Protection des données : se préparer dès à présent
D’ici l’an prochain, toutes les entreprises, sans exception, devront se mettre en conformité avec la nouvelle loi sur la protection des données. Force est de constater qu’un grand nombre de PME suisses n’ont pas – ou peu – conscience des enjeux.
Les entreprises font face à une défiance croissante de la part des consommateurs quant à l’utilisation de leurs données personnelles. Véritable or noir pour l’économie numérique, celles-ci sont en effet sujettes à des risques de collecte ou d’utilisation abusives. Ces craintes se sont d’ailleurs récemment exprimées en votation avec le refus d’impliquer le secteur privé dans l’élaboration d’une identité électronique.
Adoptée à l’automne dernier, la révision de la loi sur la protection des données vise à adapter la loi de 1992 aux récents développements technologiques, tout en réhaussant le niveau de protection des individus. Le principe : tout traitement de données relatives à une personne identifiée ou qui peut être identifiée, directement ou indirectement, doit l’être de manière proportionnée et non abusive.
En renforçant et instituant de nouveaux droits pour les citoyens (droits relatifs à l’accès, l’effacement, la portabilité des données personnelles, etc.), cette loi crée aussi de nouvelles obligations pour les entreprises. Ces dernières doivent non seulement informer et répondre aux requêtes d’individus en cas de collecte de données personnelles, mais également notifier les violations de la sécurité des données. Dans certains cas, la loi exigera davantage, en imposant une analyse d’impact ou la mise en place d’un registre des activités de traitement des données personnelles. Vaste programme !
Comment se préparer ?
Afin de se préparer au mieux à ce nouveau régime réglementaire, les PME se doivent d’adopter une approche globale consistant à :
- Évaluer les risques. Les entreprises traitant un grand volume de données sont plus à risque de violer la loi. Il est essentiel de recenser et cartographier toutes les données personnelles (clients, fournisseurs, collaborateurs, etc.) ou données dites « sensibles » (religion, santé, génétiques, etc.) dans les systèmes informatiques, bases de données et autres dossiers partagés.
- Organiser et sécuriser. Une mise à niveau de la sécurité informatique et l’élaboration de procédures internes sont autant de mesures permettant de se prémunir ou d’agir en cas de violation, perte, fuite de données ou requêtes émanant d’individus. Afin d’améliorer la gouvernance des données, les entreprises peuvent se référer à la Charte de l’économie suisse pour une gestion responsable des données.
- Sensibiliser. Tous les échelons d’une entreprise, de l’apprenti au chef d’entreprise, doivent être impliqués. En tenant un registre des visiteurs, un réceptionniste effectue déjà un traitement de données. Cependant, ce sont bel et bien les chefs d’entreprise et membres des conseils d’administration qui s’exposent, en cas de non-respect de la loi, à des sanctions pénales allant jusqu’à CHF 250 000.
- Anticiper. Bien que la loi n’entre en vigueur qu’en 2022, les prestataires exigeront dans les mois à venir des contrats incluant des clauses conformes à la nouvelle loi. Au risque de perdre des clients, les entreprises sont fortement incitées à se mettre en conformité, étape par étape, et au besoin en recourant à des experts. Le plus tôt sera le mieux !
Cet article a été rédigé par Arnaud Midez, responsable de projets Concurrence et réglementation, economiesuisse. Une version courte a déjà paru dans l’Agefi le 31 mars 2021 ainsi que sur le site d’economiesuisse.
0 commentaire