Protection des données en Suisse – Les règles pour les entreprises – SWISS21

Protection des données en Suisse – Les règles pour les entreprises

Fév 2, 2023

La protection des données à caractère personnel est une condition préalable essentielle à la bonne marche de toute entreprise. La loi révisée sur la protection des données (LPD) sera applicable en Suisse à partir de septembre 2023.

Ainsi, il est important de bien comprendre la loi, son champ d’application et les personnes concernées. Vous trouverez toutes les informations pertinentes sur la LPD dans cet article. Ce blog n’a pas la prétention d’être exhaustif. Pour plus d’informations, il convient de se référer à la loi révisée sur la protection des données et au règlement sur la protection des données. Le contenu ne doit pas être considéré comme une source d’information ayant force de loi.

protection des donnees en suisse

Histoire de la protection des données en Suisse

La première loi fédérale sur la protection des données à caractère personnel a été adoptée en 1992. Depuis, notre quotidien a évolué de manière fulgurante avec l’intégration d’Internet et des smartphones, si bien que les réseaux sociaux, les services de cloud computing ou l’Internet des objets rencontrent un succès croissant. C’est pourquoi une révision complète de la loi sur la protection des données était indispensable pour protéger correctement la population et lui permettre de faire face aux changements technologiques et sociétaux en constante évolution de notre époque.

Une autre préoccupation majeure est l’alignement du droit suisse sur le droit européen, en particulier sur le règlement général sur la protection des données (RGPD), afin d’assurer la libre circulation des données entre l’UE. Cela permet de garantir que les différentes exigences en matière de protection des données n’entraînent pas de désavantage concurrentiel pour les PME suisses.

Quels sont les changements pertinents dans la loi sur la protection des données ?

  • Seules les données des personnes physiques sont concernées et, comme pour le RGPD, les données des personnes morales ne sont plus prises en compte.
  • La loi prévoit des données sensibles qui seront traitées plus strictement. Les données génétiques et biométriques sont désormais incluses dans la définition des données sensibles.
  • Un nouvel article décrit deux nouveaux principes : « Privacy by Design » et « Privacy by Default« .
    « Privacy by Design » décrit la protection des données par la technique. Les entreprises doivent intégrer des bases de protection des données dès la planification et la structure des services et des produits si ceux-ci traitent des données à caractère personnel.
    Le principe « Privacy by Default » (protection des données par défaut) doit garantir que la protection maximale des données soit réglée par défaut lors de la mise en service de produits et de services. Ceci spécifiquement sans l’intervention de l’utilisateur final.
  • Les entreprises peuvent désormais faire appel à des conseillers en matière de protection des données qui, en tant qu’organisme indépendant, peuvent conseiller l’entreprise et sa direction. Contrairement à ce qui est prévu au niveau de l’UE, ce service de conseil est facultatif en Suisse.
  • Les analyses d’impact doivent dorénavant également être effectuées par les entreprises privées s’il existe un risque élevé d’atteinte à la personnalité ou aux droits fondamentaux des personnes concernées. Le risque élevé résulte de l’ampleur et de la finalité du traitement des données.
  • Un registre des activités de traitement devient obligatoire. Ce nouveau registre doit être tenu par le responsable du traitement des données et être constamment mis à jour. L’ordonnance relative à la loi prévoit toutefois une exception pour les PME de moins de 250 collaborateurs dont le traitement des données n’entraîne qu’un faible risque d’atteinte à la personnalité des personnes concernées.
  • L’obligation d’informer est étendue en ce sens que la personne concernée doit désormais être informée au préalable de manière adéquate lors de chaque collecte de données personnelles. Jusqu’à présent, cela ne valait que pour les données sensibles.
  • Les personnes concernées bénéficient dorénavant d’un droit d’accès élargi aux données personnelles. Les entreprises doivent mettre à disposition toutes les données dont elles disposent afin de garantir un traitement transparent des données.
  • Une notification rapide est nécessaire lorsque la sécurité des données a été violée. Elle doit être adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Les défis de la loi sur la protection des données

La nouvelle loi et le règlement sur la protection des données en Suisse visent à harmoniser la protection des données sensibles dans tout le pays et à l’adapter à la législation européenne. Plus précisément, elle confère aux internautes :

  • Le droit à l’oubli (ou à l’effacement). Les utilisateurs peuvent demander au responsable du traitement d’effacer des données à caractère personnel. Dans ce cas, il faut s’appuyer sur le retrait du consentement ou le droit d’opposition.
  • Le droit d’accès ou de rectification. Les données d’une personne peuvent être modifiées ou rectifiées si elle le souhaite, à condition que le responsable en soit averti.

La loi révisée sur la protection des données met l’accent sur le respect des droits des personnes. Ainsi, les organisations doivent respecter et garantir le droit à la portabilité des données. Vous avez la possibilité de transférer vos informations d’une organisation à une autre (par exemple de Spotify à Apple Music). Elles doivent en outre obtenir votre consentement clair et sans équivoque avant d’utiliser vos données.

Avec Swiss21 les tâches administratives

appartiennent au passé

Effectuez vos offres, factures, notes de frais et paiements en quelques clics

 

Que sont les données à caractère personnel ?

Pour mieux comprendre, nous devons d’abord définir les caractéristiques des données, puis la procédure qui se rapporte à leur traitement.

Définition et caractéristiques

La CNIL, ou Commission Nationale de l’Informatique et des Libertés, définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Actuellement, il existe 2 méthodes d’identification :

  • Directe: nom, prénom, etc.
  • Indirecte: numéro, identifiant, données biométriques, pseudonyme, etc.

