jeudi, 14 mars 2024
Loi sur la protection des données: ce qui a changé pour votre entreprise
Instaurée depuis le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) vise à offrir un cadre actualisé pour lutter contre les dérives en matière d’utilisation des données. Désormais, les entreprises doivent suivre une nouvelle base légale si elles collectent les données d’utilisateurs. Nous vous proposons un retour sur les implications majeures de cette refonte législative ayant pour but d’offrir à tout un chacun davantage d’anonymat en ligne.
La protection des données est devenue un enjeu prioritaire pour les entreprises ainsi que pour les particuliers. Depuis quelques années, les données des utilisateurs prennent de plus en plus de valeur. Il est donc important de les garder confidentielles, surtout lorsque celles-ci sont sensibles. D’autant plus que la récolte de données a tendance à s’intensifier et rend possibles de nouvelles manières de traiter ces informations. Les progrès technologiques rapides et les nouveaux risques associés à la récolte de données ont amené le pouvoir législatif à actualiser ses lois. C’est pour ces raisons que le Parlement suisse a adopté la nouvelle loi fédérale sur la protection des données (nLPD) lors d’une session en automne 2020.
Entrée en vigueur de la nLPD
Depuis le 1er septembre 2023, la nLPD est entrée en vigueur. Elle vise à proposer une meilleure garantie de protection aux données des utilisateurs, afin d’offrir à chacun des expériences numériques plus sereines. Toutes les entreprises qui collectent des données personnelles sont concernées puisqu’elles doivent observer les nouveaux principes et mettre en place les mesures nécessaires afin de respecter cette base légale actualisée.
Quels sont les changements majeurs?
1. Il est désormais nécessaire d’informer les visiteurs de la collecte de n’importe quel type de données, sensibles ou non. On parle ici d’un «devoir d’informer». Il était jusque là uniquement valable pour les données sensibles.
2. Les données biométriques et génétiques seront considérées comme des données sensibles.
3. Les données des personnes morales ne sont plus couvertes par la nLPD. Seules les données des personnes physiques le sont.
4. Le principe de «Privacy by Design» est instauré. L’expression peut être traduite par la protection des données dès sa conception. Elle demande d’intégrer la protection des données et le respect de la sphère privée dans la conception de tous les produits ou services qui seraient amenés à récolter des données utilisateurs.
5. Le principe de «Privacy by Default» est également instauré. Il stipule que tout produit ou service mis en circulation doit être d’office configuré de manière à offrir le meilleur niveau de sécurité possible à l’utilisateur. C’est-à-dire que, dès la première utilisation du produit ou service, l’utilisateur doit bénéficier des meilleurs réglages de sécurité et de protection de la vie privée, sans avoir à les paramétrer.
6. Certaines entreprises doivent tenir un registre des activités de traitement. Ce document recense tous les traitements de données effectués par la société et fournit une vue d’ensemble de ce qui est fait avec les données personnelles récoltées. Les entreprises concernées sont les organisations employant plus de 250 collaborateurs, les organes fédéraux ainsi que les sociétés qui traitent des données personnelles sensibles à grande échelle ou qui effectuent un profilage à haut risque.
7. Si les données présentent un risque élevé pour la personnalité ou les droits fondamentaux des utilisateurs, l’entreprise doit mener des analyses d’impact. Elles permettent d’évaluer et d’adresser les dangers potentiels avec les données concernées.
8. Les entreprises sont tenues d’annoncer dans les plus brefs délais tout cas de violation de la sécurité des données. Les annonces doivent se faire au Préposé fédéral à la protection des données et à la transparence (PFPDT).
9. La notion de profilage est introduite. Toute forme de traitement automatisé des données est considérée comme du profilage lorsqu'il utilise les données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Est également introduite la notion de «profilage à haut risque» qui décrit un profilage qui engendre une menace élevée pour la personnalité ou les droits fondamentaux des personnes concernée, parce qu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.
Ces neuf changements sont les principaux apportés par la nLPD qui comporte 74 articles. Vous trouverez l’intégralité du texte sur le site de la Confédération ainsi qu’une foire aux questions qui répond à un grand nombre d'interrogations. l’intégralité du texte sur le site de la Confédération ainsi qu’une foire aux questions qui répond à un grand nombre d'interrogations.
Si vous avez toujours de la peine à mettre en place la nouvelle législation au sein de votre entreprise, de nombreux spécialistes proposent leurs services afin de vous accompagner dans les différentes mises à jour et l’instauration des éléments nécessaires au respect de ces nouvelles lois. Il peut également s’avérer pertinent de former quelqu’un à l’interne afin de veiller au respect de ces directives sur la durée.