Etablir des inventaires des traitements de données, annoncer les pertes de données, publier des déclarations de confidentialité : c’est tout cela – et plus encore – que devront faire tous ceux qui travaillent avec des données. La révision totale de la loi sur la protection des données a été adoptée par le Parlement l’automne dernier et entrera vraisemblablement en vigueur en 2022. Sur bien des points, elle entraîne un ajustement au règlement sur la protection des données de l’UE (RGPD). Dans le milieu des courtiers suisses, cela signifie une fois encore un gros effort administratif supplémentaire. Ceux qui n’observeront pas la loi doivent s’attendre à des amendes jusqu’à 250 000 francs.
Nouvelle loi sur la protection des données : ce que vous devez faire
- Nouvelles obligations d’information et de documentation
→ Etablir/adapter des documents - Risque d’amendes notamment en cas de transferts à l’étranger et de certains contrats de services
→ Contrôler les contrats - Obligation d’annonce en cas de perte de données et d’autres pannes de sécurité
→ Lancer la procédure - La nouvelle LPD n’est en général pas plus sévère que le RGPD, mais elle n’est pas identique
→ Vérifier les différences
Source : David Rosenthal, expert suisse en droit et technologie des données, associé à l’étude d’avocats Vischer.
La protection des données a été appliquée ces dernières années
Un sondage montre que les courtiers d’une certaine taille observent la protection des données depuis un certain temps déjà et qu’ils tiennent le cap. « Vu notre orientation internationale, nous avons intensivement travaillé sur le sujet avant même l’entrée en vigueur du RGPD, souligne Rolf Th. Jufer, associé chez Funk Insurance Brokers AG. C’est pourquoi notre organisation suisse est substantiellement préparée à la loi sur la protection des données. Funk a même franchi un pas de plus en faisant certifier dès 2017 son site clients du point de vue de l’ePrivacy.
Marco Buholzer, CEO de Verlingue Suisse, confirme : Pour nous, la révision de la loi sur la protection des données ne constitue pas un grand investissement car nous avons consenti les efforts nécessaires en lien avec le RGPD. » Esurance, chez qui la protection des données est particulièrement importante du fait d’un modèle d’affaires numérique, a également travaillé systématiquement à la mise en application ces deux dernières années. Pour ce faire, le courtier en ligne s’est aligné sur la norme internationale ISO 27001 pour la sécurité de l’information. « Nous partons de l’idée que les clients seront encore plus attentifs à ces sujets et qu’ils s’attendront plus souvent des informations et des explications », nous précise Armida Wegmann, responsable marketing.
Surcroit de travail pour les répertoires de données
L’obligation d’informer est nettement plus importante que dans le droit actuel. Les déclarations de confidentialité doivent notamment éclairer sur l’identité des responsables, les buts du traitement des données et les catégories des données personnelles traitées. Les personnes concernées ont en plus, sous certaines conditions, un droit à la communication des données et peuvent contester les décisions automatiques. L’établissement de répertoires devrait constituer le plus gros travail administratif. Partout où des données sont traitées, cela doit être consigné de manière intelligible.
De robustes amendes menacent
Les courtiers interrogés considèrent avec flegme les sanctions possibles. Armida Wegmann commente : « De telles sanctions paraissent bien sûr toujours redoutables. Mais ce ne sont pas les amendes qui nous motivent à proposer une solution correcte : nous jugeons que la protection des données a du sens. » Rolf Jufer constate : « Nous saluons ce tour de vis. En Suisse aussi, la négligence dans la protection des données doit comporter des répercussions concrètes. » En comparaison avec l’UE, les mesures suisses restent, selon lui, encore clémentes. De son côté, Marco Buholzer n’a pas non plus de problème avec le catalogue des amendes et il ajoute : « Il se peut que les exigences ne puissent pas être respectées par l’entier de la concurrence. Cela accélérerait encore l’assainissement des structures. »
Pas de période transitoire
Le travail ne manquera donc pas de sitôt aux préposés à la protection des données dans les entreprises. C’est à eux qu’incombe la responsabilité que leur entreprise se conforme à la nouvelle loi. La Confédération fera savoir ces prochaines semaines quand la nouvelle LPD entrera en vigueur. Mais une chose est d’ores et déjà sûre : il n’y aura pas de période de transition et les entreprises devront respecter les prescriptions dès le jour dit.