Enfin! C’est le mot. Après des années de tergiversations et cinq ans après l’Union européenne, la Suisse muscle sa loi sur la protection des données (LPD). Elle entrera en vigueur le 1er septembre prochain… trois ans après son adoption par le parlement. Trente ans après sa création en 1992, la LPD avait urgemment besoin d’un lifting pour coller aux enjeux de numérisation actuels. Une profonde réforme qui se révèle cosmétique dans les faits, selon plusieurs experts. D’autant plus que la nouvelle loi sur la protection des données se montre beaucoup moins contraignante que son grand frère européen, le RGPD.
Loi suisse moins contraignante
Depuis le mois de mai 2018, les pays de l’UE appliquent le règlement européen sur la protection des données personnelles (RGPD). Celui-ci accorde davantage de droits aux résidents de l’Espace économique européen puisque chaque citoyen peut désormais exiger de connaître quelles entreprises collectent ses données, dans quel cadre et à quelles fins. Il peut aussi décider de transférer ses informations personnelles (portabilité) à la plateforme ou à l’entreprise de son choix. Ou d’exiger leur suppression (droit à l’oubli). Le RGPD est donc plus contraignant que la loi suisse sur la protection des données. Une large majorité d’entreprises helvétiques se sont donc depuis mises en conformité avec le règlement européen.
Que va donc changer la nouvelle LPD (nLPD)? Pas grand-chose à vrai dire pour les entreprises déjà en conformité avec le RGPD. Mais pour la Suisse, elle lui permettra de conserver un niveau de protection des données suffisamment élevé pour que le transfert de données entre les Etats membres de l’Union européenne et la Suisse ne fasse pas l’objet de mesures d’accompagnement spécifiques. En résumé, la Suisse s’inspire grandement du RGPD, mais l’allège. Mais détrompez-vous, la LPD mouture 2023 propose des changements. Parmi eux, une mise à jour des données personnelles considérées comme sensibles et un droit d’opposition au traitement automatisé des données personnelles.
Confusion auprès des PME
La nLPD introduit également de nouvelles sanctions pénales en cas d’infraction. Notamment des amendes pouvant aller jusqu’à 250 000 francs. A noter qu’au-delà d’un montant de 50 000 francs ce n’est plus l’entreprise qui serait condamnée, mais la personne responsable du traitement des données dans la société. Le data chief officer (DCO), le directeur des données, par exemple. La liste des autres changements est longue et complexe. Elle a surtout le mérite de semer le trouble dans la tête des PME romandes, qui s’interrogent sur les implications concrètes de ces changements. Afin de tenter d’y voir plus clair, nombreuses sont celles à se former pour, l’espèrent-elles, être à jour le 1er septembre prochain.
Comme lors de l’arrivée du RGPD il y a cinq ans, l’introduction de la nouvelle loi suisse sur la protection des données voit fleurir une offre pléthorique de formations en ligne comme en présentiel. Certaines sont de haut vol. D’autres, de pures arnaques. Mais toutes sont la preuve que la nLPD est avant tout un marché lucratif: «Les PME doivent porter un regard critique sur les formations, avertit Sylvain Métille, avocat lausannois spécialiste de la protection des données, du droit de l’informatique et des technologies.» «Il y a deux catégories d’offres: celles dispensées par les universités et les organisations professionnelles, et puis il y a toute une série de formations douteuses, notamment délivrées en ligne depuis l’étranger.»
Sylvain Métille regrette également la communication, parfois anxiogène pour les PME, autour de la nouvelle loi sur la protection des données: «Un grand nombre de prestataires leur disent que tout va changer. Alors qu’on se situe davantage dans une continuité avec la LPD actuelle et le RGPD. Il y a certes quelques nouveautés en matière d’obligations et de sanctions. Mais le gros du travail devrait déjà avoir été fait par les entreprises depuis 2018.» Prenons l’exemple d’une PME suisse en conformité avec le règlement européen. Que doit-elle adapter pour remplir les conditions de la nLPD? «Il y a deux ou trois changements dans l’information à apporter, souligne l’avocat lausannois. Le droit suisse oblige par exemple l’entreprise à indiquer tous les pays dans lesquels sont traitées les données.»
