{"id":992,"date":"2023-07-13T12:09:19","date_gmt":"2023-07-13T11:09:19","guid":{"rendered":"https:\/\/mdconsult.ch\/?p=992"},"modified":"2023-07-13T12:09:20","modified_gmt":"2023-07-13T11:09:20","slug":"nouvelle-lpd-quels-changements-attendus","status":"publish","type":"post","link":"https:\/\/mdconsult.ch\/news\/nouvelle-lpd-quels-changements-attendus\/","title":{"rendered":"Nouvelle LPD : Quels changements attendus ?"},"content":{"rendered":"\n<p><em>Vous avez peut-\u00eatre entendu parler de la&nbsp;<strong>nouvelle Loi sur la protection des donn\u00e9es (LPD<\/strong>) qui entrera en vigueur le 1 septembre 2023 en Suisse, mais qu\u2019est-ce que cela signifie pour votre entreprise ?<\/em><\/p>\n\n\n\n<p>L\u2019actuelle loi suisse sur la protection des donn\u00e9es date de 1992. Cette r\u00e9vision ainsi que l\u2019ordonnance relative \u00e0 la loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (<strong>OLPD<\/strong>) adaptent la loi aux&nbsp;<strong>nouvelles conditions technologiques et sociales<\/strong>. Elles renforcent la&nbsp;<strong>transparence<\/strong>&nbsp;et la&nbsp;<strong>protection des donn\u00e9es personnelles<\/strong>&nbsp;dans le but de&nbsp;<strong>s\u2019aligner sur le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/strong>&nbsp;appliqu\u00e9 en Europe. En effet, si la Commission europ\u00e9enne venait \u00e0 ne plus reconna\u00eetre le niveau suisse de protection des donn\u00e9es comme ad\u00e9quat, alors les pertes et le d\u00e9savantage concurrentiel que les entreprises suisses pourraient subir est immense.<\/p>\n\n\n\n<p>Dans cet article, nous allons donc explorer les principaux changements introduits par la nouvelle LPD et ce que vous devez faire pour vous assurer que votre entreprise atteigne un&nbsp;<strong>niveau de conformit\u00e9 suffisant<\/strong>&nbsp;et puisse le conserver.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Qu\u2019est-ce que la Loi sur la Protection des Donn\u00e9es ?<\/h2>\n\n\n\n<p>La LPD est une loi exhaustive sur la protection des donn\u00e9es qui vise \u00e0 prot\u00e9ger la&nbsp;<strong>confidentialit\u00e9 des<\/strong>&nbsp;<strong>donn\u00e9es personnelles<\/strong>&nbsp;ainsi qu\u2019\u00e0 assurer leur traitement l\u00e9gal (collecte, stockage, utilisation, transfert, conservation).<\/p>\n\n\n\n<p>Ainsi, on entend par&nbsp;<strong>donn\u00e9e personnelle<\/strong>&nbsp;toute information qui concerne une personne physique identifi\u00e9e ou identifiable.<\/p>\n\n\n\n<ul>\n<li>Nom<\/li>\n\n\n\n<li>Pr\u00e9nom<\/li>\n\n\n\n<li>E-mail<\/li>\n\n\n\n<li>Num\u00e9ro de t\u00e9l\u00e9phone<\/li>\n\n\n\n<li>Adresse postale<\/li>\n\n\n\n<li>Num\u00e9ro AVS<\/li>\n\n\n\n<li>\u2026<\/li>\n<\/ul>\n\n\n\n<p>Et parmi ces donn\u00e9es personnelles, il existe des donn\u00e9es personnelles&nbsp;<strong>\u201csensibles\u201d<\/strong>&nbsp;telles que le casier judiciaire, les donn\u00e9es de sant\u00e9, l\u2019origine ethnique, l\u2019opinion politique, etc. qui demandent un r\u00e9gime particulier.<\/p>\n\n\n\n<p>La LPD s\u2019applique alors \u00e0 toutes les entreprises et organisations qui&nbsp;<strong>traitent des donn\u00e9es personnelles et sensibles pouvant avoir un effet sur la Suisse<\/strong>, qu\u2019elles soient publiques ou priv\u00e9es, sur le territoire helv\u00e9tique ou \u00e0 l\u2019\u00e9tranger.