Nous y sommes presque. La révision de la loi sur la protection des données qui entrera en vigueur le 1er septembre prochain s’accompagne d’un renforcement des devoirs en matière de renseignement, d’information et d’annonce. La nouvelle loi concerne toutes les entreprises, quelle que soit leur taille. En effet, elles disposent toutes d’une multitude de données de clients, de fournisseurs, de partenaires commerciaux et de collaborateurs. Dans le monde digital actuel en proie aux cyberattaques, les nouvelles dispositions contraignent les entreprises à garantir la sécurité des données et à réduire de manière significative le risque d’utilisation abusive de ces données.
La loi sur la protection des données s’appliquera dès son entrée en vigueur le 1er septembre 2023, sans aucun délai transitoire. Par conséquent, pour les entreprises qui ne l’ont pas encore fait, il est urgent de mettre à profit les prochains mois pour adapter leur concept de protection des données au Règlement Général sur la Protection des Données (RGPD) de l'UE, qui représente la norme européenne dont la loi suisse s’inspire.
Que faut-il entreprendre pour satisfaire aux nouvelles exigences en matière de protection des données?
Avant toute chose, il ne faut pas sous-estimer l’expertise requise en matière de protection des données, les ressources matérielles et humaines ainsi que le temps nécessaires pour se mettre en conformité avec les nouvelles dispositions.
5 choses à faire
1. Définir les activités de traitement
La nouvelle loi renforce le devoir d'information des entreprises. Elles sont désormais tenues d’informer les personnes physiques sur le traitement de leurs données personnelles, et notamment de communiquer l’identité et les coordonnées de la personnes responsable du traitement des données, la finalité du traitement et les raisons qui le motivent, le destinataire des données ainsi que des informations relatives à la durée de conservation des données, etc (retrouvez des informations détaillées ici). Les entreprises doivent également respecter les droits des personnes concernées, qui correspondent aux droits des personnes face aux entreprises qui traitent leurs données. Les entreprises doivent donc pouvoir fournir aux personnes concernées des renseignements sur le traitement de leurs données personnelles. En règle générale, elles ont 30 jours pour le faire, ce qui n'est pas excessif, compte tenu de la charge administrative que cela peut éventuellement représenter.
Néanmoins, cela présuppose que les entreprises sachent dans quels processus et activités d’entreprise elles traitent des données personnelles, dans quel but elles le font et, si des données sont communiquées à l’étranger et/ou à des tiers, de quelles données il s'agit. Il est donc indispensable de procéder à un état des lieux complet. La manière la plus efficace de le faire est de créer un registre dans lequel vous dressez l’inventaire de tous les processus qui impliquent ou traitent des données personnelles. Relevez les principales caractéristiques des différents processus pour obtenir une vue d'ensemble, qui sera également une base solide pour évaluer les risques liés à la protection des données. Les entreprises de plus de 250 collaborateurs ont l’obligation de tenir un inventaire plus formel, appelé «Registre des activités de traitement», mais les entreprises qui n'atteignent pas ce seuil ont elles aussi l’obligation de connaître leurs activités de traitement et d’en évaluer les risques, raison pour laquelle elles doivent de facto elles aussi tenir un inventaire ou une liste.
2. Identifier, analyser et évaluer les risques
Après avoir recensé tous les processus de traitement de données personnelles, vous pouvez commencer l’indispensable évaluation des risques. Cela consiste à évaluer, pour chaque processus de l’inventaire, le risque en matière de protection des données par rapport aux personnes concernées. L’évaluation doit faire ressortir les différents dangers du traitement en termes de probabilité d’occurrence et d’impact et permettre de catégoriser ces dangers. Concrètement, plus la quantité de données traitées est importante, plus ces données sont sensibles et plus il y a de parties impliquées dans leur traitement, alors plus le risque est élevé. Lorsque les caractéristiques des activités de traitement sont correctement inventoriées, l’évaluation des risques et sa documentation sont rapides.