À partir du moment où il est possible de remonter à une personne physique via ces informations collectées, il y a traitement de données à caractère personnel. La collecte de données à caractère personnel peut se faire par le biais de :

  • Un seul ensemble de données : l’ADN
  • Un croisement de plusieurs données : un fichier contenant l’adresse, la date de naissance, etc.

Le procédé utilisé varie d’une organisation à l’autre: collecte, conservation, enregistrement, extraction, consultation, communication par transmission, comparaison, etc.

En outre, le traitement automatisé n’est pas le seul à être pris en considération. Le traitement des données transmises sur papier l’est également. La politique de protection des données doit donc être la même dans les deux cas.

Le traitement des données en soi

Le traitement des données à caractère personnel concerne toutes les opérations ou les ensembles d’opérations portant sur ces informations. Par exemple :

  • Lorsqu’il y a une mise à jour d’un fichier de fournisseurs.
  • Lorsqu’on recueille les coordonnées d’un client potentiel via un questionnaire.
  • Quand un professionnel tient un fichier sur ses clients.

Il n’est toutefois pas nécessaire de protéger les données sensibles quand il s’agit d’un fichier interne à l’entreprise. C’est le cas quand les coordonnées d’une entreprise indiquent des informations standard. Dans cette situation, la présente directive n’entre pas en vigueur.

Qui sont les personnes concernées par la LPD?

Ces règles de protection des données s’appliquent aux organisations publiques et privées dès lors qu’elles traitent des informations personnelles. Toutefois, elles s’appliquent également aux sous-traitants, c’est-à-dire aux tiers.

Par exemple, si vous faites du démarchage pour une grande entreprise, vous êtes soumis à la LPD. De même, les prestataires de services qui ont accès à des données privées doivent se conformer à la LPD.

La LPD est une obligation légale pour une organisation, indépendamment de son secteur d’activité, et de sa taille. Ainsi, tant une PME qu’une multinationale seront sanctionnées pénalement ou administrativement si elles ne respectent pas cette réglementation.

Ce règlement concerne aussi les organisations étrangères dont l’objectif commercial se trouve en Suisse. Par exemple, si une boutique en ligne américaine livre des produits en Suisse, elle doit se soumettre aux directives suisses.

lpg obligatoire

La LPG est-elle obligatoire ?

Compte tenu des données collectées sans raison valable, cette loi est obligatoire pour les entreprises et les organisations. En effet, le traitement des données à caractère personnel doit avoir une finalité.

Il doit y avoir un intérêt légitime, car vous ne pouvez pas collecter uniquement « au cas où ». Ainsi, il doit avoir un lien avec votre activité professionnelle pour ne pas constituer une infraction. Voici les principes établis par cette réglementation:

  • La licéité du traitement
  • Le principe de responsabilité
  • Le principe de « Privacy by design ».
  • La minimisation des données

En résumé, la loi révisée sur la protection des données est une initiative visant à protéger les données à caractère personnel. Elle s’adresse aux organisations basées en Suisse et à celles qui ciblent les citoyens suisses. Elle confère des droits aux internautes et les entreprises sont tenues de s’y conformer au risque d’être poursuivies en justice.

Que dois-je faire pour être en conformité avec la protection des données ?

Pour les PME qui se sont déjà adaptées au RGPD en 2018, les adaptations ne sont pas très importantes. Pour les autres, les points suivants sont recommandés comme bonne base pour une entreprise conforme à la protection des données selon la LPD révisée :

  1. Vérifier les déclarations de protection des données et les adapter si nécessaire. Ceci sur le site web, les contrats, les médias sociaux, etc.
  2. Adapter les directives pour le traitement des données au sein de l’entreprise.
  3. Réviser les accords et les contrats avec les agences et les entreprises partenaires externes afin de garantir la sécurité des données. Les considérations relatives au traitement et à la transmission des données, au stockage des données et à la notification des violations de la protection des données sont pertinentes.
  4. Engager ou désigner une personne chargée de la protection des données et l’annoncer au PFPDT.
  5. Créer un registre du traitement des données, conformément au ordonance sur la protection des données. Comme nous l’avons déjà mentionné, les entreprises de moins de 250 employés sont exemptés s’il n’y a pas de risque élevé d’atteinte à la personnalité.
  6. Mettre en place un processus pour répondre aux questions des personnes concernées, comme une demande d’effacement des données d’un client.
  7. Créer un processus pour la notification des violations de données au PFPDT.
  8. Créer un processus pour les analyses d’impact requises si l’entreprise prend un risque élevé dans le traitement des données.
  9. Vérifier si des données sont transférées vers d’autres pays. Si c’est le cas, vérifier si ces pays sont inscrits sur la liste des pays autorisés par le Conseil fédéral. Dans le cas contraire, des conditions plus strictes s’appliquent à la protection des données ! Exemple : enregistrement des données d’adresses dans un CRM en nuage en Chine. Le cas échéant, il faut envisager de passer à un logiciel suisse.
fabian kopp swiss21 1

Rédacteur: Fabian Kopp

Fabian est un expert en marketing digital ainsi qu’en gestion des ressources humaines. Il a effectué un master à l’université de Berne dans le domaine Business Administration.

Il est en charge du markéting opérationnel chez Swiss21 et gère les différents réseaux sociaux ainsi que la communauté. Il contribue également au développement de la marque. Nous espérons que cet article répondra à vos besoins et on se réjouit de revenir vers vous avec un nouveau sujet !

C’est quoi un compte de résultat ?

C’est quoi un compte de résultat ?

Si on est au courant des performances et de la santé financière de son entreprise, on peut mieux la gérer, d’où l’existence d’un compte de résultat.

Release Note 04.11.2020

Release Note 04.11.2020

Nouveautés de la version du 04.11.2020. Tableau de bord 1. Tableau de bord remanié Adresses 2. Compléter les adresses...