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quels sont les objectifs de la nouvelle LPD ?<\/h2>\n\n\n\n<p>Dans un contexte de bouleversement technologique et social acc\u00e9l\u00e9r\u00e9 par la pand\u00e9mie, le nombre de cyberattaques s\u2019est multipli\u00e9. La nouvelle LPD vise donc \u00e0&nbsp;<strong>renforcer la s\u00e9curit\u00e9 et \u00e0 responsabiliser les entreprises<\/strong>&nbsp;en fournissant un cadre r\u00e9glementaire \u00e0 la collecte, au traitement et \u00e0 l\u2019utilisation des donn\u00e9es personnelles. Il y a l\u00e0 un v\u00e9ritable enjeu de r\u00e9ussite num\u00e9rique pour la Suisse et ses entreprises.<\/p>\n\n\n\n<p>En effet, il faut qu\u2019un&nbsp;<strong>\u00e9change ais\u00e9 des donn\u00e9es entre la Suisse et l\u2019UE<\/strong>&nbsp;reste possible \u00e0 l\u2019avenir. Pour cela, les organisations doivent garder un niveau ad\u00e9quat de protection des donn\u00e9es. D\u2019un point de vue \u00e9conomique, celles qui sont d\u00e9j\u00e0 conformes \u00e0 la LPD et au RGPD se diff\u00e9rencient rapidement par leur&nbsp;<strong>attractivit\u00e9&nbsp;<\/strong>et apparaissent comme un&nbsp;<strong>partenaire de confiance.<\/strong><\/p>\n\n\n\n<p>La nouvelle LPD s\u2019inscrit \u00e9galement dans le principe&nbsp;<strong>d\u2019autod\u00e9termination informationnelle<\/strong>&nbsp;en prot\u00e9geant le droit des individus \u00e0 la vie priv\u00e9e. Elle donne aux individus le contr\u00f4le sur leurs donn\u00e9es personnelles et leur permet de choisir qui peut y acc\u00e9der.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quand est-ce que mon organisation devra s\u2019adapter \u00e0 ces nouvelles dispositions ?<\/h2>\n\n\n\n<p>Vous ne disposez plus que de quelques mois avant l\u2019entr\u00e9e en vigueur de la nouvelle LPD le&nbsp;<strong>1er Septembre 2023<\/strong>&nbsp;pour prendre les mesures n\u00e9cessaires. Aucun d\u00e9lai de transition n\u2019est pr\u00e9vu, c\u2019est-\u00e0-dire que la nouvelle loi prendra effet et devra \u00eatre respect\u00e9e d\u00e8s la date de d\u00e9but fix\u00e9e.<\/p>\n\n\n\n<p>De nombreuses entreprises suisses ont des activit\u00e9s commerciales en lien avec l\u2019UE et doivent r\u00e9pondre \u00e0 des exigences accrues en mati\u00e8re de protection des donn\u00e9es.<\/p>\n\n\n\n<p>Si vous \u00eates conformes au RGPD, vous \u00eates conscients des changements que cela a induits dans la protection des donn\u00e9es par votre organisation. Cependant, il existe encore quelques diff\u00e9rences entre ces deux l\u00e9gislations que&nbsp;<a href=\"https:\/\/swissprivacy.law\/\">swissprivacy.law<\/a>&nbsp;a list\u00e9 dans un tableau comparatif complet.<\/p>\n\n\n\n<p><a href=\"https:\/\/swissprivacy.law\/wp-content\/uploads\/2021\/02\/20210211-Tableau-comparatif-nLPD-et-RGPD.pdf\">20210211-Tableau-comparatif-nLPD-et-RGPD.pdf (swissprivacy.law)<\/a><\/p>\n\n\n\n<p>Pour le reste, des changements majeurs sont encore \u00e0 pr\u00e9voir.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Quels sont les changements majeurs de la nouvelle LPD ?<\/h2>\n\n\n\n<p>Les donn\u00e9es personnelles des personnes physiques seront r\u00e9gies par des r\u00e8gles plus strictes. Voici une liste des&nbsp;<strong>principaux changements<\/strong>&nbsp;induits par la nouvelle LDP :<\/p>\n\n\n\n<ol>\n<li>Le cadre de la loi a chang\u00e9 et n\u2019<strong>inclut plus les personnes morales<\/strong>.