Pendant quelques mois, l'abréviation "LPD" est devenue très populaire. LPD représente l'acronyme officiel de la loi sur la protection des données, une législation adoptée par l'Assemblée fédérale après une longue période de traitement, précisément le 25 septembre 2020.

Le nouveau modèle nécessite une réévaluation des aspects fondamentaux de l'entreprise, tels que l'organisation interne, la gestion du personnel, la technologie utilisée, les fournisseurs de biens et services, la sécurité et la transparence des traitements. L'intensification des réglementations est une conséquence naturelle de la numérisation et des risques systémiques qui y sont associés (pensez aux catastrophes informatiques, aux vols de données personnelles et aux cas d'extorsion par le biais de "ransomware"), ainsi que les abus qui ont émergé dans les scandales internationaux tels que "Cambridge Analytica" (profilage et manipulation des masses via de fausses nouvelles) ou le cas de neige.

La récente loi sur la protection des données (LPD) a comme principal objectif la sauvegarde des individus et, par conséquent, de toute la communauté, de toute forme d'utilisation incorrecte de données personnelles. Son objectif est de s'assurer que les informations sont utilisées correctement, afin de créer une entreprise sûre, efficace et sans discrimination. D'une manière plus poétique, nous pourrions dire que le LPD vise à protéger le bien le plus précieux de tous: la liberté et la dignité de chaque individu en tant qu'être humain.

En parlant de responsabilité, pour démontrer que l'adaptation au LPD n'est pas facultative, les membres du conseil d'administration et des gestionnaires seront considérés comme criminellement responsables des violations du LPD commis par leurs entreprises (avec des amendes jusqu'à CHF 250'000.-). Cela comprendra également l'échec de la mise en œuvre des normes de sécurité minimales qui seront établies par le Conseil fédéral. Contrairement au droit européen, qui prévoit des pénalités pécuniaires administratives lourdes pour les entreprises, le droit suisse a principalement choisi de permettre aux gestionnaires de pouvoir en tant que détenteurs de pouvoir de prise de décision. Dans le même temps, la responsabilité civile des gestionnaires envers la Société, ses actionnaires et créanciers demeure de ne pas empêcher la propagation des actes illégaux ou de ne pas avoir mis en œuvre une organisation conformément à la loi, ainsi que la responsabilité civile de la Société pour préjudice à la personnalité des personnes concernées.

La date d'entrée en vigueur du LPD n'a pas encore été établie, car les règles de mise en œuvre sont manquantes. Bien que le terme pour le référendum ait expiré sans résultats, il n'y a pas d'obstacles juridiques à sa mise en œuvre. Les experts du secteur croient que la date la plus réaliste est le demi-2022. Étant donné que cette date est encore loin, il pourrait être tenté de reporter la question. Cependant, ce serait une grave erreur compte tenu de la complexité des obligations, des temps techniques nécessaires et du fait que le nouveau LPD ne prévoit pas une durée générale d'ajustement après son entrée en vigueur. Il est donc d'une importance fondamentale de démarrer immédiatement le processus d'ajustement.

Étant dans un moment de transition, il est important de mettre en évidence la possibilité de mettre en œuvre les prévisions du futur LPD depuis maintenant. En fait, en dehors de quelques exceptions rares, ces prévisions n'influent pas du tout avec la loi actuelle.

Nous examinons concrètement comment procéder et quelles sont les principales tâches à effectuer. Il est important de souligner qu'il ne s'agit pas simplement d'un exercice bureaucratique (comme beaucoup le croient), mais une véritable rénovation de l'entreprise, qui implique une réflexion sur la relation avec les personnes impliquées, les données personnelles et la technologie, ainsi qu'un changement de mentalité radical qui implique tout le monde, des employés à la gestion de l'entreprise.

Tout d'abord, il est nécessaire de créer une équipe de projet faisant autorité, qui possède les ressources adéquates, les compétences techniques, opérationnelles et juridiques nécessaires disponibles, ainsi que des objectifs clairs. Il est essentiel que l'équipe ait un soutien complet à la direction générale et au conseil d'administration. Dans le cas où vous n'avez pas de savoir-faire du spécialiste interne, vous pouvez confier le guide de l'équipe à un spécialiste externe. Cependant, il est important d'éviter des solutions complètement externes, dans lesquelles le spécialiste prétend mettre l'entreprise conformément à certaines entretiens. Ces solutions sont illusoires et dangereuses, car personne ne connaît l'entreprise mieux que ceux qui y travaillent. Par conséquent, l'implication des intérieurs est essentielle dans un projet sérieux.

Après avoir formé l'équipe, il est nécessaire de définir le plan de travail avec le calendrier relatif en fonction des ressources, des objectifs et des priorités d'intervention disponibles. À ce stade, il y a deux problèmes préliminaires qui doivent être résolus obligatoirement.

