Nouvelle LPD : nouveautés et mesures à prendre

La loi mise à jour sur la protection des données (LPD) entre en vigueur après-demain. Avec une révolution numérique déjà bien entamée, le besoin d’une réglementation plus poussée se faisait clairement sentir. Voici ce qu’il faut savoir sur cette nouvelle loi et les mesures que les entreprises doivent mettre en place pour s’y conformer.

La LPD révisée introduit huit changements majeurs pour les entreprises.

• Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
• Les données génétiques et biométriques entrent dans la définition des données sensibles. 
• Les principes de "Privacy by Design" et "Privacy by Default" sont introduits, le premier intégrant une protection des données dès la conception et le second impliquant une activation par défaut (sans intervention des utilisateurs).
• Des analyses d’impact doivent être menées en cas de risque élevé pour les droits fondamentaux des personnes concernées.
• Le devoir d’informer est étendu : la collecte de toutes les données personnelles, et pas seulement des données sensibles, doit être faite auprès de la personne concernée.
• La tenue d’un registre des activités de traitement devient obligatoire. Mais les PME dont le traitement des données présente un risque limité ne sont pas concernées.
• Une annonce rapide est requise auprès du Préposé fédéral à la protection des données et à la transparence, en cas d’infraction.
• La notion de profilage, soit le traitement automatisé de données personnelles, est introduite.

Le processus de mise en conformité comprend quatre piliers.

• En premier lieu, faire l'inventaire des données personnelles collectées par l’entreprise et documenter leurs traitements dans un registre des activités de traitement. Quelles catégories de données personnelles sont collectées ? À qui les données sont-elles confiées ? Chaque action liée aux données personnelles doit figurer dans ce registre.
• Deuxièmement : mettre en place une politique de confidentialité, afin d’informer les clients et les employés de ce que l’entreprise fait de leurs données personnelles.
• Troisième pilier : garantir une bonne gouvernance. L'entreprise doit identifier les responsabilités internes en matière de protection des données. Ces procédures et documentations devront être mises à jour régulièrement.
• Enfin : gérer les relations avec les tiers. Lorsqu'un prestataire externe est impliqué dans le traitement des données personnelles, il convient d’intégrer au contrat les exigences le concernant.

Ce processus est certes chronophage et peut sembler complexe, mais la mise en œuvre de ces quatre piliers est essentielle pour assurer la bonne maîtrise par l’entreprise de la gestion des données personnelles. Selon les spécialistes, la pire des approches serait d’ignorer le problème.