LPD
Informations pour indépendants et PME

Le 1er septembre 2023 est entrée en vigueur la nouvelle loi fédérale sur la protection des données personnelles (LPD). Cette nouvelle loi, tout comme son ordonnance d’application (OPDo), est applicable dès qu’il y a un traitement de données personnelles effectué par des personnes privées, qu’elles soient physiques ou morales, ainsi que par l’administration fédérale. Cela concerne donc toutes les entreprises de Suisse, quelles que soient leurs tailles. Vous trouverez, ci-dessous, quelques concepts clés et outils pratiques afin de vous guider dans la mise en conformité de votre entreprise.

1. Quelques définitions

Données personnelles : toutes les informations concernant une personne physique identifiée ou identifiable. 

Données personnelles sensibles : les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, les données génétiques, les données biométriques identifiant une personne physique de manière équivoque, les données sur des poursuites ou sanctions pénales et administratives, les données sur des mesures d’aide sociale.

Traitement : toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données. 

Personne concernée : la personne physique dont les données personnelles font l’objet d’un traitement. 

Responsable de traitement : la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. 

Sous-traitant : la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement. Agira par exemple en qualité de sous-traitant, le fournisseur en service de nuage à qui le responsable de traitement à externalisé des fonctions informatiques.

2. Les principes de base

Les principes de base de la protection des données restent inchangés : licéité, bonne foi, finalité, transparence, proportionnalité, exactitude et sécurité des données doivent s’appliquer à tous les traitements de données personnelles.

3. Les actions de mise en conformité

Sans se vouloir exhaustive, nous vous proposons, ci-dessous, une liste des principales actions à mener afin d’entamer votre démarche de conformité.

Identification des rôles :

Toute entreprise est amenée à réaliser, dans le cadre de ses activités, des traitements de données personnelles, que ce soit celles de ses clients, collaborateurs ou encore de ses fournisseurs. Il convient d’identifier quelles sont ses responsabilités vis-à-vis de ces données, en déterminant si la personne privée agit en tant que responsable de traitement ou sous-traitant. Le responsable de traitement doit s’assurer que son sous-traitant est en mesure de garantir la sécurité des données qu’il lui transmet. Cela passe notamment par la conclusion de clauses contractuelles relatives à la protection des données. Si, par exemple, votre entreprise a externalisé la gestion des salaires à une fiduciaire, elle doit mettre en place un contrat pour déterminer clairement la façon dont ce tiers, à savoir le fiduciaire, traite les données personnelles, les mesures de sécurité que celle-ci met en place et si elle peut-elle même sous-traiter le traitement à un autre tiers. 

Information aux personnes concernées :

À chaque fois que le responsable de traitement collecte des données personnelles, quel que soit le support, comme un formulaire de contact sur un site internet, un formulaire papier ou une inscription à un évènement, les personnes concernées transmettant leurs données personnelles doivent obtenir les informations suivantes (art. 19 LPD) : l’identité et les coordonnées du responsable du traitement, la finalité du traitement et le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises.

Lorsque les données ne sont pas collectées directement auprès de la personne concernée, les catégories de données qui sont collectées doivent être mentionnées.
En cas de transfert de données à l’étranger, ce qui peut par exemple être le cas si vous sous-traitez des données personnelles à un hébergeur informatique sis hors de Suisse, le nom de l’état auquel les données sont communiquées ainsi que, cas échéant, les garanties prévues pour la communication à l’étranger doivent être indiquées.
Cette information peut par exemple se faire via des conditions générales ou une politique de confidentialité.

Elaboration du registre des activités de traitement :

La tenue du registre des activités de traitements n’est pas obligatoire pour les responsables de traitement et les sous-traitants dans les entreprises employant moins de 250 collaborateurs et qui n’effectuent aucun traitement portant sur des données sensibles à grande échelle ou constituant un profilage à risque élevé. Inversement, si vous ne remplissez aucune de ces conditions, il n’y a pas d’obligation de tenir un registre des activités de traitement. On parle par exemple de traitement de données sensibles à grande échelle lorsqu’un hôpital traite des données médicales de ses patients. Le « profilage » désigne toute forme de traitement automatisé de données personnelles servant à évaluer certains aspects personnels relatifs à une personne physique dans la mesure où il vise à analyser ou à prédire des éléments concernant par exemple le rendement au travail, la situation économique, la santé, etc. Un profilage entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée lorsqu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Concrètement, il s’agit d’un inventaire des processus ou des activités dans le cadre desquels des données personnelles sont traitées. Aucun format n’est exigé par la loi, il est le plus souvent réalisé sous format Excel, Word ou au moyen d’un logiciel spécifique. Un exemple de registre est disponible dans les liens et modèle ci-dessous.

Identification des communications de données à l’étranger :

Lorsqu’un transfert de données vers l’étranger a lieu, la législation de l’Etat destinataire doit assurer un niveau de protection correspondant à celui de la Suisse. A titre d’exemple, le recours à une solution informatique cloud dont les données sont hébergées aux Etats-Unis constitue une communication de données à l’étranger. Le Conseil fédéral a établi une liste des pays disposant d’un niveau de protection adéquat. Si l’Etat destinataire figure sur la liste du Conseil fédéral, les données personnelles peuvent lui être communiquées sans mesures supplémentaires. Dans l’hypothèse où l’Etat destinataire ne figure pas sur ladite liste, les données peuvent être communiquées pour autant que leur protection soit assurée par une des garanties reconnues par la LPD (art. 17). La garantie la plus couramment utilisée est l’intégration des clauses contractuelles types au contrat de prestation . Vous trouverez la liste du Conseil fédéral dans les liens et modèle ci-dessous.

