Protection des données en 2020 : Petit guide pratique à destination des jeunes entreprises

La protection des données dites « sensibles » doit absolument être assurée par les entreprises. La loi fédérale sur la protection des données édicte un cadre général à laquelle toutes les sociétés résidant en Suisse doivent se soumettre. Mais quels sont les éléments les plus importants ? Auprès de quelle autorité une entreprise doit s’annoncer sur cet aspect de la protection des données ? Peut-elle gérer ses fichiers en tout autonomie ? Voici le b.a.-ba à connaître sur cette question.

Qu’est-ce que sont les données ?

Les données sont tout élément physique ou numérique qui peuvent être profitables à une entreprise sur le plan économique. En effet, plus il y a de données dans une banque de données, plus une entreprise sera en mesure de faire des analyses fines pour proposer des offres de bien ou service personnalisé à ses clients. Ses offres peuvent prendre la forme de publicité ciblée lors de la navigation internet, des offres d’assurance établie spécifiquement pour un client en particulier ou encore des bons de voyage pour la prochaine de destination de rêve d’un futur client.

Il n’y a pas que les entreprises privées qui profitent de ces données, les services publiques de l’État ou les autorités sanitaires profitent également de récolter des données pour réduire les coûts de la santé, pour la lutte contre le terrorisme international ou contre la criminalité organisée. Mais dans le cadre de cet article, nous nous choisissons un focus sur les entreprises privées.

Bien entendu, dans la grande majorité des cas, cette récolte se fait sans que nous en ayons conscience et parfois même avec notre consentement non-éclairé, comme par exemple lorsque nous avons participé à ce concours organisé par une grande assurance médical pour cette trottinette électrique dont nous rêvions.

Ainsi, si ces données ont une grande valeur économique, elles sont également précieuses sur le plan conceptuel. En effet, comme l’indique la page internet du préposé fédéral à la protection des données et à la transparence (PFPDT) :

« Le droit de disposer librement des informations qui nous concernent constitue un élément important de notre ordre social. Conformément à ce principe, chacun doit pouvoir déterminer lui-même, dans toute la mesure du possible, quelles informations personnelles peuvent être transmises, à qui elles peuvent l’être, à quel moment et dans quel contexte ».

Ainsi, pour pouvoir récolter des données, l’entreprise doit respecter le principe de proportionnalité, c’est-dire avoir le moins de données possibles mais jamais plus que le strict nécessaire. Ou pour le dire autrement, toutes les données collectées par l’entreprise doivent pouvoir être justifiées dans leur utilisation au sein de l’activité de l’entreprise. Elle doit en plus garantir aux clients un accès aux données pour qu’ils puissent en prendre connaissance, les modifier voire les supprimer.

Où est inscrit cette protection des données dans le droit suisse ?

En plus de la loi fédérale sur la protection des données, en vigueur depuis le 1er juillet 1993 qui a été régulièrement révisée et dont une réforme complète est en cours, qui instaure le cadre général, il y a également l’ordonnance relative à la loi fédérale sur la protection des données qui règle un peu plus finement les détails. Cette loi trouve son caractère originel dans l’article 13 de la Constitution fédéral. Le Code civil suisse, et plus particulièrement les articles 28 et suivants, fixe les voies de droit applicables en cas d’atteinte à la personnalité.

Et du coup, c’est quoi une donnée sensible ?

Ni la LPD, ni son ordonnance ne règle précisément cette question à vrai dire. Bien qu’il semble évident que les données ayant trait à la sphère intime des individus comme les données relatives à la santé notamment sont extrêmement sensibles, toutes les données peuvent l’être. En effet, le nom, l’âge, la profession ou encore l’adresse mail d’un individu peuvent facilement être détourné pour un usage malfaisant.

Ainsi, ce sera principalement le contexte d’usage au sein de l’entreprise qui définira précisément ce qu’est une donnée sensible. Mais afin d’éviter toute surprise, il est conseillé de présupposer que toutes les données que vous traitez sont sensibles et ensuite d’affiner les degrés de sensibilité de lesdites données.

Protection des données

Image par Gordon Johnson de Pixabay

Conseiller à la protection des données, responsable de la protection des données, maître du fichier/des fichiers, préposé cantonal/fédéral à la protection des données : C’est quoi ce charabia ?