3. Appliquer correctement les mesures techniques et organisationnelles
L’étape suivante consiste à vérifier si des mesures techniques et organisationnelles (MTO) sont définies et mises en œuvre pour les différentes activités de traitement. Le principe est simple: plus une activité de traitement est risquée, plus les mesures à mettre en œuvre doivent être rigoureuses et étendues pour réduire le risque à un niveau acceptable. S'agissant de sa propension aux risques, une entreprise ou une organisation doit donc définir des mesures techniques (généralement des mesures de sécurité IT) ou organisationnelles (des directives ou des contrôles) pour réduire les risques. Une entreprise ou une organisation est donc tenue de définir et de mettre en œuvre des MTO pour prévenir les cyberattaques, le vol de données ou toute autre forme de perte de données. Elle se base pour cela sur le risque évalué (voir point 2. Identifier, analyser et évaluer les risques). L’évaluation des risques doit faire l’objet d’une mise à jour régulière. Si nécessaire, les MTO doivent également être adaptés aux nouvelles circonstances et aux évolutions techniques. Il est également important de tester régulièrement la mise en œuvre correcte des MTO et leur efficacité. Les activités visant à minimiser les risques devraient absolument être documentées afin que l'entreprise puisse prouver sa diligence (et celle des organes responsables) dans l’éventualité d’une procédure pénale.
4. S'acquitter des nouveaux devoirs d’information
A l'avenir, les organes de direction d’entreprises ou d’organisations qui ne s'acquitteront pas suffisamment de leur devoir d'information lors de la collecte de données personnelles s'exposent à des sanctions pénales et des amendes pouvant aller jusqu’à 250’000 francs. L’information doit porter notamment sur l’identité et les coordonnées de l’entreprise ou de l’organisation qui collecte les données personnelles, sur le but du traitement et sur les destinataires en cas de transmission à des tiers. Si des données personnelles sont communiquées à l'étranger, il faut également communiquer les pays destinataires ainsi que les éventuelles garanties mises en œuvre pour assurer une protection adéquate des données personnelles ou les exceptions qui s’appliquent. Habituellement, les informations qui s’adressent à des tiers sont communiquées dans des déclarations de protection des données publiées sur le site Internet. Les informations destinées aux collaborateurs sont généralement communiquées dans les règlements du personnel ou les annexes au contrat de travail. Les logiciels ou applications spécifiques ont souvent leur propre déclaration de protection des données.
5. Assurer les processus – garantir l’efficacité des procédures internes
Pour assumer les devoirs prévus dans la nouvelle loi (par ex.les demandes d'accès et de suppression), les processus internes doivent être clairs et fonctionnels: il faut notamment être en mesure de respecter les droits des personnes concernées (voir point 1. Définir les activités de traitement) ou être capable de réagir aux incidents en lien avec la protection des données conformément à la loi (lorsqu’il y a perte illicite de données personnelles). Il est recommandé d’établir des listes de contrôles et des diagrammes de flux, qui, en fonction de la situation, permettent d’indiquer les tâches à effectuer, les délais impartis et les collaborateurs compétents. Posez-vous les questions (générales) suivantes pour vérifier et garantir le bon fonctionnement des processus internes:
- La procédure à suivre en cas d'incident en lien avec la protection des données est-elle clairement définie? Les responsabilités sont-elles établies et le processus interne défini permet-il de satisfaire à l'obligation d’annonce au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans un délai de 72 heures?
- La planification des ressources et les processus définis permettent-ils de traiter les demandes d'accès ou de suppression et d’y répondre, même en cas de nombreuses demandes simultanées (délai de 30 jours)?
- Lors de la mise en place de nouveaux systèmes informatiques ou de modifications de systèmes ou de logiciels existants, peut-on garantir que l’on vérifie la nécessité d’effectuer une analyse d'impact sur la protection des données?
- Quelle est la procédure à suivre lors de l’introduction de nouveaux processus impliquant le traitement de données personnelles ou lorsque des processus existants sont modifiés?
- A-t-on pris toutes les mesures nécessaires au respect des devoirs d'information (y compris l'élaboration ou l'adaptation du règlement sur la protection des données, des conditions générales, etc.) et les responsabilités sont-elles clairement établies?
D’ici l’entrée en vigueur de la révision de la loi sur la protection des données, il est recommandé de se concentrer sur les 5 choses à faire et de mettre en œuvre les mesures mentionnées afin d’être prêt le 1er septembre prochain.
Vous trouverez d’autres articles et publications via le champ de recherche ci-dessus ou dans le menu, sous «Publications».
Assurez-vous une longueur d’avance en termes de connaissances et abonnez-vous aux News et actualités de BDO.
Prêt pour la nouvelle loi sur la protection des données?
Faites le test maintenant.