la nouvelle loi sur la protection des données: questions et réponses
59 min

Questions et réponses sur la nouvelle loi sur la protection des données

La nouvelle loi sur la protection des données (nLPD), qui entrera en vigueur le 1er septembre 2023, soulève de nombreuses questions pour les PME. C’est ce que nous avons pu constater lors du livestream Swisscom à ce sujet. L’avocat Christian Laux répond ici aux questions les plus importantes qui sont sur toutes les lèvres.

La protection des données vise à protéger les personnes. Qu’il s’agisse de téléphoner, de communiquer avec la clientèle, de payer des factures de fournisseurs ou de mener des entretiens d’embauche, les données personnelles imprègnent notre quotidien professionnel. Les données à caractère personnel sont par exemple les noms, les adresses, les dates de naissance ou les antécédents médicaux de clients et de collaborateurs, du personnel des clients ou de fournisseurs ainsi que d’autres interlocuteurs (clients potentiels ou autorités).

Les entreprises suisses sont soumises à différentes lois et prescriptions concernant le traitement des données comme la loi suisse sur la protection des données, selon le contexte et la clientèle ou le RGPD de l’UE ainsi que des réglementations et directives sectorielles (comme la FINMA, l’autorégulation, les prescriptions cantonales).

La loi sur la protection des données a été révisée. La nouvelle version (nLPD) s’applique à compter du 1er septembre 2023 et apporte de nouvelles prescriptions. Il n’y a pas d’autre délai de grâce pour les entreprises. Elles devront répondre aux nouvelles exigences à partir du 1er septembre.

Cet article clarifie de nombreuses questions détaillées concernant la LPD révisée.

Dr. iur. Christian Laux

À propos de l’auteur

 Christian Laux a étudié le droit à Zurich, à Paris et à Stanford University (Californie). Il est autorisé à exercer la profession d’avocat en Suisse. Il se spécialise dans les nouvelles technologies, le cloud, la protection des données et le droit des données, le conseil informatique et commercial ainsi que la gestion des processus. Il est le fondateur du cabinet d’avocats Laux Lawyers SA.

Les principes fondamentaux

1. En quoi consiste la nouvelle loi sur la protection des données?

La nLPD protège les personnes contre l’utilisation excessive, surprenante, déloyale ou illicite pour d’autres raisons de leurs données personnelles.

En détail:

  1. La nouvelle loi sur la protection des données régit la protection des «personnes physiques» (personnes désignées dans la nLPD comme «personnes concernées») en ce qui concerne les données qu’elles décrivent. On parle de données personnelles. Les données personnelles sont définies dans la nLPD comme «toutes les informations qui se rapportent à une personne physique identifiée ou identifiable», c’est-à-dire qui ont un «lien personnel».
  2. La personne qui traite des données personnelles et détermine pour cela la finalité et l’utilisation des moyens est considérée comme le ou la responsable. Si le ou la responsable fait appel à des prestataires qui traitent des données personnelles en son nom et selon leurs instructions, ceux-ci sont considérés comme des sous-traitants.
  3. Dans le champ d’application de la nLPD, les responsables et (dans une moindre mesure) les sous-traitants doivent respecter les prescriptions de la nLPD en vertu de la loi. Les sous-traitants sont en outre tenus contractuellement par le responsable de respecter certaines dispositions. Par conséquent, les sous-traitants sont également tenus de respecter la nLPD.
  4. Grâce à la nouvelle LPD, les personnes concernées peuvent faire valoir des droits envers des responsables du traitement des données lorsque ceux-ci traitent leurs données personnelles de manière excessive, inéquitable ou illicite. Dans un tel cas, il existe des droits privés pour un changement de comportement envers des responsables concernés. Les responsables peuvent également être contrôlés par le PFPDT (Préposé fédéral à la protection des données et à la transparence). Ensuite, les collaborateurs des responsables ou des sous-traitants disposant d’un pouvoir décisionnel (généralement des personnes exerçant des fonctions de management) peuvent être poursuivis pénalement pour certaines infractions à la nLPD.
  5. La nLPD est complétée et précisée par des dispositions d’exécution dans la nouvelle ordonnance sur la protection des données (OPDo) et la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD).

2. Quand la nLPD entre-t-elle en vigueur? (Champ d’application temporel)

La nouvelle LPD entrera en vigueur le 1er septembre 2023.

En détail:

  1. La nouvelle LPD entrera en vigueur le 1er septembre 2023. À compter de cette date, elle remplace l’ancienne loi en vigueur depuis le 1er janvier 1993 pour la Suisse. 
  2. Le texte final de la nouvelle LPD a été adopté par le Parlement le 25 septembre 2020. Les entreprises avaient donc déjà trois ans pour adapter leurs traitements de données aux nouvelles exigences. C’est pourquoi la loi n’accorde aucun délai de grâce supplémentaire.
  3. Quelques dispositions de la nLPD (art. 7 nLPD: protection des données grâce à la technique et aux préréglages; art. 22 ss nLPD: analyse d’impact relative à la protection des données) ne s’appliquent pas aux traitements de données commencés avant l’entrée en vigueur de la nLPD (grandfathering). Cela ne s’applique toutefois que si et dans la mesure où (a) la finalité du traitement des données n’a pas changé et (b) aucune nouvelle donnée n’est collectée dans le cadre du traitement des données. Il est donc possible de transférer un «stock de données anciennes» vers un nouveau système informatique sans relever la technique au niveau juridique le plus élevé; il ne doit toutefois jamais y avoir de compromis sur la sécurité des données (art. 8 nLPD), raison pour laquelle des mises à jour techniques restent nécessaires, même pour les anciennes données.
  4. Les enquêtes du PFPDT qui sont déjà en cours au moment de l’entrée en vigueur de l’accord restent soumises à l’ancien droit.
  5. Si le PFPDT a déposé une plainte auprès du Tribunal administratif fédéral avant le 1er septembre 2023, la plainte sera jugée selon l’ancien droit.

3. À quels traitements de données la nLPD s’applique-t-elle?

La nLPD s’applique aux traitements en Suisse ou avec effet en Suisse (principe des effets).

4. Qui doit se conformer à la nLPD?

La nouvelle LPD s’applique au domaine privé et aux autorités fédérales. Il protège les particuliers. Les données sur les entreprises font l’objet d’une réglementation spéciale pour les autorités fédérales pendant cinq ans. Dans le domaine privé, la LPD ne protège plus que les individus à partir du 1er septembre 2023, et non plus les personnes morales.

En détail:

En résumé, la nLPD s’applique «en Suisse» à «ceux qui y sont soumis». Ces deux aspects sont appelés «champ d’application local» et «champ d’application personnel».

Champ d’application personnel: 

  • La nLPD s’applique aux autorités fédérales.
  • La nLPD s’applique également à toutes les organisations privées qui, en tant que responsables ou sous-traitants, traitent des données personnelles dans le champ d’application local. Il s’agit donc de toutes les entreprises individuelles, sociétés anonymes de droit privé, Sàrl, associations ou fondations.
  • La nLPD ne s’applique pas aux communes ou cantons ni à leurs autorités. Ainsi, la nLPD ne s’applique par exemple pas aux écoles. Des lois cantonales sur la protection des données s’y appliquent, avec toutefois des règles largement similaires à celles de la nLPD.
  • La situation juridique est un peu plus compliquée pour les hôpitaux cantonaux, les entreprises d’électricité et autres.

Champ d’application local: 

La nLPD s’applique si elle a des répercussions en Suisse (principe des effets). Dans ce cas, les obligations prévues par la nLPD doivent être respectées. Cela s’applique aux mesures du PFPDT et à l’application privée. En revanche, pour l’application du droit pénal, le principe de territorialité s’applique: seules les violations des dispositions pénales de la nLPD commises en Suisse sont punies.

5. Qui est protégé par la nLPD?

Les particuliers sont protégés, mais les entreprises ne le sont plus en principe (il existe toutefois des règles spéciales pour les données d’entreprise pendant cinq ans après l’entrée en vigueur; celles-ci s’adressent aux autorités fédérales).

En détail:

  1. Données personnelles: il s’agit d’informations qui décrivent une personne de manière directement ou indirectement identifiable. La loi parle d’«informations qui se rapportent à une personne physique identifiée ou identifiable», c’est-à-dire qui ont un «lien personnel».
  2. Données de l’entreprise: sur la base de la législation fédérale en vigueur, les autorités fédérales ont toujours le droit de transmettre (publier) les données reçues d’une entreprise à d’autres services fédéraux pendant cinq ans. Les règles légales de la loi fédérale sur l’organisation du gouvernement et de l’administration (LOGA) doivent être respectées. En ce qui concerne l’utilisation de ces données, il existe une réglementation particulière qui est la suivante (mais qui n’est pas très claire): «Pour les organes fédéraux, les prescriptions d’autres décrets fédéraux relatifs aux données personnelles continuent de s’appliquer aux données de personnes morales pendant cinq ans après l’entrée en vigueur de la présente loi.»

