La nouvelle loi fédérale sur la protection des données (nLPD), prévue pour entrer en vigueur le 1er septembre 2023, représente un tournant majeur dans le paysage réglementaire suisse en matière de données.
Le vote de cette loi apporte des modifications substantielles qui toucheront de près toutes les entreprises opérant en Suisse. Parmi les acteurs directement impactés par ces changements, les professionnels des Ressources Humaines se trouvent en première ligne.
Ils sont en effet responsables de la collecte et de la manipulation des données personnelles des candidats et des employés, ce qui les place au cœur des enjeux de protection des données.
Ils devront non seulement comprendre les nuances de la nLPD, mais aussi veiller à ce que les processus de gestion des données au sein de leur entreprise soient conformes à cette nouvelle législation.
Pourquoi une nouvelle loi sur la protection des données en Suisse ?
La dernière fois que le parlement fédéral s’était intéressé à la question de la protection des données personnelles en promulguant un texte c’était en 1992… Soit un an avant que l’Internet, que l’on appelait alors le World Wide Web, ne débarque sur nos écrans dans sa version grand public à coups de bruyants petits modems branchés sur la prise du téléphone.
💡 Il était donc grand temps de redonner un coup de jeune au texte actuel pour qu’il puisse répondre aux nouveaux enjeux induits par la numérisation des échanges et du stockage des données.
😡 En effet, la loi de 1992 sur la protection des données suisses, qui était en vigueur jusqu’à présent, n’était plus adaptée aux nouvelles technologies, telles que le cloud computing, l’Internet des objets ou le Big Data.
👍 L’objectif politique est aussi de doter le pays d’un texte lui permettant de ne pas faire cavalier seul en matière de protection des données et d’épouser les contours du Règlement Général sur la Protection des Données (RGPD), mis en application depuis 2018 dans l’Union européenne. Le RGPD est en effet devenu le texte de référence en matière de protection des données personnelles au niveau mondial.
Quelles sont les principales problématiques auxquelles s’attaque la nLPD ?
Sur Internet, nous laissons tous des traces de notre passage sous forme de données personnelles qui nous décrivent en tant que personnes.
→ Ces bribes d’informations sont utilisées, le plus souvent à bon escient, par les sites web et les entreprises qui les collectent. Mais certaines données, comme notre appartenance religieuse ou notre état de santé, sont plus sensibles que d’autres. Il convient de les manipuler avec soin et d’en conserver la maîtrise à tout moment.
💡 Avec la nouvelle Loi sur la Protection des Données qui entrera en vigueur en septembre 2023, les entreprises, associations et administrations seront obligées dès lors de se poser plusieurs questions importantes dans le cadre du traitement qu’elles font de la data collectée dans le cadre de leurs activités :
- Quels sont les moyens qui sont mis en œuvre pour protéger les données que je collecte dans le cadre de mon activité ?
- Avec qui les données que j’ai collectées sont-elles partagées ? Quelle en est la fréquence et pourquoi ?
- Comment les données sont-elles exploitées par ces tiers ?
Quels sont les principaux changements de la nLPD pour les entreprises ?
Concrètement, pour les acteurs du secteur privé, la nLPD induit de nombreux changements :
1. Seules les données des individus physiques sont désormais couvertes, excluant les données des entités morales.
2. Les données génétiques et biométriques sont maintenant incluses dans la catégorie des données sensibles.
3. Les principes de « Privacy by Design » (protection des données dès la conception) et de « Privacy by Default » (protection des données par défaut) sont instaurés.
💡 « Privacy by Design » signifie que les développeurs (d’un logiciel, d’une application mobile…) doivent intégrer la protection de la vie privée des utilisateurs dans la structure initiale des produits ou services collectant des données personnelles.
💡 « Privacy by Default » assure le niveau de sécurité le plus élevé dès la mise en circulation des produits ou services en activant automatiquement (par défaut) toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation.
4. En cas de risque élevé pour les droits fondamentaux des personnes concernées, des analyses d’impact doivent être réalisées.
5. Le devoir d’informer est élargi, obligeant à informer préalablement la personne concernée lors de la collecte de toutes les données personnelles, et non seulement des données sensibles.
6. La tenue d’un registre des activités de traitement devient obligatoire, bien qu’il existe une exemption pour les PME dont le traitement des données présente un risque limité pour la vie privée des personnes concernées. En clair, toute personne a le droit de savoir à qui ses données personnelles ont été communiquées.
