Article écrit en collaboration avec les experts LPD Araucaria
Les données personnelles apparaissent comme la nouvelle richesse du XXIème siècle. Cette manne d’informations que monétisent à l’envi les GAFAM et autres entrepreneurs du numérique vous parait souvent abstraite et pourtant son origine est tout ce qu’il y a de plus concret : NOTRE VIE PRIVÉE.
Parfois sans en avoir vraiment conscience, TOUTES les entreprises, même les plus modestes, collectent, utilisent et conservent des données personnelles, à commencer par celles de leurs salariés. TOUTES les entreprises sont donc concernées par l’OBLIGATION de se mettre en conformité avec les principes de la LPD depuis septembre 2023.
Et vous ? Avez-vous défini votre politique de gestion des données ? Savez-vous quelles données personnelles sont conservées au sein de votre entreprise ? Vos protocoles de collecte, d’utilisation et de conservation sont-ils conformes à la LPD ? Vérifions cela ensemble…
Une donnée personnelle est une information ou un faisceau d’informations permettant d’identifier une personne physique. Les informations sur les personnes morales, entreprises, associations et autres ne sont pas considérées comme des données personnelles. Toutefois, les informations concernant leurs employés ou leurs membres sont des données personnelles requérant la vigilance et une protection adéquate.
Les principales données personnelles qui peuvent être collectées par une entreprise sont souvent les noms, prénoms, date de naissance, adresse, numéro de téléphone, numéro AVS et bien sûr les images. Ainsi, une possible demande d’accès aux données personnelles peut être la captation vidéo de vos caméras de sécurité.
La plupart des données personnelles « consciemment » conservées par les entreprises le sont par le service RH, avec le traitement des données des salariés, et bien sûr dans le fichier client. Toutefois, il est important de prendre conscience que les données personnelles peuvent être présentes de manière plus ou moins diffuse partout dans l’entreprise, a fortiori quand la donnée est au cœur de l’activité de celle-ci, pour les entrepreneurs du numérique par exemple.
La circulation des données au sein de l’entreprise est donc un élément central dans la définition de la politique de gestion de l’entreprise, à tracer autant dans le travail collaboratif inter-service que dans un simple échange de mail.
La vigilance dans la protection des données personnelles monte encore d’un cran quand les données sont partagées à l’EXTÉRIEUR du cadre de l’entreprise, auprès de vos prestataires notamment.
Comprenez bien l’enjeu : La rigueur que vous mettriez à traiter les données personnelles de manière conforme à la LPD pourrait être mise à mal par le simple recours à un prestataire moins vigilant que vous !
La mise en conformité de votre entreprise en matière de protection des données personnelles est donc un vaste chantier qu’il convient d’amorcer le plus tôt possible.
Autant être clair dès le départ : il n’existe pas de modèle type, de protocole unique applicable in extenso permettant à une entreprise de gérer ses données personnelles de manière conforme à la loi fédérale.
L’application de celle-ci est propre au fonctionnement de chaque organisation pouvant aller de la simple mise en place d’un registre de traitement sous format tableur dans une petite structure collectant peu de données, à la nécessité de recourir à des outils informatiques dédiés, notamment en termes de sécurité informatique contre le piratage, et à la formalisation de protocoles juridiques contractuels avec l’ensemble de vos prestataires.
La conformité à la LPD n’est donc pas qu’une vague déclaration d’intention sur votre site Internet renvoyant à la gestion des cookies. Il s’agit d’identifier tout le cycle de vie d’une information personnelle au sein de votre entreprise, à partir du moment où elle est collectée jusqu’à sa destruction.
La protection des données personnelles n’est pas une nouveauté dans la législation suisse. La première Loi fédérale sur la Protection des Données (LPD) date du 19 juin 1992.
La nouvelle version de la LPD s’applique quant à elle depuis septembre 2023. Elle s’apparente de manière plus étendue au Règlement Général européen pour la Protection des Données (RGPD), datant de 2016.
La conformité LPD est avant tout un changement de mindset pour l’entreprise, une prise de conscience qu’elle a en sa possession des données personnelles, parfois considérées comme sensibles, qu’il convient de traiter avec rigueur et vigilance.
Une entreprise qui entame sa réflexion sur la protection des données personnelles va d’abord chercher à évaluer la quantité de données qu’elle traite en identifiant quelles informations personnelles elle a en sa possession et les usages qu’elle en fait. De ce premier état des lieux découle l’ampleur de la tâche à mener.
La définition d’une politique de gestion des données en conformité avec la Loi sur la Protection des Données n’est pas compliquée en soi, à partir du moment où les grands principes de la loi sont bien assimilés. Sa formalisation juridique et sa mise en œuvre pratique peuvent en revanche nécessiter le recours à un expert.
