Mettre en œuvre de nouvelles réglementations ne fait pas partie des tâches préférées dans les affaires courantes. Comme la protection des données et la sécurité des informations répondent à un besoin croissant des clients, le défi doit aussi être considéré comme une chance. Avec la révision de la LPD qui entrera en vigueur au 1er septembre 2023, la Suisse renforce la protection de la personnalité dans le traitement des données personnelles avec une mise à niveau au plan européen et facilite l’échange de données entre pays. Comme le droit européen, la LPD ne concernera que les données des personnes physiques.

Aux entreprises d’agir

Les entreprises ont tout intérêt à protéger de la même manière les données commerciales non personnelles. Protection des données et sécurité de l’information vont de pair. La révision ne réinvente pas la protection des données. Les principes fondamentaux (légalité, transparence, limitation des finalités) sont maintenus. Néanmoins, il existe de nouvelles obligations auxquelles les entreprises sont confrontées lors du traitement des données personnelles. Citons le devoir d’information élargi vis-à-vis des personnes concernées ou l’obligation de notification en cas de violation de la protection des données. Les entreprises doivent mettre en œuvre cette protection sur le plan technique et organisationnel dès la planification des systèmes (Privacy by Design). Et choisir par défaut des paramètres favorables à la protection des données (Privacy by Default).

En cas de risques élevés lors du traitement, il est conseillé de procéder à des analyses d’impact sur la protection des données (AIPD), qui comprennent la définition de mesures appropriées. Même si la loi ne l’impose qu’à partir de 250 collaborateurs, il est recommandé de tenir un registre des traitements de données. C’est la base de la protection voulue. Une petite AIPD est aussi recommandée pour chaque projet. La validation de directives internes de protection des données, la réglementation claire des responsabilités ainsi que la formation et la sensibilisation des collaborateurs s’avèrent aussi efficaces. Il faut encore documenter de manière adéquate la protection des données et la sécurité de l’information, afin d’apporter la preuve de la diligence en cas d’incident.

Comme jusqu’ici, les entreprises qui enfreignent la protection des données peuvent se retrouver dans le collimateur au plan civil. Elles risquent de devoir payer des dommages et intérêts. Les conséquences pénales sont toutefois nettement plus sévères. Désormais, les infractions intentionnelles sont passibles d’amendes pouvant aller jusqu’à 250 000 francs. Celles-ci visent en premier lieu les personnes responsables au sein de l’entreprise, et donc également la direction et le conseil d’administration. La révision renforce également durablement le rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT). Ce dernier pourra dès lors mener des enquêtes sur place ou interdire des traitements de données.

Une tâche stratégique

Les demandes de dommages et intérêts ou les amendes potentiellement élevées en cas de violation de la protection des données ne sont pas les seuls risques à prendre au sérieux. Une gestion déficiente de la protection des données est un risque pour la réputation qui peut dépasser les conséquences civiles et pénales.

La protection des données doit aussi être perçue comme une tâche stratégique et faire partie des objectifs de la direction et du conseil d’administration. Comme dans d’autres domaines, les PME aux ressources limitées doivent se demander dans quelle mesure elles sont prêtes à prendre de manière consciente des risques résiduels.

Dr Matthias Amgwerd,

partenaire, Étude d’avocats Burkhalter