Nouvelle loi sur la protec­tion des données en Suisse: ce que les fonda­ti­ons doivent savoir

À partir du 1er septembre 2023, une nouvelle légis­la­tion va encad­rer la sécu­rité des données en Suisse. La nouvelle loi sur la protec­tion des données (LPD) doit venir renforcer la situa­tion. Et puis­que les acti­vi­tés des fonda­ti­ons impli­quent systé­ma­ti­quement le trai­te­ment de données person­nel­les, elles doivent se pencher sur la nouvelle LPD.

La nouvelle légis­la­tion sur la protec­tion des données n’est pas une révo­lu­tion. Ce qui n’est pas inter­dit reste auto­risé. La nouvelle LPD n’est pas une copie du Règle­ment géné­ral sur la protec­tion des données (RGPD) de l’Union euro­pé­enne. Les horri­pi­l­an­tes banniè­res qui prévi­en­nent de la présence de cookies demeu­rent facul­ta­ti­ves en Suisse.

Chez nous, la protec­tion des données devrait deve­nir plus qu’un simple tigre de papier grâce à de nouveaux méca­nis­mes inci­ta­tifs: en cas de viola­tion de la régle­men­ta­tion sur la protec­tion des données, le cont­re­venant s’expose à une amende person­nelle allant jusqu’à 250 000 francs et le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence pourra inter­ve­nir direc­te­ment à l’avenir.

Il existe un autre méca­nisme inci­ta­tif parti­cu­lier pour moti­ver les fonda­ti­ons à garan­tir la protec­tion des données: la confi­ance. Si des données person­nel­les sont malen­con­treu­se­ment rendues publi­ques, leur répu­ta­tion risque d’en pâtir sévèrement.

Inven­taire de données: où, comment et pour­quoi traite-t-on tel type de données?

Pour commen­cer, il faut toujours savoir quel­les données sur quel­les person­nes sont utili­sées dans quels buts, avec quels moyens et dans quels pays. De manière géné­rale: toutes les données sont à carac­tère person­nel et chaque fois que l’on en utilise, cela est considéré comme un traitement.

Toutes ces infor­ma­ti­ons sont saisies dans un inven­taire de données. La plupart des fonda­ti­ons tien­nent volon­tai­re­ment un réper­toire des acti­vi­tés de trai­te­ment. Que ce soit avec un tableau Excel, avec un schéma heuri­stique ou un autre outil en ligne: l’important est que celui-ci soit disponible.

Outsour­cing: la sous-trai­tance et les exporta­ti­ons de données sont-elles sécurisées?

Les fonda­ti­ons ne trai­tent pas toutes les données elles-mêmes, mais font aussi appel aux services de tiers: commu­ni­ca­ti­ons e‑mail, acti­vi­tés marke­ting, recru­tement, héber­ge­ment de sites. Dans beau­coup de cas, il s’agit de services basés sur le cloud. L’inventaire de données montre quel type d’outsourcing est utilisé pour quel­les données.

Chaque outsour­cing doit être réglé par un cont­rat de trai­te­ment des données, parfois dési­gné par l’acronyme «DPA» pour Data Proces­sing Agree­ment. Les four­nis­seurs bien étab­lis mettent des cont­rats stan­dar­di­sés à disposition.

Lorsque l’on utilise des services étran­gers, l’on réalise alors une exporta­tion de données. Étant donné que dans la plupart des pays exter­nes à l’Espace écono­mi­que euro­péen (EEE), le niveau de protec­tion des données est insuf­fi­sant, l’exportation doit souvent faire l’objet d’une protec­tion supp­lé­men­taire. En outre, une évalua­tion des risques est néces­saire. Cela concerne notam­ment les États-Unis et, par consé­quent, prati­quement tous les services de cloud connus.

Cette protec­tion supp­lé­men­taire est assu­rée par le biais de clau­ses contrac­tu­el­les types de la Commis­sion euro­pé­enne. Les four­nis­seurs étab­lis mettent géné­ra­le­ment de telles clau­ses à dispo­si­tion et tien­nent ce faisant égale­ment compte de la Suisse. Pour l’évaluation des risques, la méthode basée sur Excel et dispo­ni­ble gratui­te­ment de David Rosen­thal a su s’imposer. Quant à savoir si la protec­tion est suffi­sante, cela fait débat, mais les services améri­cains sont souvent incontournables.

Trans­pa­rence: la décla­ra­tion de confi­den­tia­lité est-elle complète et à jour?

La nouvelle légis­la­tion sur la protec­tion des données ajoute une obli­ga­tion géné­rale d’information: les person­nes concer­nées doivent avoir la possi­bi­lité d’obtenir de la part des fonda­ti­ons des infor­ma­ti­ons sur le trai­te­ment de leurs données et sur leurs droits.

Le plus simple pour ce faire est de publier une décla­ra­tion de confi­den­tia­lité géné­rale sur son site. Celle-ci devrait être à jour et complète en toute circon­stance. Pour ce faire, les «géné­ra­teurs de poli­tique de confi­den­tia­lité» peuvent aider. Il convi­ent de four­nir notam­ment des infor­ma­ti­ons sur l’exportation et sur les droits des person­nes concer­nées comme celui d’accéder à ses propres données. La trans­pa­rence crée un climat de confiance.

Person­nes concer­nées: dans quel délai faut-il trai­ter les demandes?

Lorsque des person­nes concer­nées font valoir leurs droits auprès des fonda­ti­ons, celles-ci doivent accu­ser récep­tion des deman­des et les trai­ter en temps voulu. Souvent, il s’agit de déli­v­rer les infor­ma­ti­ons dans un délai de 30 jours. 

En pratique, il convi­ent de bien s’assurer que le deman­deur a un droit d’accès à l’information et, le cas échéant, dans quelle mesure. Les person­nes concer­nées ne dispo­sent jamais de droits abso­lus comme d’un droit à la suppres­sion immé­diate de toutes les données.

Sécu­rité des données: les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les sont-elles efficaces?

En cas de publi­ca­tion invo­lon­taire de données à carac­tère person­nel, plus personne ne s’intéresse aux cont­rats de trai­te­ment ou à la poli­tique de confi­den­tia­lité. La sécu­rité des données doit donc être assu­rée à tout moment grâce à des mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les appropriées.

L’on trouve typi­quement les sauvegar­des régu­liè­res, les mots de passe sécu­ri­sés, l’enregistrement des accès ou le chif­fre­ment des note­books. Les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les sont souvent déjà en place, mais non documentées.

Nouvelle légis­la­tion sur la protec­tion des données: faut-il une mise en œuvre pragmatique?

Toutes les fonda­ti­ons doivent appli­quer la nouvelle légis­la­tion sur la protec­tion des données. Ceci n’est pas une affaire ponc­tu­elle, mais un proces­sus. La mise en œuvre doit être prag­ma­tique et tenir compte des risques. Dès lors que l’on prend la protec­tion des données au sérieux et que l’on s’en occupe régu­liè­re­ment, il n’y a rien à craindre de la nouvelle légis­la­tion sur la protec­tion des données.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

StiftungSchweiz encourage une philanthropie qui atteint plus avec moins de moyens, qui est visible et perceptible par tous, et qui apporte de la joie.

Suivez StiftungSchweiz sur