La loi sur la protection des données, totalement révisée, entrera en vigueur le 1er septembre prochain. Cette mouture a pour objectif de s’adapter aux nouvelles conditions technologiques et sociales. Les entreprises sont concernées au premier chef et doivent s’y préparer rapidement.
Les données personnelles, les experts le disent, représentent un peu l’or noir de l’économie numérique. C’est la raison pour laquelle le Parlement fédéral, après bien des tergiversations, a décidé d’améliorer le traitement de celles-ci et d’accorder de nouveaux droits aux citoyens suisses en la matière à travers la révision totale de la loi sur la protection des données (LPD). Il en découle un certain nombre d’obligations pour les entreprises. A noter que seules les données des personnes physiques sont couvertes, et non plus celles des personnes morales (sociétés commerciales, associations).
Cette révision, quoiqu’elle comporte des spécificités suisses, se rapproche du règlement général de l'UE sur la protection des données (RGPD), auquel les sociétés suisses traitant avec des clients hors du pays devaient se conformer dès son entrée en vigueur en 2018. Ces dernières ont ainsi déjà adopté des processus adéquats. Les entreprises qui ne sont pas dans ce cas devront se mettre rapidement en conformité avec la nouvelle LPD. Cela prendra du temps et nécessitera généralement des expertises juridiques et techniques, d’où l’importance d’aller de l’avant.
Ce texte accorde, entre autres, aux personnes concernées des droits d’information ou de suppression de leurs données. Pour garantir ces droits, les entreprises devront notamment répondre aux requêtes de leurs clients, notifier les violations de la sécurité des données et, dans certains cas, mener des analyses d’impact ou tenir des registres. La règle est que plus une PME manie de données sensibles, plus l’application de la loi sera exigeante pour elle.
Analyser les risques
Pour se préparer à l’entrée en vigueur de la LPD, les PME doivent dès maintenant analyser les risques que comportent leurs activités en matière de traitement de données personnelles. Elles peuvent également sécuriser davantage leur infrastructure et informer leur personnel sur la thématique. Enfin, elles doivent veiller à ce que leurs contrats soient progressivement adaptés aux nouvelles exigences légales.
Si elles ne se conforment pas à la nouvelle loi, les PME risquent d’avoir la visite d’un membre de l’équipe du Préposé fédéral à la protection des données. Il peut, d’office ou sur dénonciation, enquêter si des indices suffisants font penser qu’un traitement de données pourrait être contraire à des dispositions de la nouvelle législation. Il peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement, ainsi que l’effacement des données. Pour l’entreprise, cela peut représenter un risque économique, sans parler du déficit d’image. Si, contrairement aux autorités européennes, le Préposé ne dispose pas d’un pouvoir de sanction, il a en revanche la possibilité de dénoncer des infractions aux autorités cantonales de poursuite pénale.
La CVCI invite ses membres à se mettre rapidement au travail pour se conformer à la LPD. La prochaine édition de notre magazine «demain», qui paraîtra le 9 février, consacre un article détaillé à ces nouvelles exigences. Notre Service juridique est par ailleurs à disposition pour tout renseignement à ce propos.
