La nouvelle loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre prochain en Suisse. Dans cet article, nous passons en revue les points clés de cette réforme avec Bettina Barjon, conseillère à la protection des données chez KHEOPS Technologies.
Tout d’abord pourquoi une révision de la LPD était-elle nécessaire ?
La LPD actuelle date de 1992. Entre temps, l’apparition et la généralisation d’Internet ont conduit à une collecte massive de données personnelles. Une révision de la loi était nécessaire pour prendre en compte ces évolutions technologiques et sociales afin de protéger la vie privée et la personnalité de chacun.
La compatibilité du droit suisse et du droit européen est également à l’origine de cette révision. En effet pour que les données personnelles puissent être traitées de part et d’autre des frontières sans complexité juridique, il est nécessaire que la Suisse bénéficie d’une décision d’adéquation. En somme que son niveau de protection des données soit jugé équivalent à celui de l’UE.
La Suisse bénéficie actuellement d’une telle décision mais celle-ci est en cours de réexamen par la Commission Européenne. L’adoption de la nouvelle LPD s’inscrit également dans ce contexte.
Quels sont les principaux changements apportés par cette nouvelle loi ?
Dans les grands principes, la nLPD adopte une approche par le risque et la compliance et renforce les mesures de transparence.
Nous passons d’un système de déclaration de certains fichiers auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) à un système de preuve de la conformité des organisations qui traitent des données personnelles, à l’image de ce qui se pratique avec la législation européenne.
Il appartiendra aux acteurs qui traitent ces données d’être en mesure de prouver la conformité de leurs traitements. Ce qui suppose au préalable de les cartographier afin de pouvoir étudier leur conformité.
En pratique il devient obligatoire :
- de fournir une information détaillée au préalable de toute collecte de données personnelles. Seules les données des personnes physiques sont maintenant concernées ;
- de tenir un registre des activités de traitement (une exception est prévue pour les entreprises employant de moins de 250 collaborateurs et dont les traitements de données présentent un risque limité) ;
- de supprimer ou anonymiser les données lorsqu’elles ne sont plus nécessaires ;
- d’appliquer les principes de privacy by design et by default ;
- de réaliser des analyses d’impact lorsque le traitement présente des risques élevés ;
- de procéder à l’annonce de la violation de sécurité des données (y compris accidentelle) auprès du PFPDT dans les meilleurs délais en cas de risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Cette dernière devra également en être informée si nécessaire ou exigée par le PFPDT.
Et de prendre en compte certains droits introduits ou renforcés dans la nouvelle LPD tels que le droit à la portabilité des données, le droit d’accès.
La notion de profilage fait également son entrée dans la loi.
Et dans le domaine de la santé plus particulièrement ?
Il convient de noter que la LPD s’applique aux médecins et aux cliniques privées ainsi qu’aux hôpitaux considérés comme organes fédéraux. En revanche les hôpitaux cantonaux relèvent des lois cantonales sur la protection des données.
Les données de santé sont déjà actuellement qualifiées de sensibles. En revanche entreront dans leur définition à partir du 1er septembre les données génétiques et biométriques. Et plus généralement, les mesures techniques et organisationnelles des responsables de traitement et des sous-traitants devront être adaptées aux risques encourus, ce qui en pratique nécessite un renforcement des mesures techniques de sécurisation lorsque l’on traite de la donnée médicale.
Au surplus, l’ordonnance sur la protection des données stipule également une obligation de journalisation pour le traitement automatisé de données sensibles à grande échelle et la tenue d’un règlement de traitement.
Quelles sanctions ?
La nLPD contient plusieurs dispositions pénales visant à renforcer l’effectivité des obligations qu’elle impose.
Les pouvoirs du PFPDT ont également été revus sans toutefois lui donner un pouvoir de sanction administrative directe (comme celui que peut avoir la CNIL en France par exemple). Il peut cependant interdire un traitement.
Le montant des amendes encourues a été augmenté pour atteindre un maximum de 250 000 CHF applicable à une personne physique en cas d’infraction intentionnelle. C’est plus sévère qu’avant (CHF 10 000) mais nous sommes loin des 20 millions d’euros ou 4% du CA mondial du RGPD (applicable à la personne morale).
Et sans que ce soit une sanction à proprement parler, il convient à mon sens de tenir compte du risque réputationnel lié à la nouvelle obligation de déclaration des violations de sécurité.
Et chez KHEOPS ? Et BIODYSSEE ?
La protection des données est une préoccupation constante.
Nous sommes vigilants à l’application de la règlementation européenne depuis son entrée en vigueur, en 2018. Nos collaborateurs sont sensibilisés à la protection des données, diverses mesures ont été mises en place, tant au niveau technique que juridique. Et nous proposons à nos clients et partenaires des contrats spécifiques relatifs à la protection des données qui permettent de déterminer les droits et devoirs de chacun. C’est l’occasion de nouer une vraie collaboration sur ce sujet.
Et concernant la nLPD, disons que pour les entreprises qui s’étaient déjà conformées au RGPD, peu de changements sont à entreprendre.
Pour les autres, le site du PFPDT offre des informations précises et détaillées. Vous y trouverez également depuis peu un portail Databreach permettant de déclarer en ligne les violations de sécurité de données.
Pour toute question ou tout renseignement sur ce sujet, nos clients et partenaires peuvent nous contacter à l’adresse suivante : dpo@kheops.ch
