by Default » sera également instauré. Il stipule que tout produit ou service mis en circulation doit être d’office configuré de manière à offrir le meilleur niveau de sécurité possible à l’utilisateur. C’est-à-dire que, dès la première utilisation du produit ou service, l’utilisateur doit bénéficier des meilleurs réglages de sécurité et de protection de la vie privée, sans avoir à les paramétrer.
6. Certaines entreprises devront tenir un registre des activités de traitement. Ce document recense tous les traitements de données effectués par l’entreprise et donne une vue d’ensemble de ce qui est fait avec les données personnelles récoltées. Les entreprises concernées sont les organisations employant plus de 250 personnes, les organes fédéraux ainsi que les entreprises qui traitent des données personnelles sensibles à grande échelle ou qui effectuent un profilage à haut risque.
7. Si les données présentent un risque élevé pour la personnalité ou les droits fondamentaux des utilisateurs, l’entreprise devra mener des analyses d’impact. Elles permettent d’évaluer et d’adresser les risques potentiels avec les données concernées.
8. Les entreprises seront tenues d’annoncer dans les plus brefs délais tout cas de violation de la sécurité des données. Les annonces doivent se faire au Préposé fédéral à la protection des données et à la transparence (PFPDT).
9. La notion de profilage sera introduite. Toute forme de traitement automatisé des données sera considérée comme du profilage. Est également introduite la notion de “profilage à haut risque” qui décrit un profilage qui engendre un risque élevé pour la personnalité ou les droits fondamentaux des personnes impliquées.

Ces neufs changements sont les principaux apportés par la nLPD qui comporte 74 articles. Vous pouvez consulter l’intégralité du texte sur le site de la Confédération.

Si vous avez de la peine à vous y retrouver parmi ces nouvelles directives, pas de panique ! Une foire aux questions est disponible et sera en mesure de répondre à la majorité de vos interrogations. S’il vous faut plus de soutien, de nombreux spécialistes vous proposent leurs services afin de vous aider à vous mettre à jour et à instaurer les éléments nécessaires au respect de ces nouvelles lois. Une autre alternative est de recruter ou de former quelqu’un à l’interne afin de veiller au respect de ces nouvelles directives sur la durée.