6. Quels rôles faut-il connaître pour comprendre la gestion des données?

La gestion des données se joue entre les responsables et les personnes concernées en ce qui concerne leurs données personnelles. La gestion des données s’étend également à d’éventuelles autres données (autres données, c’est-à-dire celles qui ne sont pas des données personnelles; on parle également de «données factuelles»). Les prestataires auxquels les responsables font appel sont appelés sous-traitants dans le champ d’application de la nLPD. 

L’échange de responsables avec d’autres responsables est également un processus important. En dehors du champ d’application de la nLPD, on peut par exemple parler de «données factuelles» du fournisseur de données ou du destinataire de données (utilisateur de données). Dans le langage de la nLPD, l’échange entre le fournisseur et le destinataire de données serait traité comme un échange entre deux responsables indépendants l’un de l’autre («Controller-to-Controller Transfer»).

En détail:

  1. La personne qui traite des données personnelles et détermine pour cela la finalité et l’utilisation des moyens est considérée comme responsable du traitement. 
  2. Si le ou la responsable fait appel à des prestataires de services qui traitent des données personnelles en son nom et selon leurs instructions, ces prestataires sont considérés comme des sous-traitants.
  3. Celui qui reçoit des données personnelles du responsable et décide (peut décider) lui-même de la finalité et des moyens de leur traitement est lui-même responsable (en tant que «destinataire des données»). 
  4. Les données échangées sont soit des données personnelles, soit d’autres données. Les données personnelles se rapportent aux personnes concernées
  5. D’autres données peuvent être différenciées selon leur origine selon qu’elles proviennent d’une entreprise ou d’une personne physique (fournisseur de données).

7. Quelle est la différence entre la LPD et le RGPD?

Le RGPD, le règlement général de l’UE sur la protection des données, est, comme son nom l’indique, la loi sur la protection des données pour l’UE. La nLPD est l’équivalent pour la Suisse. Les règles ne se recoupent pas, mais sont équivalentes du point de vue actuel.

En détail:

  1. L’une des principales différences conceptuelles entre le RGPD et la nLPD est le système de sanctions. Le RGPD ne prévoit pas de sanctions pénales, mais autorise les autorités chargées de la protection des données à prononcer des sanctions administratives d’un montant considérable. 
  2. Selon la nLPD, des sanctions administratives (amende maximale de CHF 50 000.– pour le responsable) sont également possibles à titre exceptionnel. En principe, la sanction est toutefois régie par le droit pénal. La personne agissant individuellement est passible d’une amende pouvant aller jusqu’à CHF 250 000.–.

8. Droit pénal: qui est responsable de la protection des données?

Conformément à l’intention du législateur, les sanctions pénales prévues par la nouvelle LPD s’adressent aux personnes dirigeantes. L’incrimination des collaborateurs n’est toutefois pas totalement exclue conformément à la loi. C’est ainsi qu’est apparue une règle assez compliquée selon laquelle l’entreprise elle-même peut en outre être tenue pour responsable sur le plan pénal. 

En détail:

  1. Si un point du droit de la protection des données n’est pas respecté, cela se produira le plus souvent dans les entreprises commerciales. En conséquence, la nLPD (concrètement: art. 64 nLPD) fournit une règle spéciale (concrètement: art. 6 et 7 de la loi fédérale sur le droit pénal administratif) directement applicable, en vertu de laquelle les dirigeants sont punis pour les violations de la protection des données qu’ils n’ont pas évitées, et ce, «en violation d’une obligation légale». La règle prévoit également une clause générale selon laquelle l’entreprise peut être sanctionnée. Ainsi, les personnes suivantes sont pénalement responsables:
  • Directeur général: étant donné que le droit de la protection des données s’adresse aux responsables et donc souvent aux entreprises et qu’un dirigeant est responsable de l’organisation de l’entreprise, les dirigeants pourraient être régulièrement responsables en cas de violation de la protection des données (ce qui est toutefois critiqué). Le directeur peut déjà être sanctionné s’il a commis une négligence et si la violation de la protection des données aurait pu être évitée sans la négligence. En outre, il doit être prouvé qu’un état de fait selon le catalogue des délits de la nLPD a eu lieu; au moins la typicité et l’illicéité doivent être avérées. En tout cas, c’est ce que dit la loi. Il faudra voir comment ce sera appliqué en pratique. En règle générale, les personnes à la tête de l’entreprise peuvent être punies, même si l’individu qui agit ne peut pas être sanctionné. Selon la teneur de la loi, les dirigeants pourraient donc être pénalisés relativement rapidement pour violation de la protection des données. Le montant de l’amende s’élève à CHF 250 000.–.
  • Responsabilité de l’entreprise: si la violation de la protection des données n’entraîne que 20 % du montant de l’amende (une amende maximale de CHF 50 000.– est donc envisageable), l’entreprise peut être directement condamnée au paiement de l’amende. Le ministère public chargé de l’instruction doit toutefois être d’avis que l’effort nécessaire pour identifier les personnes passibles d’infractions au sein de l’entreprise serait disproportionné. Cette responsabilité remplace alors la sanction de la direction.
  • Collaborateurs agissant directement: les collaborateurs restent exposés à des poursuites pénales, même si l’entreprise ou la direction a déjà été sanctionnée. Les dispositions pénales de la nLPD s’adressent en principe aux individus qui agissent. Leur responsabilité n’est toutefois pas engagée en cas de négligence, mais seulement en cas de faute intentionnelle. Le montant de l’amende s’élève également à CHF 250 000.– pour les collaborateurs.
  1. Inscription au casier judiciaire: les infractions sanctionnées par une amende de plus de CHF 5 000.– n’apparaissent pas dans l’extrait privé du casier judiciaire.
  2. Poursuites pénales: les ministères publics cantonaux sont compétents.  

9. Droit administratif: qui est responsable de la protection des données?

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) peut ouvrir une procédure d’enquête de droit administratif en cas de violation de la protection des données. Il peut y prendre des décisions. 

En détail:

  1. Le PFPDT peut, dans des décisions qu’il prend dans le cadre de ses enquêtes, obliger les responsables à mettre en œuvre des mesures afin de mieux colmater les brèches de la protection des données. Les personnes qui ne se conforment pas à de telles décisions s’exposent à des sanctions pénales (voir ci-dessus).
  2. Le PFPDT ne peut toutefois ordonner lui-même des sanctions pénales.

10. Droit civil: qui est responsable de la protection des données?

Les personnes devant faire preuve de diligence en matière de protection des données vis-à-vis d’autrui en vertu d’un contrat peuvent être tenues pour responsable d’une violation de la protection des données. Les bases se trouvent dans la nLPD ou, le cas échéant, dans un contrat par lequel la personne responsable s’est engagée à respecter le droit de la protection des données.

En détail:

  1. Très souvent, la personne concernée n’a pas de relation contractuelle directe avec le responsable du traitement qui a enfreint le droit de la protection des données. La personne concernée peut alors s’appuyer sur les voies de recours légales et intenter une action en réparation de la violation de la protection des données ou en cessation d’autres comportements contraires à la loi. 
  2. En théorie, la personne concernée peut aussi intenter une action en dommages et intérêts. Cependant, un dommage en résultant directement sera souvent très difficile à établir. Et l’indemnisation d’autres dommages pourrait échouer en raison d’autres conditions du droit de la responsabilité.
  3. Des actions en dommages-intérêts sont plus envisageables si un responsable ou un sous-traitant s’est engagé contractuellement à respecter le droit de la protection des données. En cas de violation de la protection des données, il peut par exemple être tenu responsable des dommages directs (coûts de surveillance du Darkweb après une violation de données) ou, généralement dans des conditions plus strictes, des dommages indirects (perte de chiffre d’affaires due à une atteinte à la réputation).

11. Quelle est ma responsabilité en tant que prestataire informatique mandaté?

En tant que prestataire de services informatiques, on est généralement un sous-traitant et on entretient une relation contractuelle avec le responsable. Ainsi, selon les règles du contrat, la responsabilité du responsable est engagée, mais rarement vis-à-vis de la personne concernée. Toutefois, la violation intentionnelle des dispositions relatives à la protection des données peut tout à fait entraîner des sanctions. 

En détail:

  1. En tant que société de services informatiques, on est souvent sous-traitant. C’est le cas lorsque l’on est impliqué concrètement dans le traitement des données dans le cadre de son activité pour le responsable. 