Depuis la révision de la loi en 2008, les entreprises peuvent pratiquer l’autorégulation en matière de protection des données. Mais cette révision a également apporté une certaine complexification des rôles de chacun et chacune. Petit tour d’horizon de la nomenclature en vigueur :

Conseiller à la protection des données & responsable à la protection des données

Il s’agit de deux termes qui recouvrent une même fonction. En effet en allemand, le terme utilisé est Datenschutzverantwortlicher soit « responsable de la protection des données » alors qu’en français on utilise le terme de « conseiller à la protection des données » et c’est bien en selon le terme français que la LPD doit être interprétée. En effet, la volonté du législateur était que le maître des fichiers ne soit pas déchargé de sa responsabilité en cas de malversation dans l’utilisation des données.

Le conseiller à la protection des données est un membre de l’entreprise avec un statut un peu particulier. En effet, ce dernier est nommé si l’entreprise souhaite pratiquer l’autorégulation de la gestion et la protection de ces données. Une fois ce dernier nommé, il en informe le préposé fédéral ou cantonal et après validation, l’entreprise est formellement dispensée de l’obligation de déclarer tous ses fichiers à l’autorité cantonale/fédérale compétente. Toutefois, le conseiller doit pouvoir renseigner toutes personnes privées et/ou le préposé sur les fichiers contenant des données sensibles ou les profils qui sont régulièrement traité ou communiqués à des tiers.

Statut du conseiller

Sur le plan organisationnel, le conseiller doit pouvoir exercer son activité sans incompatibilité avec d’autres fonctions qu’il pourrait exercer. En somme, son statut doit permettre d’éviter tout conflit d’intérêt, ce qui pousse les entreprises à :

  • créer un état-major indépendant dans la hiérarchie de l’entreprise ou
  • créer un poste spécifique à ces questions soit
    • au service juridique
    • au service informatique
    • au comité directeur

S’il s’agit d’un poste spécifique, ce dernier doit être indépendant de la hiérarchie directe. Ce dernier point est important car le conseiller doit pouvoir assumer ses tâches sans recevoir d’instructions et sans risquer de se faire sanctionner par l’entreprise dans le cadre de l’accomplissement de ses activés.

Sur le plan matériel, le conseiller doit disposer des compétences requises pour exercer la fonction. Cependant le droit ne spécifie pas quelles connaissances professionnelles sont nécessaires. Dans la pratique, des connaissances dans le domaine de la protection des données ainsi que sa pratique et sur l’entreprise semblent indispensables. Concernant l’entreprise, le conseiller doit pouvoir évaluer les normes techniques appliquées, l’organisation du maître du fichier et le traitement des données du fichier. En effet, un responsable de la protection des données dans le secteur de la tech n’aura pas les mêmes besoins et connaissances qu’un responsable dans le secteur des finances. Ainsi, un conseiller doit pouvoir avoir accès à tous les fichiers, tous les systèmes de traitement des données et à toutes les informations nécessaires à l’accomplissement de sa tâche. Il s’agit véritablement d’un poste sur mesure qui doit être adapté à chaque entreprise.

Tâche du conseiller

Sur la page consacrée aux conseillers à la protection des données, il est inscrit que

« L‘OLPD prévoit essentiellement deux catégories de tâches pour le conseiller à la protection des données :

  • contrôler les traitements de données personnelles et proposer des mesures s’il apparaît que des prescriptions sur la protection des données ont été violées (art. 12b, al. 1, let. a, OLPD).
  • dresser l’inventaire des fichiers gérés par le maître du fichier mentionné à l’art. 11a, al. 3, LPD (art. 12b, al. 1, let. b, OLPD). »

Pour ce faire, le conseiller doit avoir accès et connaître tous les fichiers et systèmes de traitement des données qui existent dans l’entreprise. S’il constate des manquements au regard de la loi et/ou de l’ordonnance, il a droit de donner des instructions et il incombe à l’entreprise d’appliquer ses instructions à la lettre. Si l’entreprise n’applique pas les instructions, il sera considéré que les prescriptions en matière de protection des données ont été violées intentionnellement. Cela peut engendrer un dégât d’image conséquent pour l’entreprise si une telle violation devenait publique.

Maître du fichier

Il faut comprendre selon la loi fédérale sur la protection des données, article 3, lettre i que le maître du fichier est toute personne privée, entreprise, organe cantonal ou fédéral qui récolte des données (sensibles) et qui décide de quelle manière ses données sont traitées et analysées.

On l’appelle maître du fichier car c’est sous sa responsabilité que s’effectue le bon traitement des données. C’est également à cette entité que toute personne privée ou le préposé cantonal/fédéral doit s’adresser s’il veut obtenir des informations sur des données ou des fichiers.

Préposé cantonal/fédéral à la protection des données

Les préposés cantonaux et fédéraux à la protection des données ont des attributions de tâches très similaires. La différence majeure se trouve sur quel échelon fédéral ils agissent. Le préposé fédéral règle les questions au niveau des personnes privées et entre les personnes privées et les organes fédéraux. Le préposé cantonal règle, quant à lui, les questions entre les personnes privées et les institutions publiques communales et cantonales.