Mise en place des mesures techniques et organisationnelles de sécurité des données :

Le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données. Le sous-traitant éventuel, par exemple le fournisseur en service de nuage à qui le responsable de traitement à externalisé des fonctions informatiques, devra lui aussi prendre de telles mesures. Ces mesures sont par exemple la sécurité physique des locaux, la journalisation des accès ou encore le chiffrement des données personnelles. Ces mesures doivent être appropriées en fonction des risques que le traitement présente pour la personnalité ou les droits fondamentaux des personnes concernées.

Gestion des droits individuels :

Les personnes concernées disposent de droits individuels sur leurs données personnelles qu’elles peuvent exercer auprès des responsables de traitement . Il s’agit des droits d’accès, de rectification, d’opposition, de portabilité ou encore d’effacement. Le responsable de traitement dispose de 30 jours pour répondre à la personne concernée lorsqu’elle fait valoir l’un de ses droits. Il convient dès lors de définir la procédure à suivre en cas de demande d’exercice d’un droit individuel, en particulier en désignant la personne compétente pour répondre au sein de l’entreprise.

Gestion des incidents de sécurité des données :

Lorsqu’un incident de sécurité portant sur des données personnelles est avéré et s’il représente vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, ce dernier doit être annoncé à l’autorité de contrôle à savoir, le Préposé fédéral à la protection des données et à la transparence (PFPDT). Il convient également d’informer directement les personnes concernées de la violation si cela est nécessaire à leur protection. Vous trouverez le lien du service en ligne d’annonce de violation de la sécurité des données dans les liens et modèle ci-dessous.

Analyse d’impact :

C’est un processus d’auto-évaluation interne qui doit être fait lorsqu’un traitement de données personnelles présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée . Un logiciel gratuit permettant la réalisation d’une analyse d’impact est disponible ci-dessous dans la rubrique liens et modèle.

Conseiller à la protection des données :

Sa mission est de contrôler le respect de la bonne application de la loi fédérale sur la protection des données par le responsable de traitement et de le conseiller dans ce domaine. Il peut être un collaborateur interne à l’entreprise ou un tiers externe. Il n’existe toutefois aucune obligation légale pour les personnes privées de nommer un conseiller à la protection des données. La désignation d’une personne responsable de la protection des données à l’interne disposant des connaissances appropriées peut néanmoins s’avérer souhaitable car cela permet de confier à une personne, l’identification et la coordination des actions à mener en matière de protection des données.

Vous êtes indépendant ou patron d’une PME et traitez des données personnelles ?

Voici un bref résumé des principales actions à entreprendre. Pour plus de détails, vous pouvez consulter le point 3 “Les actions de mise en conformité” ci-contre.

Etat des lieux et identification des rôles :

il convient de déterminer quelles sont les données stockées, comment sont-elles traitées, par qui et qui sont les personnes qui y ont accès. Si vous externalisez certains services, par exemple la gestion des salaires à une entreprise fiduciaire, il convient de revoir les contrats vous liant à vos prestataires afin de vous assurer qu’ils respectent eux aussi les exigences en matière de protection des données.

Information :

dès qu’il y a une collecte de données personnelles auprès d’une personne physique, la loi prévoit que doivent lui être communiqués, l’identité du responsable de traitement, le but de la collecte, les destinataires ainsi que les pays étrangers auxquels les données sont transmises. Cette information peut se faire par le biais de votre politique de confidentialité.

Registre des activités de traitement :

si vous employez plus de 250 collaborateurs ou que vous effectuez un traitement portant sur des données sensibles à grande échelle ou constituant un profilage à risque élevé, vous devez établir un registre des activités de traitement. Si aucune de ces conditions n’est remplie, vous n’avez pas d’obligation d’en établir un. Le registre des activités de traitement est un inventaire des données personnelles que vous traitez.

Gestion des droits individuels :

des procédures internes pour apporter des réponses rapides et complètes aux demandes des personnes doivent être mises en place, notamment en désignant une personne de contact responsable de traiter les demandes d’accès.

Gestion des incidents de sécurité :

des procédures internes doivent être établies en cas de violations de la sécurité des données afin de pouvoir les annoncer, dans les cas où cela est nécessaire, à l’autorité de contrôle ou aux personnes concernées.

Les cookies

Si vous gérez un site internet ou un service en ligne et que vous souhaitez utiliser des cookies ou autres technologies de traçage, il faut installer sur votre site, sous forme de fenêtre pop-up par exemple, une bannière de gestion des cookies afin de garantir l’information et le consentement de la personne concernée.

Liens et modèles

Annonce des violations de sécurité des données :
Le PFDPT met à disposition des personnes privées, responsable de traitement, un formulaire en ligne afin de lui notifier toute violation de sécurité des données lorsque cela est nécessaire.

Liste des pays disposant d’une législation adéquate en cas de transfert de données personnelles transfrontalier

Logiciel CNIL AIPD :
L’autorité française de protection des données (la CNIL) met à disposition un logiciel gratuit permettant de réaliser une analyse d’impact.

FAQ Protection des données :
Pour plus d’informations, vous pouvez consulter le FAQ Protection des données sur le site du PFPDT.

Exemple de registre des activités de traitement

Modèle de politique de confidentialité