Exemple

Hébergement des données: l’hébergeur de données est un sous-traitant même si des mesures techniques l’empêchent d’accéder en texte clair aux données personnelles. Toutefois, le fait que l’hébergeur de données n’accède pas en texte clair aux données personnelles doit être pris en compte lors de l’appréciation des dispositions légales applicables.

Licence: celui qui livre des logiciels pour une autre entreprise n’est donc qu’un sous-traitant. 

Maintenance: même ceux qui ont conclu un contrat de maintenance ne sont souvent pas encore sous-traitants. Toutefois, si le contrat de maintenance exige de charger les correctifs et les mises à jour du logiciel dans l’environnement système du client et si le prestataire de services doit accéder à des sauvegardes de données chez le client dans ce cadre afin de déplacer ces données ou de les traiter d’une autre manière, le traitement de l’ordre est réputé avoir lieu.

Facility Management: L’entreprise de nettoyage qui nettoie les locaux d’une entreprise le soir est certes tenue au secret, mais n’est pas un sous-traitant.

  1. Dans certains cas, le sous-traitant est également soumis à des obligations de mise en œuvre d’obligations contractuelles en cas de transmission transfrontalière de données personnelles (y compris une obligation de renseigner le PFPDT). Le sous-traitant doit aider le responsable à répondre aux demandes des personnes concernées et lui signaler toute violation de la sécurité des données.
  2. Le sous-traitant doit veiller à la sécurité des données et, le cas échéant, tenir un registre des traitements et établir un règlement en matière de traitement. La violation des dispositions relatives à la sécurité des données peut également entraîner la responsabilité directe du sous-traitant.

12. Quelles autres prescriptions en matière de protection des données dois-je respecter?

Par protection des données, on entend souvent plus que ce qui est réglementé dans la nLPD. On peut notamment inclure:

  1. Règles pour la protection des informations parce qu’on y est tenu par contrat (par exemple accord de confidentialité)
  2. Règles qui exigent une certaine diligence ou d’autres obligations en matière de comportement lors du traitement des informations pour des tiers, p. ex. afin de protéger le système des marchés financiers (règles de la FINMA)
  3. Règles que l’entreprise s’est imposées pour contribuer à la réalisation de son propre objectif de conception (politique propre de l’entreprise: il ne s’agit pas ici de devoir ou d’autoriser, mais de vouloir)
  4. et, enfin, les règles de protection des données personnelles. Il peut s’agir des règles de la nLPD ainsi que des règles du règlement général européen sur la protection des données (RGPD), en fonction de la manière dont elles sont applicables.

En détail:

  1. Concernant le RGPD:
  • Toute personne responsable du traitement qui oriente de manière reconnaissable ses prestations vers le marché des consommateurs de l’UE doit respecter le RGPD concernant les traitements de données. 
  • Toute personne responsable qui observe des personnes concernées dans l’UE doit respecter le RGPD.
  • Tout sous-traitant domicilié en Suisse travaillant pour un sous-traitant domicilié dans l’UE doit certes fournir un service permettant au responsable de se conformer aux exigences du RGPD, mais le RGPD ne s’applique pas directement au sous-traitant.
  • Inversement, le responsable en Suisse qui fait appel à un sous-traitant domicilié dans l’UE ne doit pas seulement respecter les dispositions du RGPD en raison de l’implication d’un sous-traitant de l’UE, et ce indépendamment du fait que le sous-traitant est lui-même directement soumis au RGPD.
  1. Règles spécifiques au secteur: Toute personne travaillant dans un secteur particulier doit respecter les règles applicables à ce secteur. Les banques doivent p. ex. respecter les règles de la FINMA (surveillance bancaire). Contrairement aux dispositions de la nLPD, les règles de la surveillance bancaire visent à protéger le système, tandis que la nLPD et le RGPD visent à protéger l’individu. Les assurances-maladie doivent en outre respecter les règles de l’Office fédéral de la santé publique, qui servent également à protéger le système. Les banques doivent aussi respecter le secret bancaire, qui sert également à la protection individuelle, à l’instar de la nLPD.
  2. Règles pour les pouvoirs publics: une forme particulière de règles «sectorielles» s’applique aux autorités administratives. Les directives cantonales et, le cas échéant, les lois cantonales doivent être respectées par les communes, les écoles et, par exemple, les entreprises d’électricité. Les autorités doivent également respecter la confidentialité.
  3. Autorégulation en matière de blanchiment d’argent: dans un monde numérique, diverses actions ont un lien avec des données et, le cas échéant, avec des données personnelles. C’est pourquoi les réglementations relatives à la protection contre le blanchiment d’argent font également référence à des données personnelles et à des données similaires, bien que les réglementations correspondantes (p. ex. ARIF ou l’OAR Fiduciaire Suisse) servent davantage à la protection du système qu’à la protection individuelle.
  4. Dispositions spéciales: si une activité donnée impose une protection supplémentaire, on peut en conclure qu’il s’agit d’un durcissement auquel il convient d’accorder une attention particulière. À titre d’exemple, il peut s’agir d’exigences imposées à l’employeur en matière de protection de son personnel, ainsi que de dispositions légales particulières dans le droit cantonal qui traitent par exemple de la confidentialité dans le droit de l’adoption ou dans le domaine fiscal («secret fiscal»). Bien que compréhensible intuitivement, cette conclusion est souvent infondée. Souvent, de telles dispositions spéciales ne vont pas au-delà des droits et obligations généraux qui découlent déjà du droit du secret ou du droit général de la protection des données. Dans la plupart des cas, il vaut la peine de jeter un coup d’œil à la finalité de ces règles.

Obligation de conservation et d’effacement

1. Combien de temps peut-on conserver les documents de collaborateurs ou de candidats?

L’employeur est en droit de conserver les dossiers personnels des collaborateurs pendant toute la durée du contrat de travail, puis pour une durée limitée à des fins d’archivage (règle générale: plus cinq ans). La durée de conservation pour les candidats rejetés est plus courte, mais peut être conservée pendant trois années complètes, puis jusqu’à la fin de l’exercice en cours à ce moment-là. Dans certains secteurs (p. ex. la prévoyance professionnelle), les durées de conservation peuvent être plus longues.

En détail:

  1. L’employeur est en droit de conserver les dossiers personnels des collaborateurs et collaboratrices pendant toute la durée du contrat de travail puis, conformément aux règles générales, pendant cinq ans entiers après la fin du contrat et jusqu’à la fin de l’exercice (c’est-à-dire dans des cas particuliers, jusqu’à six ans après la fin du contrat). 
  2. Après la fin du contrat de travail, la finalité du traitement doit toutefois être limitée (finalité d’archivage). Ces données peuvent alors être utilisées pour se défendre contre des prétentions d’autorité ou en présence d’un intérêt prépondérant. Dans le cas contraire, il ne faut plus accéder à ces données (la personnalité de collaborateurs doit déjà être particulièrement respectée sur le lieu de travail lors de l’accès à des données personnelles: «pas de surveillance des collaborateurs»).
  3. Les candidats et candidates rejetés ne sont pas entrés dans une relation de travail valable et les règles de la responsabilité avant-contrat s’appliquent par conséquent. Un délai de prescription de trois ans s’applique pour de telles prétentions. C’est pourquoi une responsabilité ne peut être exclue qu’après la fin de l’exercice au cours duquel le délai de prescription prend fin. Cela autorise les responsables à conserver les dossiers des candidats jusque-là. Dans la pratique, les durées de conservation sont souvent plus courtes lorsqu’il s’agit de candidats rejetés. Si les dossiers arrivent par voie postale sous forme de copie papier, la formule «à notre décharge, retour» est usuelle. Si les documents sont arrivés par e-mail, une formulation correspondante («nous supprimerons après x [durée]») peut être judicieuse dans un souci de transparence.
  4. Les responsables doivent établir une déclaration de protection des données pour les candidates rejetées et pour leur propre personnel.

2. Combien de temps puis-je conserver les données du client?

Les données des clients peuvent être conservées aussi longtemps que la finalité l’exige. Les clients entretiennent une relation d’échange contractuelle avec l’entreprise. Les contrats prévoient des délais de prescription entre cinq et dix ans. Toutefois, selon le secteur, les délais de conservation peuvent être nettement plus longs (par exemple dans la prévoyance professionnelle).

En détail:

  1. Un responsable est autorisé à conserver les données personnelles de ses clients tant qu’il a un intérêt propre supérieur. Le responsable doit pouvoir se défendre contre les prétentions du client et s’appuyer à cette fin sur des contrats et d’autres documents concernant le client. La protection des données ne doit pas avoir pour effet de nuire à «l’égalité d’armes» pour d’éventuels procès civils.
  2. Lorsque les délais de prescription ont expiré, il n’y a généralement plus de raison de conserver ces documents. Dans ce cas, ces documents doivent être supprimés. Après la fin du contrat de travail, la finalité du traitement doit toutefois être limitée (finalité d’archivage). Ces données peuvent alors être utilisées pour se défendre contre des prétentions d’autorité ou en présence d’un intérêt prépondérant. Dans le cas contraire, elles ne devraient plus être accessibles.