(i) Compte tenu du type d'activité réalisée par la Société, il est nécessaire de prendre en considération et de mettre en œuvre des réglementations étrangères dans le processus, comme le RGPD

Et

(ii) L'identification des activités qui nécessitent une considération particulière (et prioritaire) (par exemple, en raison des responsabilités criminelles qui en résultent ou des aspects "visibles" à l'extérieur, comme dans le cas des informations sur les cookies, ou parce que les risques pour les personnes impliquées sont élevées).

La première action à effectuer consiste à "cartographier" les traitements des données personnelles, à insérer les détails suivants dans un registre spécial: quelles données sont traitées, par qui, comment, où, à quels fins, qui est le destinataire et sur la base de ce qui justifie le traitement (droit, consentement ou public ou public prédominant). Pour mener à bien cette activité, il est conseillé d'utiliser un logiciel de gestion informatique (dans les moyennes et grandes entreprises, le choix est obligatoire).

En outre, il est nécessaire de définir les rôles et les responsabilités de chaque personne qui traite des données personnelles, à la fois internes (gestionnaires, collaborateurs) et externes (processeur de données) à l'entreprise. Cette situation doit être représentée dans un graphique d'organisation facilement compréhensible. Ces personnes doivent recevoir des instructions claires et complètes sur les traitements à effectuer (directives et réglementations internes) et, dans le cas des fournisseurs externes, une fois que la fiabilité des fournisseurs individuels et de leurs produits et / ou services a été vérifiée, la délégation du traitement doit être réglementée par une convention écrite. Au cours de cette phase, il est nécessaire d'évaluer s'il est approprié (ou obligatoire, si vous êtes comparé au RGPD) pour nommer un responsable de la protection des données (DPO), qui peut être interne ou externe à l'entreprise, afin de garantir le respect des règles et d'offrir un soutien constant à l'entreprise et aux personnes concernées par l'information, par l'information, l'inspection et les activités de conseil. Sur la base du nouveau LPD, qui ne nécessite pas le chiffre obligatoire du DPO, la nomination implique (dans certaines conditions) l'exclusion de l'obligation de consulter le poste fédéral en cas de traitements à haut risque. Enfin, il est nécessaire de mettre en œuvre les principes de traitement des données personnelles (sécurité, proportionnalité, exactitude, confidentialité par conception et par défaut, etc.) en relation avec les traitements effectués et le choix des outils (physique et informatiques) et des méthodes de traitement, ainsi que de l'identification et du blocage de toute activité illégale (adaptation en attente ou destruction des données).

Quatrièmement, il est nécessaire de se conformer aux obligations d'informer les personnes intéressées (y compris les employés, les utilisateurs de ressources en ligne et les clients) sur les traitements effectués par la Société (ou les délégués à des tiers), fournissant toutes les informations requises par la loi. En cinquième place, il est nécessaire d'identifier les raisons qui justifient chaque catégorie de traitement, obtenant, si nécessaire, le consentement des parties intéressées (valablement et légalement reconnaissables), justifiant adéquatement l'utilisation de intérêts publics ou privés prédominants ("lia"). En sixième place, il est nécessaire de créer une équipe et les règles pour gérer les violations de la sécurité des données efficacement et en temps opportun (appelées «violation de données»), ainsi que pour gérer les demandes des personnes intéressées (correction des données, blocage du traitement, révocation du consentement, accès aux données, portabilité, etc.). En septième place, il est nécessaire d'identifier des traitements à haut risque qui nécessitent une évaluation d'impact sur la protection des données (appelée «DPIA») et effectuer correctement cette évaluation (généralement à l'aide d'un outil informatique). Si nécessaire, il est nécessaire de consulter le fédéral à l'avance. En huitième place, nous trouvons un point fondamental: les activités de sensibilisation et de formation des employés sur les risques, droits et obligations de chacun dans la protection des données personnelles, ainsi que sur les responsabilités qui leur sont liées.

Je pense qu'il est important de souligner comment les nouvelles règles ne devraient pas être considérées comme une imposition rigide et lourde, mais comme une opportunité de renforcer la relation de confiance avec les clients et les employés, la promotion d'une image de l'entreprise positive, socialement responsable et respectueuse des règles et des droits fondamentaux des gens. Investir dans la protection des données personnelles signifie opérer dans un nouveau contexte, conscient des risques et des opportunités, exploitant pleinement des avantages concurrentiels et des outils innovants dans le domaine de la numérisation. Décevoir les attentes croissantes des utilisateurs concernant la protection de la vie privée et de la sphère personnelle, comme démontré dans le cas de WhatsApp, est nuisible non seulement d'un point de vue légal, mais aussi commercial. En fin de compte, la route est tracée et nous devons simplement l'entreprendre avec une bonne volonté, une détermination et avec la meilleure entreprise possible vers l'objectif.