7. Une notification rapide est nécessaire en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT).
8. La notion de profilage, c’est-à-dire le traitement automatisé de données personnelles pour “évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles (article 5) est intégrée dans la loi et il est fortement réglementé voire interdit dans de nombreux cas.
💡 Le saviez-vous ? Dans son article 4, la nLPD redéfinit et élargit la notion de donnée sensible :
Dans l’article 4 (let b et c) on peut y lire “Les données personnelles sensibles sont : les données personnelles sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l’appartenance ethnique, les mesures d’aide sociale, les poursuites ou sanctions pénales ou administratives.”
Quelles sont les principales implications de la nLPD pour les professionnels des Ressources Humaines ?
Vous l’avez compris, la nLPD élargit le champ d’application de la loi à toutes les données personnelles, y compris celles des candidats et des salariés.
📌 Il s’agit donc d’un changement important pour les professionnels RH qui doivent s’adapter à ces nouvelles obligations pour protéger les données des candidats et des salariés. Ils doivent notamment :
- Mettre à jour leurs politiques et procédures de protection des données
- Former leurs équipes sur les nouvelles obligations de la nLPD
- Utiliser des outils et des solutions qui respectent la protection des données
Comment mettre en place une politique de protection des données efficace dans votre entreprise ?
La mise en place d’une politique de protection des données efficace dans votre entreprise est essentielle à la conformité avec la nouvelle loi sur la protection des données en Suisse (nLPD).
Voici trois actions à mettre en place en priorité pour relever ce défi :
1 – Apprenez à connaître et cartographier vos flux de données
Commencez par obtenir une vue globale de tous les processus impliquant des données personnelles au sein de votre organisation. Cette cartographie vous permettra d’identifier les traitements les plus à risque et de prioriser vos actions.
Posez-vous des questions comme :
- Quels types de données récoltons-nous sur les candidats et les salariés ?
- Où ces données sont-elles stockées ? Combien de temps et pourquoi ?
- Comment est utilisée cette data ? ( à quelles fins ? )
- Les données de mon entreprise sont-elles partagées avec d’autres acteurs ? (une mutuelle, un cabinet de conseil, un cabinet de recrutement…)
- Les données sont-elles stockées de manière sécurisée et qui en est responsable ?
2 – Définissez une politique de gestion des données claire au sein de votre entreprise
Une fois les flux de données identifiés, vous devez préciser les règles essentielles en matière de collecte, d’utilisation et de partage de données.
💡 Pour les entreprises de grande taille, l’intervention du Responsable de la Sécurité des Systèmes d’Information (RSSI) et la nomination d’un DPO (Délégué à la Protection des Données) est souvent indispensable.
→ Le RSSI supervise les mesures de sécurité techniques et organisationnelles, tandis que le DPO s’assure de la conformité aux règlements et aux exigences de protection des données.
→ Cette coopération garantit une approche holistique de la sécurité des données et assure un alignement complet avec les réglementations. En cas d’incidents liés aux données personnelles, cette collaboration facilite également une réponse rapide et appropriée.
Assurez-vous enfin que votre politique de gestion des données soit facilement accessible à tous les employés, qu’elle détaille les procédures en cas de violation, et qu’elle encourage une culture de respect de la vie privée au sein de l’entreprise.
3 – Sensibilisez vos collaborateurs aux enjeux de la protection des données
Il est primordial d‘impliquer l’ensemble de vos collaborateurs dans la protection des données. Créez par exemple des programmes de sensibilisation pour expliquer les enjeux de la vie privée et de la protection des données.
💡 Chez nos voisins français, l’opérateur Orange a fait figure de pionnier en matière de protection des données en instaurant une “Charte Éthique de la Data et de l’Intelligence Artificielle”. Le document est rédigé sur un mode collaboratif et des workshops sont régulièrement organisés pour définir les bonnes pratiques en matière de data management.
→ Plus vos équipes comprendront l’importance de ces enjeux, plus elles seront susceptibles de signaler des situations nécessitant l’intervention du DPO. Cette sensibilisation prépare également le terrain pour une approche proactive de la protection des données dès la conception (privacy-by-design) et par défaut (privacy-by-default) dans vos projets futurs.