Exemples:

Documents fiscaux (déclaration fiscale) pour les fiduciaires: réponse: 6 ans après l’expiration de l’estimation définitive pour la période fiscale concernée. Un fiduciaire qui établit une déclaration d’impôt pour un contribuable est responsable de celui-ci en tant que mandataire. Les droits se prescrivent par cinq ans après l’estimation définitive par l’autorité fiscale pour la période fiscale concernée (ou après la fin du mandat se rapportant à la période fiscale si celui-ci prend fin avant l’arrivée de l’estimation définitive). En revanche est également appliquée la règle selon laquelle l’autorisation de conservation prend fin après l’expiration de l’exercice au cours duquel le délai de prescription expire. La réponse «six ans» doit donc être comprise approximativement.

Liste des participants à un événement: réponse: 11 ans. Raisons: les participants d’un événement sont liés contractuellement à l’organisateur. Si tel est le cas, ils ont encore la possibilité de faire valoir des prétentions envers l’opérateur pendant dix ans. En revanche est également appliquée la règle selon laquelle l’autorisation de conservation prend fin après l’expiration de l’exercice au cours duquel le délai de prescription expire. La réponse «11 ans» doit donc être comprise approximativement.

Liste des destinataires d’un envoi: réponse: 4 ans. Le simple opting-in pour l’envoi d’e-mails ne devrait pas fonder de relation contractuelle. Il convient donc d’appliquer les règles de la responsabilité avant-contrat ou de l’acte illicite. Un délai de prescription de trois ans s’applique donc. En revanche est également appliquée la règle selon laquelle l’autorisation de conservation prend fin après l’expiration de l’exercice au cours duquel le délai de prescription expire. La réponse «4 ans» doit donc être comprise approximativement.

Liste des intérêts des personnes concernant un produit: de manière générale, la prise en compte des préférences d’une personne est une collecte de données qui doit être organisée de manière transparente et obéir au principe de proportionnalité. La durée de conservation ne devrait pas pouvoir être définie de manière schématique et dépendre également de la durée de vie du produit (l’intérêt pour les offres du food truck dans la zone commerçante est très court, l’intérêt pour les offres d’une pompe d’alimentation pour une centrale hydraulique devrait durer beaucoup plus longtemps; en outre, la personnalité de la personne qui s’intéresse à une centrale hydraulique est nettement reléguée au second plan par rapport à l’entreprise qu’elle représente, raison pour laquelle une autre pesée des intérêts s’impose déjà pour cette raison: «Contexte B2B»). Les newsletters avec option d’opt-out aident ici à renouveler l’intérêt ou à donner à la personne concernée la possibilité de se désabonner de la newsletter et d’exprimer ainsi qu’elle n’est plus intéressée par le produit en question.

  1. Le dernier exemple cité montre que le contexte B2B peut revêtir une importance particulière dans le domaine du droit de la protection des données.

3. Comment garantir l’obligation de conservation lorsque l’on doit supprimer les données personnelles?

Si l’on doit encore conserver des données personnelles pour pouvoir respecter une obligation légale de conservation, il n’est pas nécessaire de les supprimer.

En détail:

  1. Les exemples présentés ci-dessus montrent de quelles considérations découlent les obligations de conservation et pourquoi, dans le cadre de la proportionnalité, il en résulte que les données personnelles ne doivent pas être supprimées avant l’expiration des obligations de conservation.
  2. Une fois que les données personnelles ne sont plus nécessaires à l’exécution du contrat, elles ne doivent être conservées qu’à des fins d’archivage. Il ne faut donc plus y accéder au quotidien.
  3. La personne concernée peut contacter le responsable avant l’expiration de la période de conservation et demander la suppression de ses données. Il se peut que des aspects partiels de vos données qui ne sont plus nécessaires avant l’expiration de l’archivage (par exemple des données marketing sur la personne, telles que ses intérêts ou son historique d’activité), mais qui ne sont pas encore nécessaires pour les documents concernant vos contrats, soient supprimés. 
  4. Si les parties conviennent que le client ne fera plus valoir de prétentions envers le responsable bien que le délai de prescription n’ait pas encore expiré, il est également possible d’obtenir la suppression des documents contractuels. En effet, dans ce cas, la conservation n’est plus nécessaire du point de vue du responsable.

Marketing

1. Est-il obligatoire d’afficher une bannière de cookies sur le site Internet?

Non, la bannière de cookies n’est pas obligatoire en vertu du droit suisse. Il convient d’y renoncer.

En détail:

  1. Les bannières de cookies sont des règles qui ne découlent pas du droit de la protection des données au sens strict (p. ex. nLPD ou RGPD). Ils sont toutefois habituels dans l’espace européen, car les exigences de consentement qui y sont applicables dans le domaine des cookies et des technologies similaires ne peuvent plus être mises en œuvre différemment. 
  2. En Suisse, il n’existe toujours pas de règle d’opt-in. Il suffit d’indiquer la transparence et d’indiquer une possibilité de refus (qui peut également se trouver dans les paramètres appropriés du navigateur). L’avis de transparence peut également être mis en œuvre avec une bannière sur les cookies. Mais la mention de transparence peut également figurer dans la déclaration de confidentialité ou dans une déclaration de transparence distincte pour le site Internet. 
  3. Si la remarque de transparence est affichée sur une bannière de cookies, celle-ci peut être conçue de telle sorte qu’elle disparaisse d’elle-même ou qu’elle disparaisse d’elle-même après quelques clics («navigation sur la page»), ou il est possible de configurer la fonction de clic de la bannière de cookies en cliquant sur «Fermer la remarque» ou «Compris». 
  4. Il est certes possible de marquer son accord en cliquant sur «Accepter» au lieu de «Fermer la remarque»), mais cela est plutôt déconseillé. Pourquoi? En effet, l’utilisateur pourrait en déduire que l’exploitant du site Internet s’est soumis lui-même à une réglementation de consentement (avec pour effet que les cookies doivent être supprimés en cas de refus ou de retrait du consentement). 
  5. Les bannières de cookies peuvent donc même avoir des conséquences négatives en Suisse (en plus d’être dérangeantes de toute façon). Il convient d’y renoncer ou, en tout cas, de ne l’utiliser que si la transparence ne peut pas être facilement obtenue autrement – dans la déclaration de protection des données – (mais uniquement en «fermant une indication», et non en invitant à «accepter»).

2. Que faut-il mentionner dans la déclaration de protection des données sur le site Internet?

La déclaration de protection des données d’un site Internet doit fournir de la transparence sur ce qui a un lien avec l’entreprise.

En détail:

  1. Les informations minimales d’une déclaration de protection des données sont les suivantes: 
  • Qui est le responsable et comment le contacter?
  • À quelles fins les données sont-elles traitées? (finalités du traitement)
  • Qui reçoit de la part du responsable des données personnelles relatives à la personne concernée? Il s’agit de destinataires ou de catégories de destinataires et on ne parle pas seulement des responsables, mais aussi des sous-traitants (ces derniers étant en fait contraire au système).
  • Vers quels pays les données personnelles sont-elles transmises? (mentionner le pays de destination avec garanties)
  1. Si des données personnelles sont collectées auprès de tiers et non auprès de la personne concernée, il convient également d’indiquer les catégories de données personnelles collectées par le responsable.
  2. Dans ce cas, il faut penser à ce qui suit: la déclaration de protection des données est une «déclaration» et ne fait pas partie d’un contrat. Ce n’est donc pas «J’accepte…», mais (sans case à cocher!) «Vous trouverez des informations sur la manière dont nous traitons vos données personnelles…» ou «… et je prends connaissance de la déclaration de protection des données.»
  3. La mise en œuvre en ligne est également possible et judicieuse pour les traitements hors ligne.
  4. Mention de la déclaration de protection des données (avec indication de l’URL ou du lien) dans les e-mails ou les offres écrites.

3. Qu’est-ce qui change pour l’envoi de la newsletter? Les newsletters ne peuvent-elles être envoyées aux nouveaux clients qu’avec leur consentement explicite (simple opt-in ou double opt-in)?

La nLPD ne change rien à l’envoi de la newsletter. 