À cette différence près, ils ont principalement des tâches de contrôle, de sensibilisation, d’informations, de conseils auprès des maîtres du fichier que des personnes concernées par le traitement de leurs données. Ils se prononcent également sur les projets de loi qui incluent une part de protection des données, organisent des conciliations lorsqu’une entité ne donne pas suite à une requête concernant l’exercice d’un droit relatif aux traitements de données personnelles ou l’accès à un document officiel.

Enfin en cas de constatation d’une malversation dans l’application de la règlementation fédérale ou cantonale sur la protection des données, ils peuvent émettre des recommandations et saisir le tribunal compétent sur les recommandations ne sont pas appliquées.

Quid de la RGPD ? Une entreprise Suisse peut-elle être soumise à cette règlementation ?

Le règlement général sur la protection des données, souvent raccourci RGDP, est un règlement applicable dans l’Union Européenne qui constitue le texte de référence en matière de protection des données à caractère personnel.

La Suisse ne faisant pas partie de l’UE, ce règlement n’est pas directement applicable aux entreprises suisses sauf si l’entreprise à une succursale dans l’UE, si elle offre des biens ou des services dans l’UE, si elle analyse le comportement de clients dans l’UE par exemple via la navigation internet pour proposer des offres personnalisées ou si sous une forme quelconque une partie ou la totalité de ses données est traitée dans l’UE.

Le « Online Check » d’Economiesuisse, en plus de vous aiguiller sur des questions relatives à la LPD, peut également vous indiquer si la RGPD s’applique à votre entreprise.

Image par kalhh de Pixabay

Marche à suivre en 5 étapes pour faire un état des lieux sur les mesures en matière de protection données

Après toutes ces explications sur ce qu’est la protection des données en Suisse, vous trouverez ici une petite marche à suivre librement inspirée d’un article online de Bilan. Ce sont ici les grandes étapes principales pour qu’une entreprise sache où elle en est en matière de protection des données et ce qu’elle peut faire.

Etape 1 : S’informer

La loi fédérale sur la protection des données, les différentes lois cantonales sur la protection des données, le règlement général sur la protection des données, la Privacy Shield, etc. sont autant de règlementations qui ont trait à la protection des données.

Avant de vous lancer dans votre état des lieux, renseignez-vous en lisant des articles qui traitent de ces différents sujets, consultez les sites internet cantonaux et fédéraux traitant de ces problématiques, demandez de l’aide à des associations professionnelles, aux chambres de commerces ou carrément à des avocats spécialisés.

Cela vous permettra de mieux vous situer quel cadre légal vous devez absolument respecter (de toute manière la LPD si vous êtes en Suisse) et lesquels sont plus anecdotiques. Par exemple, les entreprises proches des frontières avec l’UE ou traitant avec des partenaires de l’UE devront très probablement appliquer certaines règlementations de la RGPD.

Etape 2 : Cartographier ses données

Où se trouvent mes données ? Sur une application suisse ou étrangères ? Des serveurs entièrement en Suisse ou parfois en UE ? Sous quelle forme ? Entièrement digital ou à l’ancienne classées dans des cartons ? Quels types de données s’agit-il ? Clients ? Employés ? Partenaires économiques ? Sociales ? Santé ? Combien de versions j’ai de ces données et où se trouvent chacune d’entre elles?

Autant de questions importantes dans le cadre de la protection des données mais de manière générale également car elles répondent à des attentes du public. En effet, chacun et chacune ne souhaite pas que ses données soient accessibles à n’importe qui et souhaite un traitement proportionné aux conditions qu’ils l’ont amené à donner ces données.

La cartographie consiste également à évaluer la sensibilité des données. Il faut prendre en compte la liste exhaustive de l’art. 3, lit. c de la LPD qui indique les données particulièrement dignes de protection. Mais comme dit plus haut, toute donnée est susceptible d’être sensible. Il faut donc évaluer au cas par cas.

Etape 3 : Évaluer sa situation

Vient le moment où l’entreprise doit évaluer si elle est proche ou éloignée des standards légaux. Rappelons ici que chaque donnée que possède une entreprise doit se justifier par de justes motifs et que sans motif valable, la donnée devra être détruite ou anonymisée.

C’est aussi l’occasion de réfléchir sur la méthode de traitement des données. Entièrement sur un support local, sur un support local pour les données et une application sur internet, les données sur internet et l’application de traitement sur un support local, le tout sur internet ? Il n’y pas nécessairement de meilleure solution, tout doit se réfléchir en fonction de l’intérêt de l’entreprise et de ses moyens. C’est aussi l’occasion de se poser les bonnes questions sur le cloud computing et sur l’usage du matériel privé ou de l’entreprise dans l’usage et le traitement de ces données.