<\/li>\n\n\n\n<li>Les&nbsp;<strong>donn\u00e9es g\u00e9n\u00e9tiques<\/strong>&nbsp;et&nbsp;<strong>biom\u00e9triques<\/strong>&nbsp;ont \u00e9t\u00e9 ajout\u00e9es \u00e0 la liste des donn\u00e9es personnelles sensibles.<\/li>\n\n\n\n<li>Les entreprises doivent d\u00e9sormais tenir compte des principes de protection des donn\u00e9es d\u00e8s la conception des traitements et des applications \u2013&nbsp;<strong>Privacy-by-Design et Privacy-by-Default (<\/strong>art. 7 nLPD).<\/li>\n\n\n\n<li>La&nbsp;<strong>tenue d\u2019un registre des activit\u00e9s de traitement<\/strong>&nbsp;est devenue obligatoire (exception pour les PME de moins de 250 employ\u00e9es).<\/li>\n\n\n\n<li>Dans un souci de&nbsp;<strong>transparence<\/strong>, le devoir d\u2019informer les personnes concern\u00e9es de mani\u00e8re ad\u00e9quate de toute collecte de donn\u00e9es a \u00e9t\u00e9 renforc\u00e9 et ne s\u2019applique plus uniquement aux donn\u00e9es sensibles. La loi f\u00e9d\u00e9rale est plus encadr\u00e9e sur ce point que le RGPD.<\/li>\n\n\n\n<li>Lorsque le traitement envisag\u00e9 entra\u00eene un risque \u00e9lev\u00e9, une&nbsp;<strong>analyse d\u2019impact<\/strong>&nbsp;doit obligatoirement \u00eatre r\u00e9alis\u00e9e.<\/li>\n\n\n\n<li>La&nbsp;<strong>notion de profilage<\/strong>&nbsp;fait son entr\u00e9e dans la loi. Si des d\u00e9cisions sont prises sur la base d\u2019un&nbsp;<strong>traitement automatis\u00e9<\/strong>, le responsable du traitement doit en informer les personnes concern\u00e9es (art. 21 nLPD).<\/li>\n\n\n\n<li>La nouvelle LPD inclut un&nbsp;<strong>droit d\u2019acc\u00e8s<\/strong>&nbsp;ainsi qu\u2019un&nbsp;<strong>droit \u00e0 la<\/strong>&nbsp;<strong>portabilit\u00e9<\/strong>&nbsp;des donn\u00e9es.<\/li>\n\n\n\n<li>Le&nbsp;<strong>Pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es et \u00e0 la transparence<\/strong>&nbsp;(PFPDT) doit \u00eatre&nbsp;<strong>notifi\u00e9 dans les meilleurs d\u00e9lais<\/strong>&nbsp;(72 h pour le RGPD) en cas de&nbsp;<strong>violation de la s\u00e9curit\u00e9 des donn\u00e9es&nbsp;<\/strong>(art. 22 nLPD).<\/li>\n<\/ol>\n\n\n\n<p>Retrouvez tous les changements dans le document officiel de la loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es.<\/p>\n\n\n\n<p><a href=\"https:\/\/fedlex.data.admin.ch\/filestore\/fedlex.data.admin.ch\/eli\/fga\/2020\/1998\/fr\/pdf-x\/fedlex-data-admin-ch-eli-fga-2020-1998-fr-pdf-x.pdf\">https:\/\/fedlex.data.admin.ch\/filestore\/fedlex.data.admin.ch\/eli\/fga\/2020\/1998\/fr\/pdf-x\/fedlex-data-admin-ch-eli-fga-2020-1998-fr-pdf-x.pdf<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Que dois-je faire pour me conformer aux prescriptions de la nouvelle LPD ?<\/h2>\n\n\n\n<p>Dans la nouvelle LPD, il y a&nbsp;<strong>6 principes g\u00e9n\u00e9raux<\/strong>&nbsp;\u00e0 respecter qui sont repris dans les changements majeurs \u00e9nonc\u00e9s pr\u00e9c\u00e9demment. Il s\u2019agit de la&nbsp;<strong>transparence<\/strong>, la&nbsp;<strong>limitation de traitement<\/strong>, la&nbsp;<strong>minimisation des donn\u00e9es<\/strong>, la&nbsp;<strong>confidentialit\u00e9<\/strong>, la<strong>&nbsp;limitation de stockage<\/strong>&nbsp;et l\u2019<strong>exactitude<\/strong>.