En détail:

  1. Il faut distinguer différentes phases de traitement dans l’envoi de la newsletter: 
  2. Collecte des données: la collecte des données doit être conforme aux principes de la nLPD.
  3. Envoi: l’envoi doit être conforme aux règles de la loi fédérale contre la concurrence déloyale (LCD). Sans opt-in, une communication en masse par e-mail ne peut être envoyée à une personne individuelle que s’il s’agit d’une cliente existante pour les thèmes promus. Si aucun opt-in n’est requis, la possibilité de le faire doit impérativement être donnée.
  4. Observation: étant donné que les services marketing observent également les taux d’ouverture et autres, ce qui constitue en soi un traitement de données, la déclaration de protection des données à laquelle on se réfère devrait toujours figurer dans la newsletter.

4. L’utilisation de Google Analytics est-elle autorisée (sans consentement)?

Oui, c’est possible en vertu du droit suisse.

Les exploitants de sites web peuvent utiliser Google Analytics sans le consentement de leurs visiteurs. Néanmoins, en tant qu’exploitant de site web, on améliore sa situation en prenant des mesures de conformité.

Mais: il est aujourd’hui de plus en plus difficile d’ignorer le malaise qui subsiste chez de nombreux visiteurs de sites web. Ce malaise est lié au fait que l’écosystème mondial par le biais duquel les espaces publicitaires sont distribués semble peu transparent, tant du point de vue de l’exploitant du site que de celui de l’utilisateur. On devrait sérieusement se demander s’il ne vaut pas mieux utiliser des solutions que l’on comprend vraiment.

En détail:
  1. Dans la mesure où l’on utilise encore Google Analytics dans une version basée sur les cookies, il faut tenir compte des règles spéciales relatives aux cookies dans le droit suisse: La loi sur les télécommunications (LTC) doit être respectée pour l’utilisation des cookies. Ces règles n’ont toutefois pas été modifiées par la révision de la protection des données.
  2. La LTC exige (a) une information sur le but des cookies utilisés ; et (b) une indication sur le droit d’opt-out (possibilité de refus). Il faut donc prendre des mesures sur son propre site web, notamment des indications de transparence. Ensuite, il faut prendre des mesures vis-à-vis de Google: un contrat de sous-traitance du traitement des données et la mise en place de la fonction d’anonymisation IP.
  3. Les indications de transparence sur le site web sont (a) des explications sur le but de l’utilisation de Google Analytics et (b) des indications sur les possibilités d’opt-out, les utilisateurs pouvant également procéder à l’opt-out via leur propre navigateur si l’exploitant du site web ne dispose pas d’un outil (facultatif) de préférence aux cookies. Les entreprises peuvent informer sur le but de l’utilisation de Google Analytics dans leur déclaration de protection des données sur le site web: L’analyse web sert à évaluer l’utilisation du site web et à obtenir des informations pour son optimisation.
  4. Dans la mesure où l’on souhaite adresser les cookies de manière particulière sur le site web: une «bannière de cookies» n’est pas nécessaire selon le droit suisse, tant que le droit de l’UE ne devient pas applicable (en raison d’une orientation du site web vers les clients finaux dans l’UE). Un outil de préférence de cookie peut toutefois être utile. Il peut aider l’exploitant du site web à satisfaire aux exigences de transparence et à offrir des possibilités de choix aux utilisateurs.
  5. Si l’on utilise Google Analytics 4 (sans cookies), les mesures visant à établir la «conformité des cookies» passent au second plan. La transparence doit être maintenue.
  6. De même, en tant qu’exploitant de site web, il convient de prendre les mesures suivantes vis-à-vis de Google: (1) conclure avec Google un contrat de sous-traitance du traitement des données et (2) activer la fonction d’anonymisation IP.
  7. Ce qu’il faut dire en conclusion: Google Analytics s’intègre dans un écosystème mondial d’une portée considérable. Les utilisateurs se sentent observés par le fait que les données collectées dans le cadre de l’utilisation de leur site web sont injectées dans un système mondial destiné aux annonceurs. Nota bene: il ne s’agit pratiquement jamais de données personnelles. Et pourtant, il n’est plus possible de nier aussi facilement la prise de conscience des utilisateurs et utilisatrices. Le sentiment d’être observé demeure. Et les exploitants de sites web ne parviennent guère à instaurer la transparence. Cela ne signifie pas qu’il faille demander le consentement (le manque de transparence ne peut pas être corrigé par le consentement, car un consentement non informé n’est pas valable). Mais il reste vrai que l’on doit exploiter son site web de manière contrôlée. Il faut sérieusement se demander s’il ne vaut pas mieux utiliser une solution que l’on comprend soi-même.

5. À quoi faut-il faire attention pour les formulaires de contact sur le site Internet?

Les formulaires de contact doivent renvoyer à la déclaration générale de protection des données disponible sur le site Internet de l’entreprise (sans case à cocher «Accepter»!). But: assurer la transparence sur la manière dont le responsable utilisera les messages entrants.

En détail:
  1. Toute personne faisant référence à la déclaration générale de protection des données peut fournir les informations obligatoires de cette manière. Il convient en particulier de mentionner si de telles demandes parviennent dans le CRM (Customer Relationship Management System) à l’échelle de l’entreprise (il n’y a alors pas encore de relation client et la sauvegarde à long terme pourrait être surprenante sans mention préalable et donc trop peu transparente).

Enregistrement et traitement des données

1. Sauvegarde et conservation des données, comment peut-on concilier cela si des individus sont autorisés à demander la suppression des données?

Si l’on doit encore conserver des données personnelles pour pouvoir respecter une obligation légale de conservation, il n’est pas nécessaire de les supprimer.

En détail:

  1. Il existe des systèmes techniques qui peuvent être utilisés légalement, mais qui ne permettent pas une suppression physique des données personnelles (p. ex. «fonction de journalisation» d’une solution de conservation). 
  2. Avec l’exigence d’«effacement», le droit de la protection des données vise à ce que les données personnelles ne soient plus utilisées et ne fassent pas l’objet d’une violation de données si quelqu’un ne s’occupe plus d’un système retiré du trafic depuis longtemps («Legacy System»). Tant que des mesures techniques et organisationnelles empêchent les collaborateurs d’accéder aux données dans le cadre du fonctionnement normal du système, aucune suppression physique n’est nécessaire. Il suffit de désactiver les références croisées (liens) d’un système de requête sur l’entrée physique encore existante. On peut parler de «Near-To-Delete» ou de «quasi-effacement». Dans de telles situations, il faut continuer à accorder une grande importance aux mesures de protection techniques et il convient également d’examiner dans quelle mesure les systèmes de stockage physiques utilisés peuvent malgré tout être effacés régulièrement (avec surveillance de la destruction physique).

2. Selon la LPD, des données personnelles peuvent-elles être stockées dans le cloud (p. ex. SharePoint, OneDrive, Dropbox)?

Oui. 

En détail:

  1. Les données personnelles peuvent être stockées dans n’importe quel système technique pour autant que les exigences en matière de protection des données puissent être respectées. 
  2. Le droit de la protection des données est conçu de manière neutre du point de vue technologique. En d’autres termes, il régit les objectifs de protection et donc essentiellement la finalité du traitement: en d’autres termes, l’«objectif» d’une action, mais pas la «voie menant à l’objectif». Le cloud est une technique et donc un «chemin vers l’objectif». La solution cloud en elle-même ne doit pas être le problème. La conception défectueuse d’une solution cloud ne peut toutefois pas être acceptée si elle enfreint les conditions légales en matière de protection des données. 
  3. Il convient donc de choisir les solutions cloud avec soin. Le Cloud Canvas de Laux Lawyers est un modèle de contrôle bien établi qui permet aux clients de configurer soigneusement leurs processus de sourcing. Avec Cloud Canvas, les clients de tous les secteurs bénéficient de la longue expérience de Laux Lawyers en matière d’acquisition de solutions cloud (par exemple, Laux Lawyers a été le premier cabinet d’avocats de Suisse à avoir accompagné l’externalisation complète d’une compagnie d’assurance en Suisse vers une solution cloud d’un hyperscaler étranger, et les solutions proposées par Laux Lawyers sont aujourd’hui encore considérées comme précurseurs).
  4. Dans la mesure où des composantes internationales sont mises en place dans le cadre d’une solution cloud, celles-ci doivent également être décrites correctement sur le plan de la protection des données. Mais de nos jours, c’est généralement possible.

3. À quoi faut-il faire attention lorsque les collaborateurs utilisent des ordinateurs portables ou des téléphones mobiles privés ou envoient des documents à leur adresse e-mail privée?

Il s’agit ici de règles dites BYOD. BYOD signifie «Bring Your Own Device». L’entreprise doit avoir le contrôle de son stock de données, et ce, même si les collaborateurs ne traitent pas les données sur leurs propres appareils. Les entreprises peuvent établir des contrôles de nature organisationnelle et contractuelle au moyen de règlements. Il existe également des solutions techniques («sandboxes») qui peuvent être installées sur des appareils privés pour mettre en place une protection technique.

