À quoi devons-nous nous attendre avec la nouvelle loi sur la protection des données ?
Claudio Haufgartner : La révision de la loi a pour but d’adapter « l’ancienne » loi sur la protection des données aux nouvelles exigences du monde numérique pour faire en sorte que la protection des données corresponde au Règlement européen sur la protection des données (RGPD). Raison pour laquelle la révision s’est principalement axée sur ce dernier.
Qu’est-ce qui change exactement ?
Les changements concernent d’une part les champs d’application de la loi sur la protection des données. La loi révisée sur la protection des données se limite comme le RGPD à la protection des données des personnes physiques et non plus à la protection des données des personnes juridiques comme jusqu’à présent.
De plus, les entreprises ont d’autres devoirs d’information. Ce qui signifie que les entreprises doivent informer les personnes concernées de chaque acquisition de données. Dans la loi actuelle sur la protection des données, cela n’est valable que pour les données personnelles sensibles. Les entreprises avec plus de 250 collaborateurs sont tenues de dresser une liste des activités de traitement. Un tel répertoire est judicieux du point de vue des réflexions en matière de Compliance et je le recommande aussi aux entreprises qui ne sont pas tenues de le faire par la loi.
Pouvez-vous l’expliquer plus précisément ?
Les entreprises doivent pouvoir expliquer dans le détail quelles données elles traitent, comment et où elles le font et qui en a la responsabilité. On ne peut donc plus faire sans déclarations de confidentialité. En fonction de la situation, il peut être judicieux de rédiger des déclarations de confidentialité pour diverses catégories de personnes (candidats, clients, fournisseurs, etc.) qui ont aussi un autre besoin d’informations.
Cela implique un investissement de temps ?
Oui, cela implique un certain investissement de base. Je recommande de réfléchir dès maintenant aux étapes nécessaires d’ici à l’entrée en vigueur. Mais il faut aussi rester pragmatique. C’est pourquoi je recommande de se poser la question suivante : où avons-nous les plus grands risques ? Et ce, aussi en vue des dispositions pénales qui ont été redéfinies.
Vous avez des questions sur la loi sur la protection des données ? Nous pourrons certainement en clarifier beaucoup dans notre webinaire du 30 mars 2023. Nous sommes aussi à la disposition des entreprises membres de Swissmem pour leurs questions personnelles.
Et si une panne de données a quand même lieu ?
Si on constate une violation de la sécurité des données dans le sens d’une perte non-intentionnelle ou illicite, d’une suppression ou d’une destruction, etc. des données personnelles, il faut dorénavant le déclarer au plus vite au Préposé fédéral à la protection des données et à la transparence (PFPDT). C’est pourquoi il est à mon avis important de définir clairement qui a accès à quelles données et de limiter au strict minimum l’accès aux données personnelles sensibles afin de minimiser les risques d’une violation de la protection de données.
Avez-vous d’autres recommandations ?
La déclaration de confidentialité et le répertoire du traitement des données constituent une grande partie du travail de fond. Que peut-on encore faire ? Révisez vos contrats avec les gestionnaires de mandat (par ex. partenaire de payrolling externe) et adaptez-les le cas échéant. Il faut absolument tenir compte de la protection des données dès la conception (privacy by design) et de la protection des données par défaut dans la planification, la conception et l’introduction de nouveaux outils numériques (par ex. applications).
Et pour terminer : les collaborateurs doivent être formés à la politique de confidentialité des données. C’est en premier lieu valable pour le service du personnel, l’informatique, ainsi que pour d’autres collaborateurs qui ont quelque chose à voir avec les données des clients ou des fournisseurs.