<\/p>\n\n\n\n<p><strong>Le responsable du traitement<\/strong>&nbsp;doit s\u2019assurer que tous les principes de la protection de la vie priv\u00e9e soient respect\u00e9s. Votre entreprise&nbsp;doit ainsi&nbsp;<strong>pouvoir d\u00e9montrer<\/strong>&nbsp;qu\u2019elle respecte l\u2019ensemble de ceux-ci. Il est donc essentiel de mettre en place un&nbsp;<strong>cadre de gouvernance<\/strong>.<\/p>\n\n\n\n<p>Des certifications existent d\u00e9j\u00e0 pour devenir conforme \u00e0 la nouvelle LPD. La norme&nbsp;<a href=\"https:\/\/www.smartcockpit.ch\/iso270012022\/\">IS027001:2022<\/a>&nbsp;est une bonne mani\u00e8re d\u2019aborder les aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information. L\u2019ISAE 3000 pourrait \u00e9galement r\u00e9pondre \u00e0 ces besoins.<\/p>\n\n\n\n<p>Voici une check-list des pr\u00e9cautions \u00e9l\u00e9mentaires pour&nbsp;<strong>pr\u00e9venir une violation de donn\u00e9es<\/strong>&nbsp;:<\/p>\n\n\n\n<ul>\n<li><strong>Sensibiliser et former ses collaborateurs<\/strong>&nbsp;\u2013 mettre en place des proc\u00e9dures et de la documentation<\/li>\n\n\n\n<li>Mettre une place des&nbsp;<strong>moyens d\u2019authentification<\/strong>&nbsp;des utilisateurs (contr\u00f4les de tra\u00e7age, authentification multi-facteurs\u2026)<\/li>\n\n\n\n<li>G\u00e9rer les&nbsp;<strong>droits d\u2019acc\u00e8s<\/strong>&nbsp;\u2013 Ouvrir le syst\u00e8me en fonction des besoins et g\u00e9rer les droits dans le temps afin d\u2019\u00e9viter les zones de risques inattendues<\/li>\n\n\n\n<li>S\u00e9curiser les&nbsp;<strong>\u00e9changes<\/strong>&nbsp;avec des&nbsp;<strong>organismes externes<\/strong>&nbsp;(Ex : chiffrer les donn\u00e9es avant de les transmettre)<\/li>\n\n\n\n<li>S\u00e9curiser les&nbsp;<strong>postes de travail&nbsp;<\/strong>(bloquer certains ports, verrouiller son poste, mettre \u00e0 jour les logiciels, stocker les donn\u00e9es sur un serveur)<\/li>\n\n\n\n<li>S\u00e9curiser l\u2019<strong>informatique mobile&nbsp;<\/strong>(chiffrement, synchronisation, verrouillage, filtre de confidentialit\u00e9)<\/li>\n\n\n\n<li>Prot\u00e9ger le&nbsp;<strong>r\u00e9seau informatique interne<\/strong>&nbsp;\u2013 bloquer les acc\u00e8s, changer r\u00e9guli\u00e8rement les mots de passe chang\u00e9s, utiliser un VPN et une double authentification pour les connexions \u00e0 distance, s\u2019assurer qu\u2019aucune interface d\u2019administration ne soit accessible, limiter les flux vers l\u2019ext\u00e9rieur, installer un syst\u00e8me de d\u00e9tection des intrusions, cloisonner le r\u00e9seau<\/li>\n\n\n\n<li>Effectuer des&nbsp;<strong>sauvegardes fr\u00e9quentes&nbsp;<\/strong>et r\u00e9diger des&nbsp;<strong>plans de continuit\u00e9<\/strong><\/li>\n\n\n\n<li>G\u00e9rer la&nbsp;<strong>sous-traitance<\/strong>&nbsp;\u2013 encadrer la s\u00e9curit\u00e9 des donn\u00e9es et v\u00e9rifier leurs garanties<\/li>\n\n\n\n<li>Prot\u00e9ger&nbsp;<strong>les locaux<\/strong>&nbsp;(alarme, badge, codes, d\u00e9limitation des zones \u00e0 risques)<\/li>\n\n\n\n<li>S\u00e9curiser&nbsp;<strong>les serveurs<\/strong>&nbsp;\u2013 utiliser des comptes individuels pour une meilleure tra\u00e7abilit\u00e9<\/li>\n\n\n\n<li>S\u00e9curiser&nbsp;<strong>le site internet<\/strong><\/li>\n\n\n\n<li>Encadrer les&nbsp;<strong>d\u00e9veloppements informatiques<\/strong>&nbsp;(Security -by-design)<\/li>\n\n\n\n<li><a href=\"http:\/\/www.smartcockpit.ch\/roledudpd\">Nommer un conseiller \u00e0 la protection des donn\u00e9es personnelles (DPD)<\/a>&nbsp;en interne ou bien faire appel \u00e0 une entreprise externe sp\u00e9cialis\u00e9e.