Comme cela était attendu, le Conseil fédéral a adopté les projets d’Ordonnance sur la protection des données (OPDo) et d’Ordonnance sur les certifications en matière de protection des données (OCPD) Plus rien ne s’oppose donc à l’entrée en vigueur de la Loi sur la protection des données révisée (nLPD) le 1er septembre 2023. Le Conseil fédéral a en effet souhaité laisser encore un peu de temps aux petites et moyennes entreprises pour se mettre en conformité.
De l’OLPD à l’OPDo
L’OPDo concrétise la nLPD, en précisant certains éléments. Plusieurs aspects étaient déjà annoncés dans le message à l’appui du projet de nLPD ou figuraient dans l’ordonnance actuelle, l’Ordonnance relative à la loi fédérale sur la protection des données (OLPD). De nombreuses améliorations ont été apportées suite à la procédure de consultation .
Le plus grand mystère restera probablement le nom de l’ordonnance. En effet, la LPD du 19 juin 1992 sera remplacée par la LPD du 25 septembre 2020 (appelée ici nLPD pour éviter la confusion). On pouvait donc s’attendre à ce que l’OLPD du 14 juin 1993 soit remplacée par une OLPD du 31 août 2022. C’est d’ailleurs le cas pour l’Ordonnance sur les certifications en matière de protection des données (OCPD) qui conserve son abréviation.
En italien, l’Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD) deviendra l’Ordinanza sulla protezione dei dati (OPDa). En allemand, on passera de la Verordnung zum Bundesgesetz über den Datenschutz (VDSG) à la Verordnung über den Datenschutz (en abrégé Datenschutzverordnung, DSV). Que l’on se rassure toutefois, la LPD ne devrait pas devenir la LPDo !
La sécurité des données
Une partie importante de l’OPDo est consacré à la sécurité des données, comme c’était déjà le cas jusqu’à présent avec l’OLPD. L’OPDo distingue désormais les principes (art. 1), les objectifs soit assurer la confidentialité, la disponibilité, l’intégrité et la traçabilité (art. 2), et les mesures techniques et organisationnelles à prendre (art. 3).
Ces mesures doivent être fondées sur le risque et doivent prendre en compte l’état actuel des connaissances techniques et scientifiques, ainsi que les coûts de mise en œuvre (coûts financiers, ressources en personnel et temps nécessaire). Les mesures vont couvrir les contrôles de l’accès aux données, contrôles de l’accès aux locaux et aux installations, contrôles d’utilisation, les contrôles des supports de données, les contrôles de la mémoire, les contrôles du transport, la restauration, la disponibilité, la fiabilité, l’intégrité des données, la sécurité du système, le contrôle de la saisie, le contrôle de la communication, la détection et la réparation.
Comme exemple de mesures, le Rapport explicatif mentionne l’anonymisation, la pseudonymisation et le chiffrement des données personnelles, des procédures d’identification, d’analyse et d’évaluation des risques et d’évaluation de l’adéquation des mesures, ainsi que la formation du personnel. Pour mémoire, le non-respect intentionnel, par une personne privée, des exigences minimales en matière de sécurité figurant dans l’OPDo est une contravention pénale, punie d’une amende jusqu’à CHF 250’000.-.
La journalisation
L’OPDo introduit une obligation de journalisation (art. 4). Les procès-verbaux de journalisation doivent être conservés pendant au moins un an et fournir des informations sur l’identité de la personne qui a effectué le traitement, la nature, la date et l’heure du traitement et cas échéant l’identité du destinataire des données. Les traitements concernés par la journalisation sont l’enregistrement, la modification, la lecture (sauf pour les données généralement accessibles au public!), la communication, l’effacement et la destruction.
La journalisation est obligatoire pour tous les traitements automatisés effectués par un organe fédéral. Il s’agit d’une exigence lourde puisque la notion de traitement automatisé doit être comprise comme un traitement électronique. L’administration fédérale dispose d’un délai transitoire de trois ans pour se mettre en conformité sur ce point. Pour les privés, la journalisation n’est requise que dans les cas des traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé, et seulement si des mesures préventives ne suffisent pas à garantir la protection des données. Dans ces cas, il n’y a pas de délai transitoire (même pour les organes fédéraux).
Le règlement de traitement
L’OPDo prévoit aussi une obligation d’établir un règlement de traitement (art. 5s). Ce règlement doit contenir des informations sur l’organisation interne, sur les procédures de traitement et de contrôle des données, ainsi que sur les mesures visant à garantir la sécurité des données. Il est obligatoire pour les privés en cas de traitements automatisés de données sensibles à grande échelle ou de profilage à risque élevé. Pour les organes fédéraux, les cas sont beaucoup plus fréquents, notamment dans tous les cas de traitement automatisé de données sensibles, de profilage (indépendamment du risque) ou de traitement conjoints.
Le sous-traitant
L’OPDo prévoit que si le responsable du traitement a donné au sous-traitant une autorisation générale de recourir à des sous-traitants ultérieurs, il doit informer le responsable du traitement préalablement à tout changement (qu’il s’agisse d’une nouvelle délégation ou d’un remplacement) et le responsable du traitement peut s’y opposer (art. 7 al. 2). De plus, le sous-traitant a une obligation d’aider le responsable du traitement à répondre à une demande de droit d’accès (art. 17 al. 2).
En revanche, l’OPDo n’a pas repris l’exigence d’un contrat écrit pour les organes fédéraux. C’était pourtant une exigence de la Directive 2016/680 et les organes qui y sont soumis (comme les autres d’ailleurs) feraient mieux d’éviter des contrats oraux.
Droit à la portabilité
Les conditions du droit à la remise ou à la transmission des données personnelles sont précisées, en particulier les données sur lesquelles porte ce droit (art. 20).
Profitent donc du droit à la remise ou à la transmission, les données personnelles que la personne concernée a délibérément et en connaissance de cause mises à disposition du responsable du traitement, ainsi que les données que le responsable du traitement a collectées au sujet de la personne concernée et qui concernent son comportement dans le cadre de l’utilisation d’un service ou d’un appareil.
Ne sont en revanche pas concernées, les données personnelles que le responsable du traitement a générées en évaluant les données personnelles mises à disposition ou observées, ainsi que de manière générale les données conservées exclusivement sur papier.
Les autres obligations
Le responsable du traitement doit conserver l’analyse d’impact relative à la protection des données personnelles pendant toute la durée du traitement et au moins deux ans après la fin du traitement (art. 14).
L’OPDo décrit les informations devant figurer dans une annonce de violation de la sécurité des données au PFPDT (art. 15). Il s’agit notamment de la nature de la violation, du moment et de la durée, des catégories et du nombre approximatif de données personnelles et de personnes concernées, des conséquences (y compris les éventuels risques pour les personnes concernées), des mesures prises ou prévues, ainsi que du nom et des coordonnées d’une personne de contact. Si nécessaire, les informations manquantes au moment de l’annonce peuvent être communiquées ultérieurement. L’OPDo introduit aussi une obligation de conserver, pendant au moins deux ans à compter de la date d’annonce, la documentation contenant les faits relatifs aux incidents, à leurs effets et aux mesures prises.
Comme attendu, les personnes physiques et les entreprises (et autres organismes de droit privé) employant moins de 250 collaborateurs sont généralement déliés de leur obligation de tenir un registre des activités de traitement (art. 24). Ils doivent néanmoins tenir un registre pour les traitements qui portent sur des données sensibles à grande échelle et les traitements qui constituent un profilage à risque élevé.
Concernant les communications de données à l’étranger, l’OPDo précise que l’exportateur qui recourt à des clauses types de protection des données doit prendre les mesures adéquates pour s’assurer que l’importateur les respecte (art. 10). Il s’agit d’une obligation de moyens qui sera d’autant plus importante que les données sont sensibles.
Les organes fédéraux
On trouve encore quelques dispositions spécifiques aux organes fédéraux, comme l’obligation pour chaque organe fédéral de désigner un conseiller à la protection des données (art. 25), alors que cela ne concernait précédemment que les départements, le devoir d’indiquer lors de la communication des données personnelles, l’actualité, la fiabilité et l’exhaustivité des données (art. 29) et le devoir d’indiquer à la personne concernée le caractère facultatif de la fourniture de renseignements lors de la collecte systématique des données (art. 30).
Et la suite?
L’entrée en vigueur de la nLPD et des ordonnances marquera la fin d’un trop long processus de mise à niveau du droit suisse de la protection des données personnelles. On aurait pu faire plus, faire mieux, et éviter quelques différences inutiles avec le Règlement général sur la protection des données (RGPD). Mais maintenant il faut aller de l’avant avec cette nouvelle législation.
Pour tous ceux qui traitent des données personnelles, c’est la suite d’un chemin vers la conformité, parfois long. La LPD imposait déjà des exigences depuis 1993 (même si les pouvoirs limités du Préposé fédéral à la protection des données et les contraventions pénales très limitées n’insistaient pas toujours à les respecter). L’entrée en vigueur en 2016 du RGPD applicable dans l’EEE et dans certaines situations également en Suisse, a conduit à une prise de conscience des enjeux et des obligations. L’adoption de la nLPD le 25 septembre 2020 a précisé le régime qui sera applicable en Suisse.
La plupart des grandes entreprises sont en bonne voie. Pour les petites et moyennes entreprises, c’est parfois plus difficile. Souvent simplement parce qu’elles ne sont même pas conformes au droit actuel et qu’elles pensent avoir encore du temps. ou que ce n’est pas un sujet de préocupation. Le délai d’une année jusqu’à l’entrée en vigueur de la nLPD le 1er septembre 2023 sonne donc comme une dernière opportunité de se mettre en conformité. Parfois, quelques mesures simples peuvent déjà fondamentalement changer la situation.
Laisser un commentaire