Toute entreprise qui traite ou sous-traite les données personnelles (DP) de personnes physiques en Suisse ou qui vise le marché suisse doit examiner la manière dont elle protège la personnalité et les droits fondamentaux des personnes concernées, textes légaux et règlementaires à l’appui.
 

LA PROTECTION DES DONNEES PERSONNELLES AU CŒUR DE L’ECONOMIE NUMERIQUE : UNE OBLIGATION POUR UN AVANTAGE CONCURRENTIEL

 
La protection des données personnelles accompagne l’expression de la citoyenneté, la nécessaire responsabilisation des individus et l’indispensable souveraineté numérique des individus, des entreprises et des organisations publiques.

L’informatique, au service de chaque citoyen, pose le principe de l’autodétermination informationnelle, ou autrement dit la maîtrise par l’individu de ses données. Elle ne doit porter atteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés fondamentales.

La maîtrise des outils numériques et de l’environnement des systèmes d’informations par le citoyen, consommateur, patient, client, salarié, chef d’entreprise, et la transparence quant à la finalité des traitements de données réalisés, permettent à chacun de connaître et faire valoir ses droits et libertés.
Deux textes juridiques clefs viennent accompagner les entreprises suisses dans leur processus de conformité de sécurité informatique et de protection de la vie privée :

 

LE REGLEMENT EUROPEEN SUR LA PROTECTION DES DONNEES PERSONNELLES

Concernant les textes contraignants de l’Union européenne (UE), la Suisse n’est pas directement touchée par le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Elle n’est donc pas tenue de transposer le règlement dans son droit interne. Cependant, elle y reste soumise en tant qu’Etat tiers. Aussi, les entreprises suisses sont concernées par le RGPD lorsqu’elles agissent en qualité de responsable du traitement (anciennement « maître de fichier ») ou de sous-traitant non-établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services pour des résidents de l’UE, qu’un paiement soit exigé ou non.
 

LA NOUVELLE LOI FEDERALE SUR LA PROTECTION DES DONNEES

Initiée 15 septembre 2017, la révision de la loi sur la protection des données (LPD) du 19 juin 1992 a été finalisée le 25 septembre 2020 (entrée en vigueur probable fin 2021), par le vote du Parlement fédéral validant le renforcement de la protection de la sphère privée et l’autodétermination informationnelle de la population suisse et apporte des adaptations à la réalité numérique.

Chaque entreprise suisse intègrera la nouvelle LPD d’autant plus aisément si elle est déjà conforme à la réglementation européenne précitée dont la ligne directrice commune est la responsabilisation de chaque acteur (« accountability »).

 

OBLIGATIONS RENFORCEES POUR LE RESPONSABLE DE TRAITEMENT ET LE SOUS-TRAITANT

 

L’entreprise responsable du traitement en Suisse

Soumise au principe de minimisation des données et au devoir d’information des personnes concernées lorsqu’elle traite des données personnelles, l’entreprise en question doit:

  • faire droit à une demande, par la personne concernée, d’’accès, de portabilité, de révision par une personne physique d’une décision automatisée ;
  • tenir un registre des traitements (à la place de la déclaration actuelle de certains fichiers) ;
  • sauf exceptions prévues par la loi.

En outre, elle devra réaliser une analyse d’impact préalable en cas de risque élevé pour les droits des personnes concernées, annoncer les violations de sécurité au Préposé ou à la personne concernée (si nécessaire ou à la demande du Préposé) ou encore s’assurer que le sous-traitant est en mesure de garantir la sécurité des données.

Sous-traitance en Suisse ou dans l’UE

Quelle que soit la domiciliation de l’entreprise sous-traitante (UE ou Suisse), un traitement de données personnelles ne peut être confié à un sous-traitant qu’en vertu de la loi ou sur la base d’un contrat. Le sous-traitant doit, lui aussi, tenir un registre de ses activités de traitement.

Dispositions pénales renforcées

Le volet pénal de la LPD a décuplé le montant de l’amende (250’000 francs), constituée sur plainte, en cas de violation intentionnelle de l’obligation d’informer, de renseigner et de collaborer, de l’obligation de diligence (communication des DP à l’étranger/confier le traitement de DP à un sous-traitant/failles de sécurité en violation des articles 8, 9, 16 nouvelle LPD), du devoir de discrétion.

 

OUTIL POUR LES ENTREPRISES : LE PRIVACY BY DESIGN – BY DEFAULT

 
Le principe du “Privacy by design/by default” n’est pas optionnel pour les entreprises : la protection des données à caractère personnel est une obligation inhérente à chacune de ses activités.