En détail:

Le fait que des collaborateurs traitent des données sur leurs propres appareils n’empêche pas l’entreprise de garder le contrôle. Il convient toutefois de définir les règles de base du contrôle des données afin de garantir que:

  1. Seules les personnes autorisées doivent pouvoir accéder aux données personnelles et aux autres données de l’entreprise. L’utilisation abusive des données doit être empêchée. Il faut donner des instructions pour s’assurer que certaines données ne sont pas du tout enregistrées sur l’appareil privé.
  2. L’entreprise doit être en mesure d’effacer les données personnelles de l’appareil des collaborateurs et de s’assurer de la suppression avant que le collaborateur concerné ne quitte l’entreprise.
  3.  Des mesures de protection techniques doivent être installées sur l’appareil.

4. Comment les données imprimées, p. ex. les contrats et e-mails imprimés, sont-elles concernées par la nouvelle loi?

Les documents physiques tels que les impressions papier sont également régis par la nLPD.

En détail:

  1. En ce qui concerne les «copies papier», celles-ci ne doivent être conservées qu’aussi longtemps que nécessaire. 
  2. Des mesures de protection adaptées sont également nécessaires pour les documents en papier. Il s’agit notamment de mesures telles que les «Clean Desk Policies» et les armoires de rangement verrouillables. Le personnel de nettoyage ne devrait par exemple pas avoir accès à des documents confidentiels ou à des documents contenant des données personnelles.

5. Puis-je transmettre des données clients à des fournisseurs (p. ex. une imprimerie) ou à des partenaires?

Oui, c’est possible du point de vue légal. En fonction de la tâche, les fournisseurs ou autres prestataires de services doivent être impliqués contractuellement dans l’organisation propre du client en tant que sous-traitants. Des contrats avec des mesures de protection sont donc nécessaires. Le client doit choisir avec soin les prestataires de services. 

En détail:

Le choix des partenaires ne se heurte pas au droit de la protection des données. On peut choisir des partenaires, mais il faut les sélectionner avec soin et les intégrer dans sa propre organisation de protection des données (intégration dans son propre périmètre personnel et organisationnel). Il s’agit d’une tâche pour le service Sourcing de l’entreprise.

Quels sont les éléments obligatoires de tels contrats?

  • Directives sur l’utilisation des données
  • Dispositions relatives à la confidentialité 
  • Obligations de suppression pour la période suivant l’exécution du mandat
  • Réglementation indiquant si et comment il est possible d’impliquer des sous-traitants (interdiction ou autorisation préalable)
  • Mesures techniques de protection des données personnelles
  • Devoirs de soutien concernant les demandes de personnes concernées et les violations de données

6. Ai-je le droit d’envoyer des données personnelles par e-mail et est-ce que cela nécessite un cryptage?

Il est recommandé d’envoyer de moins en moins de données personnelles par e-mail et donc avec une grande prudence. 

En détail:

Le temps des systèmes de messagerie électronique devrait être révolu. Il est avantageux d’utiliser des systèmes de collaboration avec des zones d’accès protégées par mot de passe et encapsulées, et pas seulement pour des raisons de protection des données. La personne qui utilise activement de tels systèmes peut, en choisissant la solution technique, contribuer considérablement non seulement à la sécurité informatique, mais aussi à la protection des données.

7. Puis-je utiliser des services de messagerie (p. ex. WhatsApp, Signal, Microsoft Teams) pour partager des données personnelles?

La nLPD ne régit pas la technique («moyen d’atteindre l’objectif»), mais exige qu’un responsable contrôle le traitement des données. Les services de messagerie ne sont donc pas en soi conformes à la protection des données ni contraires à la protection des données. Il n’est donc pas possible de répondre de manière abstraite par oui ou par non.

En détail:

  1. La personne qui utilise des services de messagerie à des fins privées n’est pas soumise à la législation sur la protection des données en la matière. En effet, la nLPD ne s’applique pas lorsqu’un particulier traite des données personnelles le concernant ou concernant des tiers exclusivement à des fins personnelles.
  2. Dans le contexte de l’entreprise, il faut faire une distinction: 
  •  WhatsApp propose une solution pour les clients entreprises qui peut être utilisée conformément au droit de la protection des données. En ce qui concerne la messagerie instantanée utilisée à des fins privées, le responsable ne pourra pratiquement jamais appliquer les contrôles nécessaires pour respecter la formule de base en matière de protection des données: «On ne peut contrôler que ce que l’on comprend».
  •  Il en va de même pour d’autres messageries utilisées de manière isolée.
  •  L’utilisation de Microsoft Teams est tout à fait contrôlable pour le contexte de l’entreprise si le responsable utilise Teams dans le cadre d’une solution M365 qui est globalement bien structurée et bien représentée contractuellement. 

8. Ai-je besoin d’une sauvegarde des données?

Oui, une sauvegarde est recommandée et peut même être requise du point de vue de la protection des données. 

En détail:

  1. Les données doivent toujours être bien sécurisées. Dans ce cas, une société de services informatiques peut aider à garantir la sécurité informatique.
  2. Le Conseil fédéral a noté le principe suivant dans l’ordonnance sur la protection des données: «Le responsable et le sous-traitant doivent prendre des mesures techniques et organisationnelles afin que les données traitées soient disponibles au moment où elles sont nécessaires, conformément à leur besoin de protection (disponibilité)». Ce principe peut s’appliquer lorsqu’il faut répondre à une demande de renseignements. 
  3. Inversement, une longue durée de conservation ne doit pas seulement servir à répondre à une demande de renseignements. Si des données ont été effacées en toute légalité, il n’y a pas de préjudice si seule la réponse suivante peut être donnée à la demande de renseignements: «Aucune information personnelle n’est enregistrée dans nos systèmes.»

Autres questions

1. Quand faut-il commander un représentant en Suisse?

En Suisse, il existe des similitudes avec le RGPD en ce qui concerne l’obligation de désigner un représentant. Dans certaines conditions, les entreprises étrangères doivent indiquer un représentant pour que le PFPDT dispose également d’un point de contact en Suisse pour la communication sur l’application de la nLPD vis-à-vis des entreprises étrangères.

En détail:

Conditions de l’annonce d’une représentation:

  1. En lien avec l’offre de biens et de services en Suisse
  2. Traitement approfondi
  3. Traitement régulier
  4. Risque élevé.

2. Quelles sont les conséquences juridiques si des données personnelles sensibles sont traitées à grande échelle dans un cloud?

Lorsque des données personnelles sensibles sont traitées à grande échelle dans le cloud, une analyse d’impact relative à la protection des données et la création d’un registre des activités de traitement et d’un règlement en matière de traitement peuvent s’avérer nécessaires. Il peut y avoir une obligation de consulter le PFPDT et il peut être nécessaire d’enregistrer les traitements dans les systèmes (création de journaux système).

En détail:

  1. AIPD (analyse d’impact relative à la protection des données): si le traitement des données personnelles sensibles s’avère «étendu», l’obligation de procéder à une analyse d’impact sur la protection des données peut être justifiée lors de l’utilisation d’un cloud («nouvelle technologie») (art. 22, al. 2 nLPD), à moins qu’elle ne soit supprimée pour certaines raisons (art. 22, al. 4 ou 5 nLPD). Conservation de deux ans. Si elle est établie sur une base volontaire, elle doit également être documentée (sinon, risque de conclusion inverse).
  2. Consultation du PFPDT: Dans des cas extrêmes, une phase de consultation de deux à trois mois auprès du PFPDT pourrait être engagée (art. 23 nLPD), ce qui pourrait toutefois être évité en désignant un conseiller en matière de protection des données (art. 23 al. 4 nLPD).
  3. Journalisation: si le traitement des données personnelles sensibles est de grande «ampleur», il convient de veiller à l’enregistrement d’un procès-verbal (journalisation, art. 3, al. 3, let. a, nLPD et art. 4, al. 1, nLPD). Conservation d’un an pour les journaux. La journalisation n’est toutefois pas une obligation du cloud en soi.
  4. Règlement en matière de traitement: si le traitement des données personnelles sensibles est de grande «ampleur», un règlement en matière de traitement est nécessaire (art. 5 nLPD; cette obligation s’applique également au fournisseur du cloud). Le règlement de traitement n’est toutefois pas une obligation du cloud en soi.
  5. Répertoire des traitements: si le traitement des données personnelles sensibles est de grande «ampleur», un registre des traitements doit être établi (art. 24, let. a, nLPD), la liste des traitements (avec description du cloud) n’étant pas une conséquence du cloud.

