Après près de quatre ans de discussions, le Parlement a adopté la révision de la loi sur la protection des données. Celle-ci devrait entrer en vigueur à la mi-2022. Mais les PME ont tout intérêt à se préparer dès maintenant à son application.
La loi révisée sur la protection des données contient plusieurs nouveautés, notamment plus de droits pour les personnes concernées, la promotion de la prévention, et le renforcement des contrôles. Par ailleurs, les dispositions pénales ont été élargies. La nouvelle loi sur la protection des données remplace la loi précédente de 1992, devenue obsolète en raison des évolutions technologiques. La loi suisse sur la protection des données a également pour but de répondre aux exigences européennes. Le règlement général de l’UE sur la protection des données (RGPD) est en vigueur depuis le 25 mai 2018, et s’applique à l’ensemble de l’Espace économique européen depuis le 20 juillet 2018, y compris au Liechtenstein, en Islande, et en Norvège. Que signifient les nouvelles dispositions de la loi révisée sur la protection des données pour les PME? L’association Bridge2digital propose une aide à l’autonomie dans la mise en œuvre de la nouvelle réglementation. Wolfgang Pfister, responsable du groupe spécialisé "Security & Compliance" de l’association, nous donne ici des informations à ce sujet.
À quoi les PME doivent-elles prêter attention concernant la nouvelle loi sur la protection des données?
Wolfgang Pfister: La loi révisée sur la protection des données s’applique exclusivement aux données personnelles et non à celles des entreprises. Dès lors qu’une PME a des employés et des clients, elle dispose aussi de données personnelles et doit donc respecter les obligations liées à la protection. La nouvelle loi prévoit des obligations d’information plus vastes, notamment celle de créer un registre des activités de traitement des données et plus de droits pour les personnes concernées. Les données personnelles particulièrement sensibles incluent désormais aussi les données génétiques et biométriques, telles que les empreintes digitales ou le scan de la rétine. Le Conseil fédéral a mis en consultation l’ordonnance relative à la loi. Celle-ci devrait entrer en vigueur à la mi-2022. Mais les PME ont tout intérêt à se préparer dès maintenant à son application.
Quels problèmes les PME peuvent-elles rencontrer avec l’application des nouvelles règles?
Wolfgang Pfister: Les PME qui collectent ou traitent des données à caractère personnel doivent indiquer dans une déclaration relative à la protection des données quelles informations des clients sont traitées quand ces derniers consultent leur site Web, utilisent leurs services en ligne, ou quand l’entreprise fournit des prestations au client. L’association Bridge2digital aide les PME à créer une déclaration de protection des données à l’aide d’un document modèle. Ce modèle peut être adapté à différents secteurs, qu’il s’agisse d’un cabinet médical, de vente (en ligne), ou d’une entreprise artisanale.
Conformément à la loi, seules les données concrètement nécessaires peuvent être collectées. Une PME peut avoir des questions concernant les accords avec les fournisseurs et prestataires de solutions Cloud. Les données peuvent être communiquées à l’étranger si le pays tiers dispose d'une protection adéquate des données. Le Conseil fédéral dresse une liste en la matière. Si le pays d’exportation concerné ne figure pas sur cette liste, les informations personnelles peuvent toujours être transmises, comme en vertu de la loi précédente, à condition que la protection des données soit garantie d’une autre manière.
Quel est le but de l’association Bridge2digital?
Wolfgang Pfister: L’association vise à créer une plateforme dédiée à l’échange d’expériences entre interentreprises et intersectoriel concernant la mise en œuvre des démarches de numérisation. Nous souhaitons par ailleurs lancer et accompagner des projets pilotes numériques, appelés projets "phares" et "bonne pratiques" au niveau des entreprises, des secteurs, et des domaines spécialisés. L’association a été fondée en novembre 2017 et propose des événements sur divers thèmes, tels que "Security & Compliance" et "Smart Customer Interaction". Les 15 membres actuels comprennent des utilisateurs intéressés qui souhaitent se développer davantage dans la numérisation, mais qui ne disposent pas des ressources nécessaires pour y parvenir seuls. Il s’agit aussi de fournisseurs suisses de solutions numériques, aussi bien des start-ups que des entreprises bien établies. Dans le cadre du groupe spécialisé "Security & Compliance", l’association à but non lucratif s’occupe de la mise en œuvre de la nouvelle loi sur la protection de données, en se concentrant particulièrement sur les PME suisses.
Quelles questions les PME peuvent-elles se poser concernant les décisions individuelles automatisées?
Wolfgang Pfister: L’entreprise doit informer la personne concernée de toute décision reposant exclusivement sur un traitement automatisé et qui est associée à une conséquence juridique pour cette personne ou qui l’affecte de manière significative. Cela peut être notamment le cas lors d’une souscription de contrat d’assurance pour laquelle un client (potentiel) est refusé. La personne concernée doit alors avoir la possibilité de présenter son point de vue, et si elle n’est pas d’accord avec les décisions individuelles automatisées, elle peut exiger que la décision soit réexaminée par une personne physique.
À quoi les PME doivent-elles faire attention concernant le profilage?
Wolfgang Pfister: Lors du profilage, plusieurs données sont combinées, ce qui permet de créer des modèles comportementaux et des profils de personnalité. Les boutiques en ligne qui analysent les comportements de navigation et d’achat des utilisateurs en sont un exemple. La nouvelle loi fait la distinction entre le profilage normal et le profilage "à haut risque" pour les droits d’une personne physique. Pour ces derniers, le consentement exprès des personnes concernées est requis. L’association Bridge2digital aide les PME à créer des modèles d’analyses d’impact de la protection des données.
Que doit faire une PME en cas de violation de la protection des données?
Wolfgang Pfister: Conformément à la nouvelle loi, l’entreprise doit signaler toute perte de données au Délégué à la protection des données. En cas de violation de la protection des données, la PME ou le responsable doivent indiquer au plus vite au délégué s’il existe d’importants risques pour la personnalité ou les droits fondamentaux de la personne concernée. Les personnes concernées doivent également être informées si cela est nécessaire pour leur protection. Il est important que les entreprises consignent ce qu’elles font. Si les choses tournent mal, il est préférable que la PME puisse présenter une chaîne claire de décisions sur la manière dont elle a voulu se conformer à la loi.