La LPD 2023 définit un cadre pour la gestion des données personnelles sur la base de grands principes parmi lesquels :
La plupart des entreprises qui font appel à un expert LPD pour les accompagner dans la mise en conformité de leur gestion des données personnelles pensent que l’essentiel de la démarche est lié à leur site Internet. Or, la rédaction de votre notice de confidentialité n’est pas le sésame de votre conformité LPD. Elle n’est même souvent que l’arbre qui cache la forêt. Pour preuve, cette notice n’a pas de modèle standard à appliquer. Elle se doit d’être le reflet de la gestion des données non seulement sur votre site web, mais dans l’ensemble de l’entreprise.
La tenue d’un registre est souvent le premier pas vers la conformité. Elle est d’ailleurs obligatoire pour les entreprises de plus de 250 salariés. En deçà, le registre est une recommandation. Son contenu est normalisé par la loi fédérale. Son format (numérique ou non) est laissé à la libre appréciation de l’entreprise, qui peut utiliser aussi bien un logiciel dédié qu’un tableur reprenant les items obligatoires. La dénomination de certains peut cependant rendre perplexe les personnes non avisées. La bonne tenue de ce registre est donc à confier à une personne formée à la LPD.
La protection des données revêt trois principaux aspects, qui nécessitent un niveau certain d’expertise :
La mise en conformité n’étant pas standard d’une entreprise à une autre, seul un expert peut vous guider sur les dispositifs légaux et/ou techniques à mettre en œuvre pour garantir la sécurité de vos données. De même, l’expérience du spécialiste, confronté à de nombreux cas de figure, permet d’imaginer les solutions les plus adaptées pour lever les « zones grises » laissées par la loi, comprenez les cas de figure particuliers qui ne peuvent être généralisés. Seul l’expert peut vous faire profiter de cette sorte de « jurisprudence opérationnelle » pour adapter la protection des données au fonctionnement de votre entreprise. En cas de contrôle ou de manquement, il vous faudra en effet faire la preuve de vos efforts à protéger vos données et à les traiter de manière conforme.
Enfin, l’expert pourra également sensibiliser vos salariés à la question de la protection des données personnelles, voire former les personnes désignées pour la mettre en œuvre au quotidien. Cela peut être le rôle d’un Conseiller à la Protection des Données ou Délégué à la Protection des Données (DPO) qui sera distinct des instances de direction de l’entreprise.
La mise en conformité est un processus qui prend du temps. L’intervention d’un expert, depuis l’audit de départ jusqu’à la formation des salariés et la contractualisation des prestataires peut prendre de 3 semaines à 6 mois en fonction des organisations.
Quand bien même vous parviendriez à être à 100% conforme, ce qui est rare pour ne pas dire quasi impossible selon notre Expert, la question de la conformité de votre entreprise n’est pas acquise ad vitam. Il convient de pouvoir justifier d’un suivi, d’une mise à jour en cas de changement de protocole interne ou d’évolution juridique. De même, la sensibilisation voire la formation de vos salariés, en particulier vos nouvelles recrues, est une démarche à mettre en œuvre régulièrement. Il n’est pas rare également que de nouvelles problématiques apparaissent en cas de recours à un nouveau prestataire, notamment si celui-ci est domicilié dans un pays à la législation de protection moins stricte que la nôtre.
La mise en place de contrôle de conformité des entreprises se met en place de manière croissante sur le territoire suisse. Les premières infractions constatées sont en passe de donner lieu à des sanctions.
Il est bon de rappeler que les manquements à la protection des données personnelles sont punis d’amende pénale, à l’encontre de personnes physiques. Ainsi, en cas de faille dans votre protocole de protection des données, une ou plusieurs personnes responsables au sein de l’entreprise seront désignées en fonction des manquements constatés.
La question de la protection des données n’est donc pas une simple coche sur sa TO DO LIST après la mise en place d’un registre ou d’une notice de confidentialité sur son site Internet. Mettre son entreprise en conformité avec la Loi de Protection des Données est autant une obligation légale qu’une opportunité de penser différemment le fonctionnement de son entreprise, dans la relation avec vos salariés comme avec vos clients.
Les informations personnelles confiées à une entreprise sont des données précieuses, pas uniquement au sens économique. Elles relèvent d’une confiance accordée qui doit être méritée. Elles participent d’une discussion transparente avec l’entreprise autant que d’une prise de conscience des individus sur l’importance des informations partagées.
Dans notre prochain article :
retrouvez tous les conseils pratiques des experts Araucaria
pour votre mise en conformité LPD