3. Le profilage à haut risque présente-t-il des particularités?

Oui, diverses mesures de conformité doivent être prises.

En détail:

Il peut s’avérer nécessaire de prendre les mesures suivantes: 

  • Des exigences de sécurité plus élevées
  • Expliquer en détail et assurer ainsi une plus grande transparence
  • L’examen de la solvabilité n’est pas un motif justificatif (art. 31, al. 2, let. c, ch. 1 nLPD)
  • Le consentement doit être explicite (art. 6, al. 7, let. b nLPD) si une autre disposition l’exige (et seulement dans ce cas)
  • Journalisation nécessaire (art. 4 nLPD)
  • Le règlement en matière de traitement est également obligatoire pour les particuliers (art. 5 al. 1 let. b nLPD)
  • Le registre des traitements est également obligatoire pour les particuliers (art. 24 let. b nLPD)

Il y a profilage à haut risque en cas de: 

  1. Traitement automatisé;
  2. Possibilité d’évaluer certains aspects personnels
    • Analyse (collecte de données dangereuses)
    • Prévision (mention de danger)
  3. Il existe un lien avec des données permettant d’évaluer les aspects essentiels.

4. Existe-t-il des particularités concernant les données personnelles particulièrement sensibles?

Oui, il existe diverses obligations d’action qui doivent être contrôlées.

En détail:

Il peut s’avérer nécessaire de prendre les mesures suivantes: 

  • Des exigences de sécurité plus élevées
  • Expliquer en détail et assurer ainsi une plus grande transparence
  • Prendre des mesures de sécurité particulièrement efficaces
  • L’examen de la solvabilité n’est pas un motif justificatif (art. 31, al. 2, let. c, ch. 1 nLPD)
  • Le consentement doit être explicite (art. 6, al. 7, let. a nLPD) si une autre disposition l’exige (et seulement dans ce cas)
  • Journalisation nécessaire (art. 4 nLPD)
  • Le règlement en matière de traitement est également obligatoire pour les particuliers (art. 5 al. 1 let. b nLPD)
  • Le registre des traitements est également obligatoire pour les particuliers (art. 24 let. b nLPD)
  • Divulgation uniquement si une justification particulière est nécessaire (art. 30, al. 2, let. c, nLPD)
  • Réglementation spéciale en cas de justification à des fins de recherche (art. 31, al. 2, let. e, nLPD et art. 39, al. 1, let. b, nLPD)

5. Quels sont les mots-clés importants concernant les «violations de la sécurité des données»?

Les violations de la sécurité des données (data breaches) sont malheureusement en augmentation, actuellement en raison d’attaques externes. Sur le plan de la protection des données, il faut noter certains éléments. Il s’agit avant tout des obligations d’annoncer. Mais dans certains cas, de tels événements peuvent également entraîner des sanctions.

En détail:

  1. Le manque de sécurité des données peut entraîner une infraction selon l’art. 64, al. 2 LPD (violation de l’art. 8 LPD). Une déclaration ne peut être utilisée à son encontre qu’avec le consentement de «la personne soumise à l’obligation de déclaration» (cela s’applique également à l’entreprise).
  2. Obligation d’annoncer au PFPDT en cas de risque élevé. Période: «dans les plus brefs délais»
  3. Obligation d’informer la personne concernée (a) si nécessaire ou (b) sur demande au PFPDT. Date: en suspens
  4. Obligation de documenter l’incident de sécurité et conservation de la documentation pendant deux ans après l’annonce au PFPDT (dans la mesure où la déclaration est effectuée, qu’elle soit ou non conforme à une obligation; ne relève toutefois que du droit d’ordonnance)

6. Dans quels cas une violation de la protection des données peut-elle entraîner une sanction?

La nLPD prévoit des sanctions dans différents cas (voir le texte déroulant). Jusqu’à la limite de CHF 50 000.–, une entreprise peut également encourir une amende (art. 64, al. 2 LPD).

En détail:

Une sanction peut être encourue dans les cas suivants:

  • Aucune information proactive, fausse ou incomplète, si l’enquête est effectuée directement auprès de la personne concernée, et immédiatement. Contenu: (i) qui, (ii) dans quel but, (iii) destinataires ou catégories de destinataires, (iv) pays de destination avec garanties.
  • Aucune information proactive, fausse ou incomplète en cas de collecte auprès de tiers. 1 mois (sauf indication préalable). Contenu: (i) qui, (ii) quoi, (iii) dans quel but, (iv) destinataires ou catégories de destinataires, (v) pays de destination avec garanties.
  • Aucune information proactive, fausse ou incomplète en cas d’AEFE pertinente
  • Information réactive fausse ou incomplète (les informations dans le scénario «chez des tiers» ainsi que: (vi) durée de conservation; (vii) origine; (viii) existence et logique). Le retard (après l’expiration des 30 jours, sans notification au sens de l’art. 18, al. 2 LPD) ou le «défaut de renseignement» ne sont pas punissables.
  • Transmission à l’étranger contre les conditions
  • Implication insuffisante de sous-traitants: p ex. recours à des sous-traitants sans garantie des conditions (restrictions de dispositions de sécurité)
  • Violation de la sécurité des données, c’est-à-dire sans réalisation de l’analyse des besoins de protection, mesures techniques et organisationnelles
  • Violation du devoir de discrétion (art. 62 LPD)
  • Non-respect des décisions (art. 63 nLPD)
  • Usurpation d’identité (art.179i CP)

7. Le PFPDT a-t-il également des pouvoirs d’enquête à l’égard des entreprises privées?

Oui. La nouvelle LPD confère au Préposé fédéral à la protection des données et à la transparence des pouvoirs d’enquête supplémentaires. Ils vont plus loin qu’auparavant et une enquête peut être ouverte plus rapidement qu’en vertu de l’ancien droit («s’il y a suffisamment d’indices qu’un traitement des données pourrait enfreindre les prescriptions en matière de protection des données»).

En détail:

Le PFPDT peut enquêter dans les situations suivantes: 

  • Enquête contre des particuliers, même d’office, s’il y a suffisamment d’indices qu’un traitement des données pourrait enfreindre les prescriptions en matière de protection des données (art. 49 nLPD; exception: violations mineures).
  • Pouvoir d’enquête en tant qu’autorité de surveillance vis-à-vis des autorités fédérales.

À cet égard, le PFPDT dispose des pouvoirs suivants:

  • Droit de disposition direct (modification, interruption ou arrêt d’un traitement; suppression de données personnelles; information des personnes concernées; mise en œuvre d’une AIPD, etc.)
  • Pouvoirs d’enquête (art. 50 nLPD): (a) l’accès aux informations/documents; (b) l’accès aux locaux et installations; (c) l’audition de témoins; (d) les expertises.
  • Compétence de décision en tant qu’autorité de surveillance vis-à-vis des autorités fédérales.

8. Quels sont les délais à retenir lorsqu’on parle de la nLPD?

Dans la nLPD, les délais peuvent être déterminants dans différentes constellations.

En détail:

Les différents délais prévus par la nLPD sont mentionnés ci-après à titre récapitulatif:

  • Le plus rapidement possible: notification de violation de données au PFPDT
  • Délai raisonnable: notification de fuite des données à la personne concernée (n’est pas toujours requise)
  • 1 mois: information proactive selon l’art. 19 al. 5 nLPD
  • 30 jours: information réactive (art. 25, al. 7 nLPD; art. 18 LPD)
  • 1 an: conservation de journaux (art. 4 LPD)
  • 2 ans: conservation de l’analyse d’impact relative à la protection des données (art. 14 LPD)
  • 5 ans (après l’entrée en vigueur de la nLPD): Les autorités fédérales ont le droit de divulguer des données de personnes morales en vertu de la LPD (art. 71 nLPD) jusqu’au 31 août 2028.
  • 5 ans: prescription des poursuites (art. 66 nLPD)
  • 10 ans : l’examen de la solvabilité n’est plus un motif justificatif lorsque les données sont plus anciennes (art. 31, al. 2, let. c, ch. 4 nLPD)

9. Quels sont mes droits en tant que personne vis-à-vis du responsable conformément à la nLPD?

On parle ici de ce que l’on appelle les droits des personnes concernées. Il s’agit des droits dont on dispose en tant que personne concernée vis-à-vis des responsables.

