Meanquest fait don de tablettes MBC à la fondation Jobtrek pour soutenir l’inclusion professionnelle.
La « nouvelle » Loi fédérale sur la Protection des Données (nLPD) a récemment fêté son premier anniversaire – occasion que nous avons saisie pour célébrer avec nos clients durant un petit-déjeuner dédié au sujet dans nos locaux. A travers cet article, nous vous rappelons les principaux changements à prendre en compte lorsque votre entité traite des données personnelles en suisse.
Les nouvelles exigences en bref
Là encore, les changements apportés sont nombreux. Pour ne citer que les plus importants :
- Un nouveau champ d’application: seules les données personnelles des personnes physiques sont désormais couvertes par la nLPD, et non plus celles des personnes morales.
- Introduction des principes de « Privacy by design and by default » : il est nécessaire d’intégrer la protection des données personnelles des utilisateurs dès le stade de conception d’un projet amené à traiter (collecter, transmettre, anonymiser, etc.) des données personnelles. De plus, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger « par défaut » avec le niveau de sécurité le plus élevé les données et à respecter la vie privée des utilisateurs.
- Introduction de la notion d’analyse d’impact: Si le traitement de données personnelles envisagé par une organisation est susceptible d’entraîner un risque élevé pour la personne concernée, le responsable du traitement devra désormais procéder au préalable à une analyse d’impact.
- Le devoir d’informer du responsable de traitement est étendu : Auparavant, seule la collecte de données personnelles sensibles devait faire l’objet d’une information de la personne concernée.
- Procédure d’annonce : Le responsable du traitement doit maintenant annoncer au Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) les cas de violation de la sécurité des données entraînant un risque élevé pour la personne concernée.
- Registre des activités de traitement: il existe maintenant une obligation de tenir à jour un registre des activités de traitement avec cependant une exception pour les organisations qui emploient moins de 250 collaborateurs et/ou dont le traitement des données présente un risque limité pour les personnes concernées.
- Nommer un DPO : les organisations ont la possibilité de nommer un DPO afin de d’éviter des contraintes administratives importantes auprès des autorités. Pour plus d’informations à ce sujet, consultez notre page dédiée au DPO : https://www.meanquest.ch/sequal/dpo-as-a-service/
Assurer la sécurité de vos données personnelles : une obligation légale…
En effet, il est désormais obligatoire pour une organisation traitant des données personnelles de mettre en place des « mesures organisationnelles et techniques appropriées par rapport au risque encouru »[1].
Evidemment, toute obligation légale s’accompagne de sanctions en cas de non-respect. Ainsi, la nLPD prévoit des amendes à hauteur de 250 000 francs au plus pour les personnes privées au sein d’une organisation qui seraient reconnues coupable d’une violation d’une de ces dispositions.
… mais surtout une opportunité pour maitriser vos risques de sécurité de l’information
La nLPD, bien que globalement plus contraignante que sa prédécesseuse, apparait aussi comme une excellente opportunité pour identifier, évaluer et traiter vos risques liés à la sécurité des données personnelles que vous traitez.
En analysant l’ordonnance d’application de la nLPD (l’OPDo), ce sont l’identification même et le traitement des risques qui deviennent obligatoires : « […] par rapport au risque encouru »[2]. Cela fait sens. La pertinence des mesures de sécurité va nécessairement dépendre des risques identifiés au sein de votre organisation.
Pour aller encore plus loin, l’OPDo, entrée en vigueur en même temps que le nLPD et qui complète cette dernière, vient préciser cette obligation :
« Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées[3] »
Cela signifie que non seulement une identification des risques est nécessaire, mais qu’en plus, ces risques doivent être régulièrement réévaluées.
Comment sequal peut vous accompagner dans votre mise en conformité à la nLPD ?
sequal peut vous accompagner pour votre mise en conformité face à ces nouvelles obligations. Tout d’abord, la conduite d’un audit initial de protection des données et de sécurité de l’information nous permet d’identifier vos risques dans ces domaines, et de vous proposer par la suite un accompagnement sur mesure en fonction de vos besoins (pouvant aller jusqu’à l’obtention des certifications ISO 27001 et 27701). Pour plus d’informations, consultez notre page dédiée à l’accompagnement : https://www.meanquest.ch/sequal/conformite-lpd/
[1] Article 8 de la Loi fédérale sur la protection des données (LPD), du 19 juin 1992 (état le 1er septembre 2023), RS 235.1.
[2] Ibid.
[3] Article 1, al. 5 de l’Ordonnance sur la protection des données des organes fédéraux (OPDO), du 14 juin 1993 (état le 1er septembre 2023), RS 235.11.