Les personnes concernées par la protection des données sont les clients, les fournisseurs, les collaborateurs d’une PME ou les membres d’une association. La gestion d’un site Internet entraîne aussi la collecte et le traitement de données. De nouvelles exigences sont appliquées dès septembre avec la loi sur la protection des données (LPD) et la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD).

La révision totale de la LPD assure une meilleure protection des données personnelles, adaptée aux évolutions technologiques, l’autodétermination concernant les données personnelles est renforcée et la transparence lors de la collecte de données personnelles est accrue. Le droit de la protection des données concrétise le droit fondamental à l’autodétermination en matière d’information, inscrit à l’article 13, alinéa 2 de la Constitution fédérale. Il vise à protéger la sphère privée des personnes. Il veille à ce que ce droit fondamental soit effectif non seulement dans les relations avec l’État, mais aussi entre les particuliers, fixe les principes applicables au traitement des données personnelles, règle les obligations de ceux qui traitent les données personnelles et consacre les droits de la personne concernée.

Transparence accrue

Outre une amélioration générale de la transparence, le nouveau droit comprend la prise en compte de la protection des données dès la planification du traitement des données («privacy by design») et par des préréglages favorables à la protection des données («privacy by default»), un renforcement des dispositions pénales, une obligation de procéder à des analyses d’impact sur la protection des données, le droit à la remise et au transfert des données, la promotion de la sécurité des données et la notification des violations de la sécurité des données ainsi que le renforcement des compétences de surveillance et de l’indépendance du Préposé fédéral à la protection des données (PFPDT).

En principe, les personnes concernées doivent bénéficier d’une plus grande transparence quant à l’identité des personnes qui traitent leurs données personnelles et à la finalité du traitement, afin de pouvoir faire valoir leurs droits. Une déclaration de protection des données est un moyen approprié pour satisfaire à l’obligation d’informer les personnes concernées.

Analyse d’impact dans toutes les situations

Avant de procéder à un traitement de données, les risques pour la personnalité ou les droits fondamentaux de la personne concernée doivent être identifiés et évalués. Cette analyse d’impact sur la protection des données doit impérativement être effectuée lorsque des données personnelles sensibles (par exemple des données relatives à la santé) sont traitées ou lorsque des traitements de données à risque sont prévus, comme par exemple dans le cas du profilage.

Le profilage désigne tout type de traitement automatisé de données personnelles qui analyse ou prédit, par exemple, des aspects relatifs au rendement au travail, à la situation économique, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, au comportement, au lieu de résidence ou au déplacement de cette personne physique.

Chaque situation individuelle doit être évaluée au cas par cas. Souvent, le respect de certaines informations minimales suffira. Mais il y a aussi de nouvelles obligations comme l’obligation de notification en cas de violation de la protection des données ou l’obligation d’information élargie.

Tant que les principes de traitement que sont la transparence, la finalité, la proportionnalité et la sécurité des données sont respectés, que la personne concernée ne s’est pas opposée au traitement et qu’aucune donnée personnelle sensible n’est communiquée à des tiers, aucun consentement n’est requis en Suisse pour le traitement de données personnelles par des entreprises et organisations privées.

Dieter Kläy, usam