La nouvelle loi sur la protection des données (LPD) entre en vigueur le 1er septembre 2023. Toutes les entreprises de Suisse sont concernées, y compris les PME. Explications.
La Suisse se dote de nouvelles dispositions légales en matière de protection des données, qui entrent en vigueur le 1er septembre 2023. "C’est un pas important pour la Suisse et ses entreprises, explique Leonie Ritscher, responsable de projets chez economiesuisse et experte de ce dossier. Il faut dire que la loi précédente datait de 1992, et que l’usage des données a considérablement évolué depuis."
Un des objectifs de la nouvelle loi sur la protection des données (LPD) vise à garantir la compatibilité avec le droit international, et notamment le règlement général sur la protection des données (RGPD) adopté par l’Union européenne en 2016. "Le RGPD prévoit un échange de données transfrontière sans exigences supplémentaires avec des États tiers présentant un niveau de protection des données adéquat. La Suisse bénéficiait jusqu’ici d’une reconnaissance de fait, qui est cependant en cours de réexamen. La révision législative permet de répondre à cette question, tout en intégrant certaines spécificités propres à notre pays."
Spécificités suisses
Les entreprises suisses qui ont déjà adapté leurs pratiques à la RGPD sont donc sur la bonne voie, mais elles doivent néanmoins vérifier certains détails pour être sûres d’être conformes à la nouvelle législation suisse, résume l’experte. "Cela concerne notamment le devoir d'information lors de la collecte de données personnelles et la définition des données personnelles particulièrement sensibles." Autre point d’attention: les entreprises doivent nommer une personne physique responsable des questions relatives à la protection des données, qui pourra être sanctionnée en cas d’infraction à la LPD.
"Toutes les entreprises sont concernées, dont les PME", précise Leonie Ritscher. Certains aspects de la loi concernent cependant uniquement les sociétés qui traitent un grand volume de data ou des données personnelles particulièrement sensibles, par exemple relatives à la santé. "Je recommande vivement d’être au clair sur les mesures à prendre sans attendre la dernière minute, d’autant plus qu’il est toujours plus compliqué d’implémenter de nouveaux processus durant l’été en raison des absences dans les équipes."
Attente des clients
La start-up zurichoise Yooture fait partie des entreprises qui exploitent beaucoup de données. Elle a lancé il y a neuf ans une application de "job matching", qui vise à faciliter les candidatures et les recrutements. Yooture a enregistré plus de 500'000 téléchargements depuis son lancement, et compte à ce jour près de 250'000 profils d’utilisateurs enregistrés et 2’000 entreprises clientes.
"L’exploitation de données sensibles est un sujet qui nous occupe depuis le lancement du projet, notamment pour répondre aux demandes de nos clients, explique Claudio Lehmann, cofondateur de Yooture. Par exemple, on nous pose souvent la question si nos données sont hébergées en Suisse, ce qui est bien le cas. Les utilisateurs de l’application peuvent par ailleurs effacer l’entièreté de leur profil en quelques clics."
Comme l’application est hébergée sur des plateformes internationales et qu’elle accueille aussi des candidats provenant de pays voisins, Yooture s’est mise en règle avec le RGPD dès son entrée en vigueur. "La révision de la LPD nous a cependant poussé à vérifier nos pratiques et nos documents avec un avocat spécialisé." À ceux qui ne se sont pas encore confrontés à ces questions, l’entrepreneur conseille de commencer par approfondir le sujet sur le web. "Il existe de très nombreuses ressources utiles disponibles gratuitement. Elles peuvent par exemple aider à établir un modèle de conditions générales ou de politique de confidentialité, que l’on peut soumettre dans un deuxième temps à un expert en droit pour vérifier et compléter ces documents."
Un avis partagé par Leonie Ritscher: "Certains entrepreneurs peuvent se dire que la protection des données est un sujet insaisissable et compliqué, mais cela vaut vraiment la peine d’y consacrer le temps nécessaire. D’autant plus que la protection des données constitue aussi un enjeu de réputation. Investir dans la protection des données est un gage pour l’avenir de son entreprise."
Informations
Sur le thème
Conformité avec la LPD, ressources utiles
Pour être sûr d’être prêt au moment de l’entrée en vigueur de la nouvelle loi, il faut commencer par faire un état des lieux: quelles sont les données stockées, comment sont-elles traitées, qui sont les personnes qui y ont accès? "Nous avons publié une FAQ pour sensibiliser les entreprises sur le sujet, mais elle a été publiée avant l’ordonnance, et ne prend donc pas en compte celle-ci", précise Leonie Ritscher, responsable de projets chez economiesuisse. Plusieurs associations faîtières ont aussi publié des documents résumant les enjeux, que l’on peut consulter avant de faire appel si nécessaire à un spécialiste."
Dernière modification 01.03.2023