En détail:

La nLPD mentionne les droits suivants des personnes concernées:

  • Droit aux renseignements: art. 25 nLPD
  • Droit de rectification: art. 32 al. 1 nLPD
  • Droit à l’effacement ou à la destruction des données personnelles: art. 32 al. 2 let. c nLPD
  • Publication ou transfert de données (portabilité des données): art. 28 nLPD

Il faut également mentionner le fait qu’un responsable a un devoir d’information vis-à-vis de la personne concernée:

  • Transparence proactive (art. 19 nLPD), AEFE (art. 21 nLPD)
  • Data Breach Notice (art. 24 al. 4 nLPD)
  • Mention des coordonnées du conseiller en matière de protection des données (art. 10, al. 3, let. d nLPD)

10. Y a-t-il des obligations de déclarer selon la nLPD?

Oui, dans différents cas, la nLPD exige une déclaration au PFPDT.

En détail:

Il s’agit des obligations de déclaration suivantes:

  • Coordonnées du conseiller en matière de protection des données (art. 10, al. 3, let. d nLPD): lorsqu’une entreprise fait appel à un conseiller en protection des données, celui-ci doit être signalé au PFPDT, faute de quoi l’effet de privilège prévu par la loi (dans le contexte de l’analyse d’impact relative à la protection des données, AIPD) ne s’applique pas. Il est donc possible d’avoir un conseiller en protection des données sans en informer le PFPDT.
  • Les analyses d’impact relatives à la protection des données (AIPD) doivent être établies et transmises au PFPDT lorsqu’un risque net demeure «élevé» après leur réalisation et que l’entreprise n’a pas désigné de conseiller en protection des données.
  • Data Breach avec risque élevé: une violation de la sécurité des données doit le cas échéant être signalée au PFPDT.
  • Les transferts à l’étranger basés sur des clauses de protection des données, des garanties spécifiques ou des Binding Corporate Rules (BCR) doivent être signalés au PFPDT.
  • Le représentant selon l’art. 14 nLPD doit être annoncé au PFPDT.

11. En tant que responsable, puis-je soumettre au PFPDT une demande d’approbation pour certaines actions afin de réduire mon risque selon la nLPD?

De manière générale, le droit de la protection des données est un domaine juridique dans lequel il faut trouver soi-même des solutions. Ce n’est qu’a posteriori que l’on décide si ce que l’on a fait était légal. À première vue, c’est insatisfaisant, mais cela peut être géré dans la pratique. Si vous respectez les règles de base suivantes, vous devriez dans tous les cas pouvoir échapper aux sanctions:

  1. Avoir le contrôle de sa situation (seule une personne qui comprend est capable de le contrôler)
  2. Dire ce que l’on fait, faire ce que l’on dit
  3. Ne pas être malhonnête

En détail:

Néanmoins, la nLPD prévoit parfois l’obligation de signaler des actes au PFPDT pour qu’il puisse les approuver (ou refuser l’approbation dans des cas particuliers). Mais il s’agit plutôt d’une exception.

On peut citer les cas suivants:

  • Certification de systèmes ou de programmes (art. 13 nLPD)
  • Les clauses standard relatives à la protection des données doivent être approuvées en partie.
  • Des prescriptions de protection des données à l’échelle de l’entreprise, appelées BCR ou Binding Corporate Rules, doivent également être approuvées.
  • Les codes de conduite (art. 11 nLPD) devraient également être approuvés. Il faudra toutefois attendre pour savoir si cet instrument s’imposera.

12. Quand dois-je faire appel à un conseiller en protection des données?

En tant que responsable, il convient de désigner un conseiller à la protection des données dans les cas suivants:

  1. On souhaite disposer d’un point de contact pour la formation et la gestion du droit de la protection des données.
  2. On ne souhaite pas communiquer les résultats d’une analyse d’impact relative à la protection des données au PFPDT.

13. En tant qu’entreprise, dois-je établir un registre des activités de traitement?

Dans le domaine privé, un registre de traitement ou de procédure (parfois abrégé «ROPA» pour Register of Processing Activities) n’est pas obligatoire pour les petites entreprises. La loi prévoit une exception pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données comporte un faible risque d’atteinte à la personnalité des personnes concernées. Nous recommandons toutefois de créer ces répertoires dans tous les cas, car ils constituent une base extrêmement précieuse pour la documentation relative à la protection des données.

En détail:

Il faut avoir un registre de traitement dans les cas suivants:

  • Lorsque l’on emploie plus de 250 collaborateurs.
  • Lorsque l’on traite une grande quantité de données personnelles particulièrement sensibles.
  • Lorsqu’on procède à un profilage à haut risque

14. Existe-t-il des dispositions particulières concernant le droit transitoire?

La nLPD ne prévoit aucun droit transitoire significatif. 

En détail:

Les règles de fond du droit transitoire sont les suivantes:

  • Le principe suivant s’applique: en règle générale, les nouvelles exigences s’appliquent dès leur entrée en vigueur.
  • Exception: procédure en cours; état de fait Grandfathering, c’est-à-dire que l’ancien droit continue de s’appliquer.
  • Grandfathering: uniquement si le stock de données et la finalité sont identiques («données stockées passives»). Le «grandfathering» signifie ici ce qui suit: pour celles-ci, par exemple, aucune obligation d’information, aucune analyse d’impact sur la protection des données et aucune obligation de Privacy by Design et by Default. Toutefois, la loi ne précise pas si la règle transitoire s’applique également aux mesures de sécurité. Il faut aussi prendre en compte: la sécurité informatique est une tâche permanente, il ne faut pas avoir de dispositif de sécurité obsolète. L’état de la technique doit au minimum être respecté, mais il peut évoluer.
  • Données de personnes morales: les autorités ont encore un droit de divulgation jusqu’au 31 août 2028.

15. À quoi faut-il penser lorsque je fais appel à des sous-traitants chargés du traitement des données?

Assurez-vous (lors de la sélection et du contrôle) que votre sous-traitant protège les données personnelles de manière appropriée contre les risques de violation de la sécurité des données. Cela signifie qu’il faut sélectionner avec soin les sous-traitants et les garder à l’œil. Il convient en outre de s’assurer par contrat.

En détail:

Les contrats conclus avec des sous-traitants doivent contenir au minimum les éléments suivants:

  • Description de l’objet et de l’étendue du traitement du mandat 
  • Engagement du sous-traitant à respecter les instructions
  • Des mesures techniques et organisationnelles suffisantes pour assurer la sécurité des données doivent être prescrites et, dans l’idéal, être établies d’une autre manière.
  • Réglementations suffisantes concernant les sous-traitants (voir également l’art. 7 nLPD)
  • Obligations d’information, de coopération et de confidentialité du sous-traitant
  • Droits d’examen du responsable (contrôle pendant la durée du contrat)
  • Règles relatives à la protection des secrets professionnels
  • Réglementations suffisantes concernant les composantes étrangères

16. Y a-t-il des conseils pour les PME en matière de sécurité?

Assurer la sécurité est une tâche importante. Il faut se faire aider par des spécialistes. Il n’est donc pas possible de répondre brièvement dans le cadre de cette FAQ. 

17. Existe-t-il malgré tout de bonnes check-lists pour la mise en œuvre de la sécurité informatique?

Le Centre national pour la cybersécurité (NCSC) a publié des consignes sur la sécurité des données. Il s’agit toutefois davantage du début d’un entretien que de l’abréviation de la fin d’un entretien sur la sécurité. L’article du magazine B2B de Swisscom sur les mesures fondamentales de protection contre les cyberattaques offre également une introduction.

En détail:

Les points suivants peuvent être mentionnés comme un kit pour la mise en place d’un réseau interne dans une PME:

  • Appareils à usage unique encapsulés pour certaines activités (paiements)
  • Mesures d’encapsulation dans le réseau (empêcher la propagation)
  • Protéger les sauvegardes des virus
  • Exécution de mises à jour
  • Garder à l’œil, contrôler et surveiller les droits des utilisateurs
  • Droits d’administrateur: les administrateurs doivent en outre respecter le principe de l’attribution minimale des droits.
  • Verrouiller les macros
  • Bloquer les sites Internet des répertoires de suspects (p. ex. sur abuse.ch)
  • Bloquer les adresses IP (voir abuse.ch)
  • Journaux (durée de stockage): définir les périodes au maximum. Souvent, les durées de conservation des journaux sont trop courtes. Un minimum de 90 jours est nécessaire, certains journaux doivent être configurés pour une période plus longue.

Recommandations pour les prochaines étapes

La sécurité des données est la condition préalable à la protection des données. Pour que vous puissiez travailler en toute sécurité, Swisscom vous propose des services d’assistance variés en matière de sécurité informatique:

• Faites un test de sécurité gratuit pour obtenir une première estimation.

•Un assessment complet de la sécurité détecte les vulnérabilités dans votre environnement et propose des solutions.

•Prenez contact avec nos spécialistes pour obtenir des conseils.

Ne manquez aucun contenu!

Recevez régulièrement des articles passionnants, des whitepapers et des informations sur des événements en rapport avec l’actualité IT pour votre entreprise.

Lisez maintenant