Fin 2016, le Conseil Fédéral a mis en consultation l’avant-projet de révision de la Loi fédérale sur la Protection des Données (LPD). Si la majorité des entreprises suisses sont peu exposées, 45% d’entre elles doivent s’y intéresser sérieusement pour se mettre en conformité… Et avec les directives européennes en cours, l’enjeu est majeur pour l’économie de la Fédération et son image de coffre-fort numérique auprès du reste de l’Europe.

VOTRE ENTREPRISE EST-ELLE CONCERNÉE ?

L’Analyse de l’Impact de la Règlementation (AIR) a mis en évidence trois types d’entreprises Suisses, selon leur exposition à la LPD.

  • Le segment A est le moins exposé et le plus large, avec environ 55% des entreprises. Il réunit les petites entreprises locales, sans activité à l’étranger, comme une boucherie par exemple. La mise en conformité de ces entreprises, bien que nécessaire, ne demande pas beaucoup d’actions.
  • Le segment B rassemble les entreprises moyennement exposées qui traitent les données de leurs clients par l’intermédiaire de technologies Web ou Cloud, parfois à l’étranger. C’est dans ce segment que le plus gros travail de mise en conformité devra être effectué.
  • Le segment C représente une niche : les entreprises dont le traitement de données est le cœur de métier, comme les organisations « Big Data » ou les prestataires de Cloud. Ces entreprises très exposées sont, en général, très réactives sur leur mise en conformité, sans laquelle toute leur activité est menacée.

Cependant, quel que soit le segment, toutes les entreprises de la Confédération doivent étudier le nouveau projet de loi pour mettre à jour leur mode de fonctionnement.

POURQUOI RÉVISER LA LOI ?

La Loi fédérale sur la Protection des Données a été mise en vigueur le 1er juillet 1993. Depuis, le paysage technologique et sociétal a bien changé, et cette loi ne permet plus de protéger efficacement les personnes. C’est pourquoi une réévaluation a été lancée en 2010, afin de mettre à jour la LPD et d’améliorer son efficacité. D’autres lois sont indirectement impactées et seront modifiées afin d’être homogènes avec les nouvelles règlementations.

En particulier, la révision de la loi vise en premier lieu à améliorer la transparence des traitements et du contrôle des suisses sur leurs données, et à faciliter l’exercice de leur droit. Elle responsabilise également les responsables des traitements, et renforce la surveillance du respect des dispositions mises en place.

Ce projet tombe à pic, puisqu’il arrive en même temps que les nouvelles directives européennes. La Suisse faisant partie de l’accord Schengen, elle doit suivre les dispositions légales de la directive (UE) 2016/680. Cette dernière, concernant la protection des personnes physiques à l’égard du traitement des données personnelles à des fins pénales, est en effet un « développement de l’acquis de Schengen ».

Mais le besoin de mise en conformité n’est pas uniquement politique. En effet, pour pouvoir traiter les données personnelles de ressortissants européen, la Confédération doit fournir un niveau de protection équivalent au niveau imposé par l’UE. La Suisse dispose déjà, actuellement, d’une décision de la Commission Européenne indiquant qu’elle garantit un niveau adéquat de protection des données. Ainsi la LPD a-t-elle pour objectif de se rapprocher de la directive (UE) 2016/679 pour que cette décision soit maintenue et qu’elle permettre aux entreprises suisses de maintenir des échanges de données, et donc des échanges économiques, avec les pays de l’Union.

QUELLES DONNÉES PERSONNELLES SONT CONCERNÉES ?

L’avant-projet supprime la protection des données des personnes morales, en dehors des droits d’auteurs, de la protection de la personnalité et de la concurrence déloyale. Il rejoint en cela la majorité des directives nationales des pays européens, et facilite les échanges de données avec ces derniers.

Le devoir d’information est, lui, étendu à tous les traitements dans le secteur privé. Quant aux « données sensibles », elles incluent désormais les données génétiques et les données biométriques identifiant un individu de manière unique.

UN CHANGEMENT D’APPROCHE VERS UNE HOMOGÉNÉISATION

La révision de la Loi fédérale sur la Protection des Données permet d’assurer à cette dernière une pérennité plus importante qu’auparavant. Par exemple, elle bénéficie d’une neutralité lui permettant de s’appliquer à n’importe quelle technologie, afin de ne pas freiner l’innovation.

Le Conseil fédéral a également profité de l’occasion pour adopter une terminologie compatible avec le droit européen, pour une meilleure compréhension, et une adaptation future simplifiée. Par exemple, le « maître du fichier » suisse devient le « responsable du traitement », un terme utilisé par les directives européennes.

Mais surtout, l’avant-projet change d’approche. À l’image de normes internationales comme l’ISO 27001, il se base sur le risque potentiel encouru par les personnes. Ainsi, les entreprises dont l’activité présente un risque accru pour les données traitées (par exemple, une société de vente de bases de données) se verront imposer plus d’obligations qu’une entreprise présentant un risque moins élevé (par exemple, une société fonctionnant avec un fichier clients).

 

UN IMPACT HUMAIN DES DEUX CÔTÉS DE L’ÉCRAN

Les personnes concernées (propriétaires des données) bénéficient de droits renforcés. L’avant-projet redéfinit notamment la notion de consentement. Les personnes sont beaucoup mieux informées sur leurs données, leur traitement et leur utilisation (sur laquelle elles peuvent, dans certains cas, donner leur avis), mais également sur le responsable du traitement.

En parallèle, ce dernier voit la liste de ses obligations s’allonger ! Au-delà des contraintes d’information, le responsable du traitement doit, dans certains cas, analyser le risque lié au traitement des données et agir en conséquence. L’avant-projet lui propose également certaines mesures techniques de paramétrage des systèmes pour une meilleure protection. Enfin, le responsable a l’obligation d’informer le Préposé fédéral à la Protection des Données et à la Transparence en cas de traitement non autorisé ou de perte de données.

En contrepartie, il se voit allégé de certaines tâches, comme celle de décider si un Etat extérieur à la Suisse offre un niveau de protection suffisant pour permettre un échange de données. Cette mission est confiée au Conseil fédéral. L’avant-projet propose également des options alternatives pour malgré tout permettre un transfert de données dans des conditions non optimales.

DES SANCTIONS PLUS LOURDES

L’avant-projet responsabilise le responsable du traitement, de manière assez directe. En cas de non-respect de la Loi, une amende jusqu’à 500 000 francs suisses peut lui être demandée… Et c’est seulement dans certains cas spécifiques qu’elle peut être transférée à son entreprise.

Cette somme, plus importante qu’auparavant, fait partie des mesures dissuasives proposées par le Conseil Fédéral. Les conséquences pénales, en cas de violation, sont ainsi renforcées. Cela permet au Préposé d’avoir un rôle plus important, lui qui ne peut pas prendre de sanctions administratives. L’avant-projet lui permet en outre d’imposer des décisions contraignantes à l’égard du responsable du traitement, et de lancer des enquêtes si besoin.

Pour plus d’information, rendez-vous sur le site du Préposé fédéral à la protection des données et à la transparence ou contactez nos équipes !

Lucie Saunois
 

No Comments