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Quels sont les risques et les sanctions encourues en cas de non-conformit\u00e9 \u00e0 la LPD ?<\/h2>\n\n\n\n<p>Les&nbsp;<strong>comp\u00e9tences du pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es et \u00e0 la transparence (PFPDT)&nbsp;<\/strong>en mati\u00e8re d\u2019application de la nouvelle LPD ont \u00e9t\u00e9 \u00e9largies. Les autorit\u00e9s de surveillance peuvent ainsi intervenir lorsqu\u2019elles&nbsp;<strong>constatent des irr\u00e9gularit\u00e9s<\/strong>&nbsp;ou sur&nbsp;<strong>d\u00e9nonciation<\/strong>. En effet, les clients, collaborateurs ou encore des entreprises concurrentes peuvent attirer leur attention sur ces faits et exiger un examen ou d\u00e9poser une plainte p\u00e9nale.<\/p>\n\n\n\n<p>Ainsi, en cas de&nbsp;<strong>violation intentionnelle<\/strong>&nbsp;des dispositions de protection des donn\u00e9es, des&nbsp;<strong>mesures fortes<\/strong>&nbsp;allant jusqu\u2019\u00e0 l\u2019effacement des donn\u00e9es peuvent \u00eatre ordonn\u00e9es. Outre ces sanctions, l\u2019organisation concern\u00e9e ainsi que le responsable du traitement encourent des&nbsp;<strong>amendes et des proc\u00e9dures p\u00e9nales<\/strong>. Ce n\u2019est donc plus seulement l\u2019entreprise elle-m\u00eame qui peut \u00eatre vis\u00e9e en premier lieu par des proc\u00e9dures p\u00e9nales, mais \u00e9galement la&nbsp;<strong>personne responsable<\/strong>&nbsp;(propri\u00e9taire et collaborateurs). \u00c0 noter que le montant maximal de l\u2019amende passe de 10 000 CHF \u00e0 250 000 CHF. Il s\u2019agit d\u2019une diff\u00e9rence importante par rapport au RGPD qui inflige des amendes beaucoup plus \u00e9lev\u00e9es aux entreprises, et non aux personnes physiques.<\/p>\n\n\n\n<p>Les&nbsp;<strong>entreprises \u00e9trang\u00e8res activent sur le march\u00e9 suisse<\/strong>&nbsp;ou dont le traitement des donn\u00e9es d\u00e9ploie des effets en Suisse sont soumises aux m\u00eames mesures. La nouvelle LPD se base sur le principe dit du&nbsp;<strong>lieu du r\u00e9sultat.<\/strong><\/p>\n\n\n\n<p>Sources : smartcockpit.ch&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vous avez peut-\u00eatre entendu parler de la&nbsp;nouvelle Loi sur la protection des donn\u00e9es (LPD) qui entrera en vigueur le 1 septembre 2023 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":993,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/posts\/992"}],"collection":[{"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/comments?post=992"}],"version-history":[{"count":1,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/posts\/992\/revisions"}],"predecessor-version":[{"id":994,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/posts\/992\/revisions\/994"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/media\/993"}],"wp:attachment":[{"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/media?parent=992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/categories?post=992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mdconsult.ch\/wp-json\/wp\/v2\/tags?post=992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}