Des années de retard à compenser
L’avocat rappelle aussi que «le droit européen et le droit suisse sont deux systèmes proches, mais différents. Une entreprise suisse doit donc faire une double lecture pour être en conformité, c’est-à-dire s’assurer que les données qu’elle traite répondent aux exigences du RGPD et de la nLPD. On peut se dire qu’il aurait été plus simple que la Suisse adopte le RGPD, mais c’était politiquement impossible et la nLPD garde un pragmatisme bienvenu.» A Genève, Paul-Olivier Dehaye offre une lecture supplémentaire. Le mathématicien belge et expert dans la question de la gestion des données est aussi le fondateur de Hestia.ai. Cette jeune pousse accompagne les entreprises dans leur compréhension des risques associés à la récolte des données. Elle les aide aussi à mieux valoriser ces informations dans le respect des droits des utilisateurs.
Le constat de Paul-Olivier Dehaye est donc sans appel: «La Suisse a cinq ans de retard au niveau régulatoire sur ses voisins européens. Sauf que, du point de vue économique, elle se doit de rester compétitive. Cette nouvelle loi sur la protection des données n’est rien d’autre qu’une stratégie afin de rester attractive sur le marché européen. Le RGPD a changé la manière de commercer dans l’Union européenne. C’est à la Suisse de s’adapter.» Quid des PME suisses qui semblent un peu perdues? «Pour celles qui découvrent la nouvelle loi sur la protection des données, il y a peu de chances qu’elles comblent leur retard d’ici à septembre. En quelques mois, elles auront tout au plus un constat de la problématique à l’interne.»
Ensuite, elles pourront passer à l’action: «L’un des premiers points d’action est de cartographier les flux de données dans l’entreprise et de maintenir un registre, explique Paul-Olivier Dehaye. Puis la PME doit granulariser son action pour mieux comprendre les secteurs où elle peut mieux agir.» Afin de les accompagner dans ces étapes, Paul-Olivier Dehaye a mis sur pied des formations au sein de Hestia.ai. Les PME suisses ne sont donc pas livrées à elles-mêmes. D’autant plus qu’«il y a une montée en puissance considérable d’experts sur ce sujet en Suisse» Encore faut-il taper à la bonne porte.
Besoin de formations
Au sein de l’agence genevoise eSkills, spécialisée dans la formation e-learning, sa fondatrice, Annick Monnier-Rivkine, s’est adossée à l’expertise de l’avocat Philipp Fischer de l’étude Oberson Abels pour informer les PME suisses de ce changement réglementaire en matière de protection des données. Ensemble, ils viennent de déployer une formation en ligne sur mesure et destinée aux PME, ONG, administrations publiques.
Au milieu de l’océan des formations sur la nLPD, eSkills mise sur des formats courts, dynamiques et attrayants sous la forme d’un serious game: «Le sujet de la protection des données est complexe. Notre métier est d’écouter les bons experts, de vulgariser et de transmettre. Nous voulons offrir l’assurance d’une bonne formation, pertinente et courte.» La formule semble gagnante puisque, depuis sa mise en ligne au printemps, la formation d’eSkills attire tous les secteurs de l’économie, tels que l’industrie, l’assurance ou la banque. Preuve peut-être d’un intérêt et d’une bonne volonté des entreprises pour la protection des données.
250 000
Equivaut au montant maximal des amendes. La nouvelle loi sur la protection des données introduit des sanctions pénales en cas d’infraction. Le directeur des données est tenu responsable à partir de 50 000 francs d’amende.
RGPD
Pour les PME déjà en conformité avec le règlement européen de la protection des données, la nLPD ne sera pas un bouleversement.
Définition
Parmi les nouveautés de la loi, l’extension de la définition des données sensibles aux données génétiques et biométriques (empreintes digitales ou vocales) dès lors que celles-ci permettent l’identification d’une personne.