NFS Group News

Nouvelle loi sur la protection des données : qu'est-ce qui va changer?

Rédigé par NFS Group | 03 juil. 2023

L'utilisation quotidienne à des fins privées et professionnelles d'internet, des clouds, des PC, des smartphones, des programmes et des logiciels, devenue presque indispensable, expose la population à des risques liés à l'utilisation de ses données personnelles. C'est pourquoi, lors de la session d'automne 2020, le Parlement a adopté la nouvelle loi fédérale sur la protection des données (nLPD), qui vise à améliorer le traitement des données personnelles et à accorder de nouveaux droits aux citoyens suisses. La révision totale de la LPD entrera en vigueur le 1er septembre 2023, sans période d'adaptation.


En Suisse, un nombre important d'entreprises s'étaient déjà adaptées au Règlement général sur la protection des données (RGPD) de l'UE et n'ont plus que quelques changements à entreprendre. Pour les entreprises restantes, l'adaptation du droit suisse au droit européen est une question centrale. En effet, le nouveau droit devrait permettre de préserver la libre circulation des données avec l'Union européenne (UE) et d'assurer ainsi la compétitivité des entreprises suisses.

Que faut-il savoir sur la nLPD ?

La nLPD et l'ordonnance correspondante s'appliquent au traitement des données personnelles par les particuliers et les organes fédéraux. Elles concernent donc les entreprises privées, suisses et étrangères, actives sur le marché suisse, les associations et les particuliers en général (qui restent exemptés des exigences en matière de protection des données, pour autant qu'ils traitent des données personnelles exclusivement à des fins privées).

La législation couvre le traitement de toutes les données relatives à une personne physique identifiée ou identifiable, y compris l'acquisition, le stockage, la conservation, l'utilisation, la modification, la divulgation, l'archivage, l'effacement ou la destruction des données.

La révision ne prévoit pas de changements significatifs dans les principes de traitement, de sorte que les activités de traitement des données actuellement autorisées devraient généralement le rester sous la nouvelle loi :

  • Les données à caractère personnel ne peuvent être traitées que de manière licite, en toute bonne foi et conformément au principe de proportionnalité
  • Il est important que les données ne soient traitées qu'aux fins pour lesquelles elles ont été collectées et qu'elles soient également reconnaissables par la personne concernée (utilisation captive)

En revanche, les cas dans lesquels le traitement des données est considéré comme illégal sont les suivants :

  • Violation des principes de traitement
  • Objection expresse de la personne concernée
  • Divulgation à des tiers de données à caractère personnel bénéficiant d'une protection particulière


Nouvelle loi sur la protection des données : quelles obligations pour les entreprises ?

Ce changement législatif important s'accompagne d'un certain nombre d'obligations pour les entreprises (responsables du traitement des données) et les sous-traitants (personnes physiques). Pour les premières, les obligations suivantes s'appliquent :

  • Conformité
    • Les programmes et processus mis en œuvre doivent protéger les droits fondamentaux des personnes physiques (employés, clients, fournisseurs, utilisateurs en ligne) dont les données sont traitées
    • Les mesures techniques et organisationnelles doivent être appropriées pour garantir la sécurité des données

  • Le devoir d'information (la transparence comme principe cardinal)
    • Les données à caractère personnel ne peuvent être collectées que dans un but précis et identifiable pour la personne concernée
    • La finalité est reconnaissable lorsque la personne concernée a été informée, lorsque le traitement est prévu par la loi ou lorsqu'il ressort clairement des circonstances
    • Les données doivent être traitées conformément à la finalité initiale, de sorte qu'un traitement ultérieur n'est pas autorisé si la personne concernée peut légitimement le considérer comme inattendu, inapproprié et répréhensible
    • Pour remplir cette obligation, la personne concernée doit être en mesure de prendre effectivement connaissance de l'information d'une manière facilement accessible

  • Mesures techniques et organisationnelles (principe de responsabilité)
    • Afin de prévenir et d'atténuer les risques pour les droits fondamentaux des personnes concernées, les responsables du traitement doivent démontrer, documenter et illustrer la mise en œuvre d'un processus approprié pour protéger les personnes concernées.



 

Que se passe-t-il si une entreprise ne se conforme pas à la nLPD ?

 

  • Conséquences administratives
    Les pouvoirs du Préposé fédéral à la protection des données (PFPDT) pour faire appliquer le nLPD ont été étendus. Il peut, de sa propre initiative ou sur notification, ouvrir une enquête à l'encontre d'une entreprise et, en cas de violation des règles de protection des données, ordonner des mesures étendues, y compris la modification ou la suspension du traitement des données, voire la suppression des données 
  • Conséquences civiles
    En vertu de la nLPD, les personnes concernées disposent de recours de droit civil pour faire valoir leurs droits
  • Conséquences pénales
    Renforcement des dispositions pénales en cas de violations ou d'infractions à l'encontre du responsable du traitement des données et, en particulier, des dirigeants, administrateurs et décideurs au sein des entreprises (responsables du traitement des données) :
    • Les violations intentionnelles de certaines obligations sont sanctionnées
    • Les personnes physiques seront responsables des amendes, sauf si l'amende applicable dépasse 50 000 CHF et que l'identification des auteurs nécessite des mesures disproportionnées. Dans ce cas, c'est l'entreprise qui sera responsable. L'amende peut aller jusqu'à 5 millions de francs suisses


Comment atténuer les risques ?

Différentes solutions permettent d'éviter les erreurs ou les défaillances dans le traitement des données :

  • Des programmes de traitement des données conformes au GDPR et à la nLPD qui permettent de respecter les exigences légales (accessibilité, sécurité, finalité) 
  • Attention au choix des mots de passe, des identifiants d'authentification (MFA : authentification multifactorielle), des systèmes d'autorisation, de la formation des employés
  • Antivirus, pare-feu (fréquemment mis à jour) 
  • Sauvegardes fréquentes et protégées des données : sauvegardes cryptées/chiffrées (alias protégés par mot de passe)
  • Politiques en matière de risques cybernétiques
    La souscription de ce type de police protège l'entreprise contre les dommages résultant de la perte ou de la détérioration de données, par exemple en cas de cyberattaques, de négligence, etc
  • Faites confiance à des professionnels pour assurer la conformité de vos pratiques commerciales et protéger vos opérations en vous fournissant les bons outils. Chez NFS Group, nous sommes toujours au courant non seulement des réglementations en vigueur, mais aussi des meilleurs moyens de respecter la loi et de ne pas courir de risques.

Il ne reste que quelques mois pour prendre les mesures nécessaires à la mise en œuvre de la nouvelle loi, alors ne vous laissez pas prendre au dépourvu.

Divulgation d'informations : un événement pour nos clients

Nous nous efforçons de toujours offrir à nos clients un service hautement qualifié.

Chez NFS Group, nous tenons à ce que nos clients soient au courant des sujets les plus importants pour leur entreprise et nous organisons régulièrement des événements de partage et d'échange. Le dernier, le vendredi 23 juin, était précisément consacré à la nouvelle loi sur la protection des données, et nous avons veillé à ce que chacun dispose des informations nécessaires pour s'adapter et se protéger, ainsi que son entreprise.

Vous souhaitez connaître notre approche et nos valeurs ?