Nouvelle loi sur la protection des données
Nouvelle loi sur la protection des données
Après près de quatre ans de discussions, le Parlement a adopté la loi révisée sur la protection des données. Cette mesure devrait entrer en vigueur à la mi-mai 2022. Mais il est dans l'intérêt des PME de se préparer dès maintenant à sa mise en œuvre.
La version révisée de la loi sur la protection des données contient plusieurs nouveautés, en particulier davantage de droits pour les personnes concernées, la promotion de la prévention et le renforcement des contrôles. En outre, les dispositions pénales ont été étendues. La nouvelle loi sur la protection des données remplace la précédente loi de 1992, qui est devenue obsolète en raison des évolutions technologiques. La loi suisse sur la protection des données vise également à répondre aux exigences européennes. Le règlement général de l'UE sur la protection des données (RGPD) est en vigueur depuis mai 2018 et s'applique à l'ensemble de l'Espace économique européen à partir du 20 juillet 2018, y compris le Liechtenstein, l'Islande et la Norvège. Que signifient les nouvelles dispositions de la version révisée de la loi sur la protection des données pour les PME ? L'association Bridge2digital propose de contribuer à faciliter l'autonomie dans l'application de la nouvelle réglementation. Wolfgang Pfister, chef du groupe spécialisé "Sécurité et conformité" de l'organisation, nous fournit quelques informations de base.
A À quoi les PME doivent-elles faire attention en ce qui concerne la nouvelle loi sur la protection des données ?
Wolfgang Pfister : La version révisée de la loi sur la protection des données ne s'applique qu'aux données personnelles et non aux données d'entreprise. Lorsqu'une PME a des employés et des clients, elle dispose également de données personnelles et doit donc se conformer aux obligations en matière de protection des données. La nouvelle loi prévoit des obligations d'information plus étendues, notamment la création d'un registre des activités de traitement des données, et davantage de droits pour les personnes concernées. Les données personnelles particulièrement sensibles comprennent désormais aussi les données génétiques et biométriques, telles que les empreintes digitales ou les scans rétiniens. Le Conseil fédéral a mis en consultation l'ordonnance relative à la loi. Elle devrait entrer en vigueur à la mi-mai 2022. Mais il est dans l'intérêt des PME de se préparer dès maintenant à sa mise en œuvre.
Quels problèmes les PME peuvent-elles rencontrer dans l'application des nouvelles règles ?
Wolfgang Pfister : Les PME qui collectent ou traitent des données personnelles doivent indiquer dans une déclaration de protection des données quelles informations sur les clients sont traitées lorsque ceux-ci visitent leur site web, lorsqu'ils utilisent leurs services en ligne ou lorsque l'entreprise fournit des services au client. L'association Bridge2digital aide les PME à créer une déclaration de protection des données à l'aide d'un modèle de document. Ce modèle peut être adapté à différents secteurs, qu'il s'agisse d'un cabinet médical, de la vente (en ligne) ou d'une entreprise artisanale.
Conformément à la loi, seules les données réellement nécessaires peuvent être collectées. Une PME peut avoir des questions concernant les accords avec les fournisseurs, y compris ceux des solutions en nuage. Les données peuvent être divulguées à l'étranger si le pays tiers dispose d'une protection adéquate des données. Le Conseil fédéral fournit une liste à cet égard. Si le pays exportateur en question ne figure pas sur cette liste, les informations personnelles peuvent toujours être transmises, comme sous la loi précédente, à condition que la protection des données soit garantie d'une autre manière.
Quel est le but de l'association Bridge2digital ?
Wolfgang Pfister : L'objectif de l'association est de créer une plateforme d'échange d'expériences entre entreprises et entre secteurs sur l'application des procédures de numérisation. Nous voulons également lancer et accompagner des projets pilotes numériques, appelés projets "phares" et "meilleures pratiques" au niveau des entreprises, des secteurs et des domaines spécialisés. L'association a été fondée en novembre 2017 et propose des événements sur différents thèmes, tels que "Sécurité et conformité" et "Interaction intelligente avec le client". Les 15 membres actuels comprennent des utilisateurs intéressés qui souhaitent développer la numérisation mais ne disposent pas des ressources nécessaires pour le faire eux-mêmes. Ils comprennent également des fournisseurs suisses de solutions numériques, des start-ups et des entreprises établies. Dans le cadre du groupe spécialisé "Security & Compliance", l'association à but non lucratif s'occupe de la mise en œuvre de la nouvelle loi sur la protection des données, en se concentrant en particulier sur les PME suisses.
Quelles sont les questions que se posent les PME sur les décisions individuelles automatisées ?
Wolfgang Pfister : L'entreprise doit informer la personne concernée de toute décision qui repose exclusivement sur un traitement automatisé et qui est associée à une conséquence juridique pour cette personne ou qui l'influence de manière significative. Un exemple pourrait être le cas de la signature d'un contrat d'assurance pour lequel le client (potentiel) est refusé. La personne en question doit donc avoir la possibilité de présenter son point de vue et, si elle n'est pas d'accord avec les décisions individuelles automatisées, elle doit pouvoir exiger que la décision soit réexaminée par une personne physique.
À quoi les PME doivent-elles faire attention en matière de profilage ?
Wolfgang Pfister : Dans le cas du profilage, de nombreuses données sont combinées, ce qui permet de créer des modèles de comportement et des profils de personnalité. Les boutiques en ligne qui analysent le comportement de navigation et d'achat des utilisateurs en sont un exemple. La nouvelle loi fait la distinction entre le profilage ordinaire et le profilage à "haut risque" pour les droits d'une personne physique. Pour ces derniers, le consentement exprès de la personne concernée est requis. L'association Bridge2digital aide les PME à créer des modèles d'analyse d'impact de la protection des données.
Que doit faire une PME en cas de violation de la protection des données ?
Wolfgang Pfister : En vertu de la nouvelle loi, les entreprises doivent informer le Préposé fédéral à la protection des données de toute fuite de données. En cas de violation de la protection des données, la PME ou la personne responsable doit informer le commissaire dans les plus brefs délais s'il existe un risque significatif pour l'individu ou pour les droits fondamentaux de la personne concernée. Les personnes concernées doivent également être informées si cela est jugé nécessaire pour leur protection. Il est important que les entreprises enregistrent ce qu'elles font. Si les choses tournent mal, il est préférable que la PME soit en mesure de fournir une chaîne de décisions claire sur la manière dont elle a cherché à se conformer à la loi.
Certaines des données les plus importantes à protéger sont celles des cabinets médicaux, pour en savoir plus, cliquez ici.