 
Toute PME doit désormais intégrer la protection des données à caractère personnel dès la conception de projets rattachés au traitement des données, ce qui permet de minimiser les risques d’un non-respect du RGPD et de la LPD.

 
En effet, la nouvelle LPD pose le principe de protection des données à la conception (technologie/projet nouveau) et par défaut (le plus haut niveau de protection). Ainsi l’entreprise responsable du traitement de données personnelles doit mettre en place des mesures techniques et organisationnelles, par le biais de préréglages appropriés à la finalité du traitement et au regard notamment de l’état de la technique, du type de traitement et son étendue ainsi que du risque que le traitement présente pour la personnalité ou les droits fondamentaux des personnes concernées. Ces mesures doivent assurer aux personnes concernées, sans démarche de leur part, un traitement de données aussi limité que possible.
 

COMMUNICATION ET TRANSFERT DE DONNEES : ENCADREES, MAIS FACILITEES

 
Au-delà d’un rapprochement terminologique avec les textes européens, la nouvelle LPD sécurise le cadre juridique imposé aux entreprises travaillant à l’international. Le renouvellement par l’UE de l’adéquation de la Suisse facilitera l’échange de données sans formalités particulières. Et parallèlement, la nouvelle LPD intègre le principe d’une validation de l’adéquation d’un pays tiers ou d’un organisme international en matière de protection des données par décision du Conseil fédéral.

 
A défaut, les garanties produites par un organe fédéral, un traité, des clauses types ou contractuelles, des règles d’entreprises contraignantes préalablement communiquées à ou validées par le Préposé fédéral à la protection des données et à la transparence autorisent la communication des DP à l’étranger.
 

LA CYBERSECURITE, NOUVEAU FER DE LANCE PROTEGEANT L’ACTIVITE DE TOUTE ENTREPRISE ET LES DONNEES PERSONNELLES

 
Les conséquences d’un vol ou d’une perte de données peuvent avoir des conséquences désastreuses pour les utilisateurs et pour l’image de l’entreprise, car la protection des données et la cybersécurité concernent les organisations à tous les échelons: des entreprises américaines comme Capital One (vol des données personnelles de 106 millions de clients de la banque en juillet 2019), à Equifax (cyberattaque et divulgation des données sensibles de 143 millions de personnes en juillet 2017) ou Eurofins (groupe français spécialisée dans la bio-analyse victime d’un rançongiciel ayant impacté son CA à hauteur de 70 millions $ en juin 2019), à côté d’organismes publiques comme l’EPFZ et le Centre suisse de calcul scientifique (CSCS) attaqués le 14 mai 2020.

 
Les entreprises, qu’elles soient sous-traitantes ou responsables de traitement, ont l’obligation de prendre toutes les mesures organisationnelles et techniques permettant de sécuriser les données personnelles proportionnellement au risque encouru – selon les exigences minimales édictées par le Conseil fédéral – à savoir une violation de la sécurité des données et donc une atteinte potentielle à la personnalité et aux droits fondamentaux des personnes dont les données sont traitées.

 
Citons par exemple, La Poste Suisse qui avait mis en place une mesure de prévention, en février 2019, par un test « bug bounty » évaluant les infrastructures de la nouvelle génération de système de vote électronique ; les white hackers ont alors découvert une vulnérabilité potentiellement dangereuse pour la fiabilité des résultats d’un scrutin. Cette pratique d’hygiène informatique participe à la protection des données.

 
Les violations de sécurité des données doivent aujourd’hui être annoncées par le responsable de traitement au Préposé fédéral à la protection des données et à la transparence en cas de violation entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée et par le sous-traitant au responsable de traitement, quel que soit le niveau de risque pour la personnalité ou les droits fondamentaux de la personne concernée.

 
Alors oui, la conformité au RGPD/LPD est un avantage concurrentiel : elle permet de repenser le système d’information au niveau interne ou externe et participe au renforcement de la sécurité des entreprises. La gestion comme la protection des données améliorent l’efficacité et la productivité de l’entreprise génératrices de revenus. Sa mise en application concrète, au quotidien, des principes de confiance et de transparence participe à la responsabilité sociétale et rassurent clients, prospects, donneurs d’ordre et partenaires !
 
Juriste titulaire d‘un diplôme d’études approfondies, consacré à la protection des personnes (orienté protection des patients) et à leurs droits fondamentaux, Elisabeth Illiano-Demacon a entrepris, après plusieurs expériences des environnements médicaux hospitalo-universitaires, juridiques et associatifs, d’enrichir son parcours académique par une formation de juriste en droit du digital. Déléguée à la protection des données pour des organisations professionnelles basées en Suisse et en France, son travail se concentre sur la protection des données de santé.

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider