Contact




    La << nouvelle >> Loi fédérale sur la Protection des données (nLPD) : Bilan un an après

    La « nouvelle » Loi fédérale sur la Protection des Données (nLPD) a récemment fêté son premier anniversaire – occasion que nous avons saisie pour célébrer avec nos clients durant un petit-déjeuner dédié au sujet dans nos locaux. A travers cet article, nous vous rappelons les principaux changements à prendre en compte lorsque votre entité traite des données personnelles en suisse.

    Pourquoi une nouvelle loi ?

    Les raisons sont multiples. Il existait tout d’abord un certain besoin d’harmonisation face à l’entrée en vigueur du Règlement Général sur la Protection des données (RGPD) dans l’Union Européenne (UE) le 25 mai 2018. Il était devenu impératif pour la suisse de se mettre à niveau face à ce règlement qui impose des barrières juridiques contraignantes à un état membre de l’UE pour transférer des données personnelles à un état non-membre de l’UE comme la suisse.

    Nous pouvons également mentionner le besoin de modernisation de la loi pour s’adapter aux dernières évolutions technologiques. Les smartphones, le cloud, l’IA, l’IoT… tous ces éléments qui sont entrés dans notre quotidien sur lesquels sont hébergés, transitent des données personnelles et devaient nécessairement être encadrés afin d’offrir une protection minimale de l’individu, de ses droits, ainsi qu’une transparence sur le traitement de ses données personnelles.

    Les nouvelles exigences en bref

    Là encore, les changements apportés sont nombreux. Pour ne citer que les plus importants :

    • Un nouveau champ d’application: seules les données personnelles des personnes physiques sont désormais couvertes par la nLPD, et non plus celles des personnes morales.
    • Introduction des principes de « Privacy by design and by default » : il est nécessaire d’intégrer la protection des données personnelles des utilisateurs dès le stade de conception d’un projet amené à traiter (collecter, transmettre, anonymiser, etc.) des données personnelles. De plus, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger « par défaut » avec le niveau de sécurité le plus élevé les données et à respecter la vie privée des utilisateurs.
    • Introduction de la notion d’analyse d’impact: Si le traitement de données personnelles envisagé par une organisation est susceptible d’entraîner un risque élevé pour la personne concernée, le responsable du traitement devra désormais procéder au préalable à une analyse d’impact.
    • Le devoir d’informer du responsable de traitement est étendu : Auparavant, seule la collecte de données personnelles sensibles devait faire l’objet d’une information de la personne concernée.
    • Procédure d’annonce : Le responsable du traitement doit maintenant annoncer au Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) les cas de violation de la sécurité des données entraînant un risque élevé pour la personne concernée.
    • Registre des activités de traitement: il existe maintenant une obligation de tenir à jour un registre des activités de traitement avec cependant une exception pour les organisations qui emploient moins de 250 collaborateurs et/ou dont le traitement des données présente un risque limité pour les personnes concernées.
    • Nommer un DPO : les organisations ont la possibilité de nommer un DPO afin de d’éviter des contraintes administratives importantes auprès des autorités. Pour plus d’informations à ce sujet, consultez notre page dédiée au DPO : https://www.meanquest.ch/sequal/dpo-as-a-service/

    Assurer la sécurité de vos données personnelles : une obligation légale…

    En effet, il est désormais obligatoire pour une organisation traitant des données personnelles de mettre en place des « mesures organisationnelles et techniques appropriées par rapport au risque encouru »[1].

    Evidemment, toute obligation légale s’accompagne de sanctions en cas de non-respect. Ainsi, la nLPD prévoit des amendes à hauteur de 250 000 francs au plus pour les personnes privées au sein d’une organisation qui seraient reconnues coupable d’une violation d’une de ces dispositions.

     

    … mais surtout une opportunité pour maitriser vos risques de sécurité de l’information

     

    La nLPD, bien que globalement plus contraignante que sa prédécesseuse, apparait aussi comme une excellente opportunité pour identifier, évaluer et traiter vos risques liés à la sécurité des données personnelles que vous traitez.

    En analysant l’ordonnance d’application de la nLPD (l’OPDo), ce sont l’identification même et le traitement des risques qui deviennent obligatoires : « […] par rapport au risque encouru »[2]. Cela fait sens. La pertinence des mesures de sécurité va nécessairement dépendre des risques identifiés au sein de votre organisation.

    Pour aller encore plus loin, l’OPDo, entrée en vigueur en même temps que le nLPD et qui complète cette dernière, vient préciser cette obligation :

     

    « Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées[3] »

     

    Cela signifie que non seulement une identification des risques est nécessaire, mais qu’en plus, ces risques doivent être régulièrement réévaluées.

     

    Comment sequal peut vous accompagner dans votre mise en conformité à la nLPD ?

     

    sequal peut vous accompagner pour votre mise en conformité face à ces nouvelles obligations. Tout d’abord, la conduite d’un audit initial de protection des données et de sécurité de l’information nous permet d’identifier vos risques dans ces domaines, et de vous proposer par la suite un accompagnement sur mesure en fonction de vos besoins (pouvant aller jusqu’à l’obtention des certifications ISO 27001 et 27701). Pour plus d’informations, consultez notre page dédiée à l’accompagnement : https://www.meanquest.ch/sequal/conformite-lpd/

     

    [1] Article 8 de la Loi fédérale sur la protection des données (LPD), du 19 juin 1992 (état le 1er septembre 2023), RS 235.1.

    [2] Ibid.

    [3] Article 1, al. 5 de l’Ordonnance sur la protection des données des organes fédéraux (OPDO), du 14 juin 1993 (état le 1er septembre 2023), RS 235.11.

    Suggestions de news

    Don des anciennes tablettes MBC à la fondation Jobtrek

    Meanquest fait don de tablettes MBC à la fondation Jobtrek pour soutenir l’inclusion professionnelle.

    En route vers une démarche responsable !

    Meanquest présente sa stratégie RSE

    Retour en vidéo sur le Swiss IT Forum(s) 2024 à Genève

    Découvrez la vidéo de notre présence au Swiss IT Forum(s) 2024 à Genève sur notre news.

     

    Swiss IT Forum(s) Genève 2024: L’événement informatique de référence en Suisse Romande

    Meanquest participe au Swiss IT Forum(s) qui aura lieu les 25 et 26 septembre 2024 à Palexpo. Venez nous rencontrer!