À partir du 1er septembre 2023, une nouvelle législation va encadrer la sécurité des données en Suisse. La nouvelle loi sur la protection des données (LPD) doit venir renforcer la situation. Et puisque les activités des fondations impliquent systématiquement le traitement de données personnelles, elles doivent se pencher sur la nouvelle LPD.
La nouvelle législation sur la protection des données n’est pas une révolution. Ce qui n’est pas interdit reste autorisé. La nouvelle LPD n’est pas une copie du Règlement général sur la protection des données (RGPD) de l’Union européenne. Les horripilantes bannières qui préviennent de la présence de cookies demeurent facultatives en Suisse.
Chez nous, la protection des données devrait devenir plus qu’un simple tigre de papier grâce à de nouveaux mécanismes incitatifs: en cas de violation de la réglementation sur la protection des données, le contrevenant s’expose à une amende personnelle allant jusqu’à 250 000 francs et le Préposé fédéral à la protection des données et à la transparence pourra intervenir directement à l’avenir.
Il existe un autre mécanisme incitatif particulier pour motiver les fondations à garantir la protection des données: la confiance. Si des données personnelles sont malencontreusement rendues publiques, leur réputation risque d’en pâtir sévèrement.
Inventaire de données: où, comment et pourquoi traite-t-on tel type de données?
Pour commencer, il faut toujours savoir quelles données sur quelles personnes sont utilisées dans quels buts, avec quels moyens et dans quels pays. De manière générale: toutes les données sont à caractère personnel et chaque fois que l’on en utilise, cela est considéré comme un traitement.
Toutes ces informations sont saisies dans un inventaire de données. La plupart des fondations tiennent volontairement un répertoire des activités de traitement. Que ce soit avec un tableau Excel, avec un schéma heuristique ou un autre outil en ligne: l’important est que celui-ci soit disponible.
Outsourcing: la sous-traitance et les exportations de données sont-elles sécurisées?
Les fondations ne traitent pas toutes les données elles-mêmes, mais font aussi appel aux services de tiers: communications e‑mail, activités marketing, recrutement, hébergement de sites. Dans beaucoup de cas, il s’agit de services basés sur le cloud. L’inventaire de données montre quel type d’outsourcing est utilisé pour quelles données.
Chaque outsourcing doit être réglé par un contrat de traitement des données, parfois désigné par l’acronyme «DPA» pour Data Processing Agreement. Les fournisseurs bien établis mettent des contrats standardisés à disposition.
Lorsque l’on utilise des services étrangers, l’on réalise alors une exportation de données. Étant donné que dans la plupart des pays externes à l’Espace économique européen (EEE), le niveau de protection des données est insuffisant, l’exportation doit souvent faire l’objet d’une protection supplémentaire. En outre, une évaluation des risques est nécessaire. Cela concerne notamment les États-Unis et, par conséquent, pratiquement tous les services de cloud connus.
Cette protection supplémentaire est assurée par le biais de clauses contractuelles types de la Commission européenne. Les fournisseurs établis mettent généralement de telles clauses à disposition et tiennent ce faisant également compte de la Suisse. Pour l’évaluation des risques, la méthode basée sur Excel et disponible gratuitement de David Rosenthal a su s’imposer. Quant à savoir si la protection est suffisante, cela fait débat, mais les services américains sont souvent incontournables.
Transparence: la déclaration de confidentialité est-elle complète et à jour?
La nouvelle législation sur la protection des données ajoute une obligation générale d’information: les personnes concernées doivent avoir la possibilité d’obtenir de la part des fondations des informations sur le traitement de leurs données et sur leurs droits.
Le plus simple pour ce faire est de publier une déclaration de confidentialité générale sur son site. Celle-ci devrait être à jour et complète en toute circonstance. Pour ce faire, les «générateurs de politique de confidentialité» peuvent aider. Il convient de fournir notamment des informations sur l’exportation et sur les droits des personnes concernées comme celui d’accéder à ses propres données. La transparence crée un climat de confiance.
Personnes concernées: dans quel délai faut-il traiter les demandes?
Lorsque des personnes concernées font valoir leurs droits auprès des fondations, celles-ci doivent accuser réception des demandes et les traiter en temps voulu. Souvent, il s’agit de délivrer les informations dans un délai de 30 jours.
En pratique, il convient de bien s’assurer que le demandeur a un droit d’accès à l’information et, le cas échéant, dans quelle mesure. Les personnes concernées ne disposent jamais de droits absolus comme d’un droit à la suppression immédiate de toutes les données.
Sécurité des données: les mesures techniques et organisationnelles sont-elles efficaces?
En cas de publication involontaire de données à caractère personnel, plus personne ne s’intéresse aux contrats de traitement ou à la politique de confidentialité. La sécurité des données doit donc être assurée à tout moment grâce à des mesures techniques et organisationnelles appropriées.
L’on trouve typiquement les sauvegardes régulières, les mots de passe sécurisés, l’enregistrement des accès ou le chiffrement des notebooks. Les mesures techniques et organisationnelles sont souvent déjà en place, mais non documentées.
Nouvelle législation sur la protection des données: faut-il une mise en œuvre pragmatique?
Toutes les fondations doivent appliquer la nouvelle législation sur la protection des données. Ceci n’est pas une affaire ponctuelle, mais un processus. La mise en œuvre doit être pragmatique et tenir compte des risques. Dès lors que l’on prend la protection des données au sérieux et que l’on s’en occupe régulièrement, il n’y a rien à craindre de la nouvelle législation sur la protection des données.