Etape 4 : Établir un plan d’action

Établissez un plan où vous définissez les différentes étapes qui vous permettront d’être en règle avec la ou les différentes règlementations en matière de protection des données. Cette étape est importante pour démontrer votre bonne foi dans l’accomplissement des tâches visant à être en règle. Ce sera d’autant plus important si vous vous faites épingler par une autorité sur ce sujet.

Bien entendu, il faudra fixer des priorités en identifiant les points les plus à risques et établir dans votre plan des mesures concrètes à réaliser rapidement.

Etape 5 : Communiquer et informer

Communiquez et informez vos clients et partenaires en relation avec l’entreprise de toutes les mesures actuelles et en cours que vous prenez en matière de protection des données. Cela démontrera une volonté de votre part d’être transparent avec eux et vous augmenterez votre image positive envers vos partenaires. La meilleure solution est de réserver des espaces dédiés à ces questions sur votre site internet où vous expliquez comment, pourquoi et auprès de qui les données sont traitées.

Et communiquez également au sein de votre entreprise. Expliquez à vos employés pourquoi il est important de respecter ces législations, les risques qu’ils encourent pour leur carrière en cas de non-respect des règles mais également de l’impact négatif que ça peut avoir pour l’entreprise.

La transparence sur l’usage et le traitement des données est certainement l’une des clés majeures au respect de la législation en matière de protection des données. Plus vous serez transparent, mieux vous verrez là où se trouve les risques systémiques pour votre entreprise et mieux vous serez préparé à vous remettre en règle.

Grégoire Droz-dit-Busset dans le cadre d’un partenariat avec IFJ

Innovation Time Neuchâtel

logo Innovation Time Lausanne

 

 

 

 

 

Sources

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/protection-des-donnees.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/entreprises/les-conseillers-a-la-protection-des-donnees-en-entreprise/les-conseillers-a-la-protection-des-donnees-en-entreprise.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/entreprises/le-traitement-mobile-des-donnees.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/Internet_und_Computer/cloud-computing/explications-concernant-l-informatique-en-nuage–cloud-computing.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/entreprises/bring-your-own-device.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/actualites/rgpd-last-minute.html, consulté le 14 septembre 2020

https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/les-taches-du-pfpdt.html, consulté le 17 septembre 2020

https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html, consulté le 17 septembre 2020

https://www.ppdt-june.ch/fr/PPDT/Competences-et-mandat/Competences-et-mandats.html, consulté le 17 septembre 2020

http://rsn.ne.ch/DATA/program/books/rln/htm/134_08131.htm, consulté le 17 septembre 2020

https://www.ge.ch/ppdt/bureau/presentation.asp, consulté le 17 septembre 2020

https://www.ge.ch/ppdt/lipad-bd.asp, consulté le 17 septembre 2020

https://francoischarlet.ch/2015/droit-dacces-vos-donnees-personnelles-explications-marche-suivre/, consulté le 17 septembre 2020

Emission « On en parle » de La Première du 15 septembre 2020 intitulé Le bouclier de protection des données entre la Suisse et les USA nʹest pas satisfaisant (https://www.rts.ch/play/radio/on-en-parle/audio/le-bouclier-de-protection-des-donnees-entre-la-suisse-et-les-usa-nest-pas-satisfaisant?id=11570264), consulté le 15 septembre 2020

Article intitulé Protection des données : 5 conseils pratiques aux entreprises par Marjorie Théry dans le journal en ligne Bilan paru le 9 avril 2018 (https://www.bilan.ch/entreprises1/protection_des_donnees_5_conseils_pratiques_aux_entreprises_), consulté le 14 septembre 2020

Article intitulé La protection des données dans l’entreprise – Un mode d’emploi pour sa mise en œuvre par Maria Winkler dans la revue « TREX L’expert fiduciaire », N°2 de l’année 2011 (http://www.itandlaw.ch/fileadmin/user_upload/Publikationen/2_11_Fachb_Winkler_Datenschutz_fr_Druckdatei.pdf), consulté le 17 septembre 2020

Cours « Droit de la communication » du professeur Stéphane Werly, préposé cantonal à la protection des données et à la transparence à Genève, juge à l’Autorité indépendante d’examen des plaintes en matière de radio-télévison (AIEP) et co-directeur de la publication de la revue medialex, durant le semestre d’automne de l’année universitaire 2018-2019

Last modified: 20 octobre 2020

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *