Cybernews: nouvelle loi sur la protection des données personnelles
Depuis le lancement de la Cyber Risk Clinic en mai 2022, nous donnons la parole à plusieurs expert·e·s du domaine cyber ou de domaines connexes, actif·ve·s au sein de cette nouvelle structure. Dans cette série de «cyber news», ils·elles décryptent pour vous les enjeux liés à ces risques particuliers et partagent des cas concrets, rencontrés dans leur pratique professionnelle.
Pour le quatrième épisode de cette série consacrée aux risques cyber, nous avons rencontré les deux co-fondateurs de Legal Light, une société de conseil et facilitation juridique, partenaire de la Cyber Risk Clinic. Ils nous partagent quelques réflexions liées à la protection des données personnelles en cette année de mise en œuvre de la nouvelle loi sur la protection des données personnelles (LPD).
4 questions sur la mise en œuvre des exigences de la LPD
Existe-t-il une typologie de client qui fait appel à Legal Light en matière de protection de données?
Pas vraiment; en tout cas pas dans un sens strict de catégorisation. Nous sommes en mesure de collaborer avec différents types de clients, notamment en termes de taille. Le « comment » est au cœur de notre approche. Sur la base de l’expérience acquise après nos premiers mois d’activités, nous dirions que nos client·e·s sont avant tout celles et ceux pour chez qui notre philosophie résonne favorablement.
En suivant cette philosophie, comment accompagnez-vous vos client·e·s?
Nous avons à cœur et nous nous efforçons de proposer un accompagnement holistique et transverse, axé sur l’humain et le relationnel. Notre vision est qu’un service satisfaisant et pertinent pour le·a client·e implique que nous soyons connectés avec lui·elle, que l’environnement collaboratif permette une communication fluide, en particulier quant aux besoins. Le « comment » est ainsi au cœur de notre approche. Nous valorisons le travail collaboratif et pouvons accompagner seuls ou proposer une équipe (y compris avec des tiers), en fonction des besoins et attentes du client ou de la cliente.
Quelles sont les mesures ou directives que doivent avoir mises en place les PME dès le 1er septembre 2023?
La réponse stéréotypée est la liste des actions et documents que la LPD et ses ordonnances exigent. Il est vrai qu’elle est relativement longue, en particulier pour les entreprises auxquelles toutes les exigences s’appliquent.
On entend notamment beaucoup parler des aspects suivants:
- «Déclaration en matière de protection des données»: ceci permet d’informer de manière transparente les personnes dont l’entreprise traite les données personnelles des modalités de traitement (le comment, pourquoi, où, etc.);
- «Registre (ou inventaire) d’activités de traitement»: cette liste comprend des informations structurées décrivant ces activités;
- «Transfert de données personnelles à l’étranger»: en résumé, l’entreprise doit s’organiser (juridiquement et techniquement) pour maintenir à l’étranger un degré de protection des données adéquat à celui qui existe en Suisse, un peu comme une « bulle » ou un « tunnel » de protection;
- «Directive / documentation interne»: ceci reflète en quelque sorte les modes d’emploi internes, soit la mise en place des règles au sein de l’entreprise et – surtout – de ses processus, de son organisation et de sa gouvernance.
En lien avec l’organisation et la gouvernance, les mots-clés sont notamment les «Mesures techniques et organisationnelles» qui doivent en particulier assurer:
- La « confidentialité », la « disponibilité », « l’intégrité » et la « traçabilité » des données (C.D.I.T.); et encore
- La protection des données dès la conception et par défaut (privacy by design & by default), qui est une règle de bon sens en matière de projet intégré dans une loi.
Entrent également dans tout ceci les aspects liés à la préparation de la gestion d’événements tels que des violations de la sécurité des données personnelles, des requêtes de personnes concernées soucieuses d’exercer leurs droits, des analyses d’impact lorsque l’entreprise envisage certains traitements de données personnelles ainsi que de bonnes mesures de sécurité pour les données.
Qu’est-ce que cela implique?
À notre sens, avant tout, cela commence par une compréhension de la situation et du but de cette réglementation, pour se détacher autant que possible de la perception selon laquelle il s’agit d’une nouvelle couche de réglementation qui empêchera le business de tourner rond. Comprendre et connaître les données personnelles qu’une entreprise traite entre dans les prérequis d’une productivité efficiente. Imaginons quelques instants que nous revenons à un monde antérieur à la digitalisation et l’informatique:
Dans ce monde, qui serait à l’aise à l’idée d’ignorer où sont ses fiches clients physiques, ses papiers bancaires et financiers? Qui estimerait opportun de renoncer à se préparer à un événement malheureux tel qu’un incendie causant la perte de tous les papiers liés à l’activité, en acceptant par avance le temps de recréation nécessaire? À priori peu de gens, et encore moins des entrepreneur·euse·s ou directeur·rice·s d’entreprises. Dès lors, pourquoi en serait-il différent dans le monde actuel, digitalisé et dématérialisé?
Sur cette base et pour revenir aux implications concrètes de 2023, sensibiliser l’entreprise, soit tous ses collaborateurs et collaboratrices, à la thématique et au nouveau paradigme qui l’accompagne nous semble prioritaire. Les données personnelles constituent de vrais actifs (assets) et les maîtriser, connaître et les protéger est opportun pour les personnes concernées et également les entreprises qui aspirent à une productivité efficiente. Quitte à forcer un peu le trait, il nous semble à certain égard préférable d’avoir des collaborateur·rice·s sensibilisé·e·s et conscient·e·s des enjeux, capables de réagir de manière adéquate sur le terrain, et encore un peu de retard sur certains documents, plutôt qu’une documentation exhaustive que les collaborateur·rice·s peinent à comprendre et ainsi à mettre en œuvre. C’est pour cette raison qu’il nous semble opportun de mener de front la sensibilisation, la communication et la formation interne en même temps que les projets de mise en œuvre des exigences. Ne serait-ce que pour que les collaborateur·rice·s accueillent ces évolutions de la meilleure manière possible.
Enfin, une fois le paradigme compris et accueilli, nous privilégierions une approche globale, en dépassant (si possible, chaque cas pouvant présenter des particularités) les frontières nationales de la LPD pour s’inspirer et mettre en place une conformité inspirée du principal « standard setter » qu’est le RGPD (ou GDPR en anglais) européen. Au-delà de la première réaction potentiellement négative, une telle approche offre de nombreux avantages opérationnels à toute organisation active au-delà des frontières suisses, par exemple en limitant le nombre de processus et documents distincts et ainsi les contraintes de suivi et mises à jour.
Cas concret d’accompagnement
Une entreprise d’une centaine de collaborateur·rice·s nous a parlé de ses préoccupations en matière de protection des données personnelles et a engagé un échange avec nous à cet égard. Cette société comprend des profils juridiques et techniques parfaitement à même de comprendre les exigences légales et les enjeux opérationnels d’une bonne gestion des données personnelles. Ce d’autant plus que leur modèle commercial est essentiellement bâti sur des services comprenant passablement de traitement de données personnelles.
À bon escient, ils·elles avaient d’ailleurs commencé à agir et à rédiger de la documentation interne, notamment une procédure. Nous avons entamé nos échanges et discussions sur cette base, dans un esprit de partage transparent entre sparring partners bienveillants. En partant de notre revue de ce qu’ils·elles avaient déjà fait, nous nous sommes maintenant engagés sur un partenariat dont le but est de les accompagner à travers la mise en œuvre des exigences de la LPD.
Cette organisation est très horizontale et encourage la proactivité et l’engagement de ses collaborateur·rice·s, si bien que nous mettrons naturellement l’accent sur la sensibilisation et la formation très rapidement. Un tel mandat est en toute franchise une magnifique chance, en particulier pour la qualité de la collaboration.
Legal Light est un partenaire de la Cyber Risk Clinic.
Nous sommes très heureux·euse·s de pouvoir compter sur eux. Leur aide précieuse en tant qu’expert·e·s juridiques permet à nos client·e·s d’être accompagné·e·s, de se préparer à la mise en œuvre des exigences en matière de protection des données personnelles. Nos client·e·s peuvent compter sur leur expérience et leur professionnalisme pour les aider à se structurer, rédiger et transformer les exigences légales en opportunités stratégiques.
Plus d’informations
Découvrez tous les packs de la Cyber Risk Clinic- Retour sur le lancement de la Cyber Risk Clinic
Site web de la Cyber Risk Clinic
Edit : Depuis 2024, les services de Cyber Risk Clinic ont été intégrés aux prestation de Loyco. Voir les services Risques Cyber.
Votre contact
Lionel Ducommun: lducommun@loyco.ch / +41 78 805 16 13