C’était le thème de la formation proposée par la Chambre vaudoise du commerce et de l’industrie (CVCI) et animée par François Charlet, Chief Privacy & Data Protection Officer à la Vaudoise Assurances, lors d’une manifestation organisée le 21 juin 2023.
Titulaire d’un master en droit de l’Université de Lausanne, François Charlet est un expert reconnu de la nouvelle loi sur la protection des données. Il a effectué les adaptations nécessaires au sein de la Vaudoise Assurances, et a également écrit un livre – sous forme de guide pratique – qui regroupe tous les éléments à mettre en place pour répondre à cette nouvelle réglementation. Celle-ci entrera en vigueur le 1 er septembre 2023 en Suisse. L’ouvrage de François Charlet se distingue par un vocabulaire accessible à tous, facilitant la mise en pratique des adaptations.
Le contexte
La LPD a pour but de protéger l’individu en protégeant ses données.
Que font les diverses entreprises et entités publiques ou privées de nos données ? Les revendent-elles ? Les utilisent-elles et si oui, à quelles fins ? Que se passe-t-il quand l’on regroupe des éléments sur une personne et quelles en sont les conséquences ?
Imaginons qu’un médecin revende nos données personnelles à notre assurance, à un futur employeur ou encore à un banquier. Leurs décisions pourraient être influencées par ces éléments qu’ils n’étaient pas supposés obtenir.
Le but est de garantir que ce qui ressort de notre sphère privée, reste privé !
Pour qu’une donnée soit sujette à la LPD, elle doit être liée à un individu reconnaissable. Par exemple :
- « François Bouteiller chez Adlatus » est une donnée personnelle, parce qu’il n’y a qu’un seul François Bouteiller chez Adlatus.
- Idem si l’on parle du « Président d’Adlatus » : il est identifiable.
- Par contre, « François Bouteiller » sur Google n’est pas une donnée personnelle, parce que l’on ne peut pas identifier de quel François Bouteiller on parle.
Ce qui signifie que le contexte est important et change le champ d’application de la LPD.
Les données dont nous allons parler sont des données personnelles identifiables qui font l’objet d’un traitement spécique.
Le traitement
Par « traitement » des données, il faut comprendre toutes les opérations relatives à des données personnelles, quels que soient les moyens et procédés utilisés, notamment :
- La collecte
- L’enregistrement
- La conservation
- L’utilisation
- La modification
- La communication
- L’archivage
- L’effacement ou la destruction de données
En résumé, tout !
Qui est responsable ?
Est responsable toute personne qui assume une responsabilité quant aux traitements sur des données personnelles.
Que doivent faire les entreprises en priorité pour s’adapter à cette nouvelle réglementation ?
- Comprendre ce qu’implique un incident pour une société : Imaginons qu’une clinique privée se fasse voler les dossiers de tous ses patients : elle devra mobiliser de nombreuses ressources internes pour calmer et rassurer les différentes personnes concernées, mais également s’appuyer sur des compétences externes (professionnels de la gestion de crise, experts en communication) pour traverser la grave crise qu’un tel incident provoquerait. Le coût lié à la perte de la clientèle et au dégât d’image consécutif à un tel scandale serait difficilement quantifiable, et dans tous les cas il serait exorbitant. De plus, tout individu qui soupçonne que votre société détient des données personnelles sans son autorisation peut vous demander de dissiper ses doutes ou de lui fournir des éléments précis sur l’utilisation de ses données. A partir du 1 er septembre, nous serons tous tenus d’y répondre.
- Savoir exactement qui fait quoi ! Savoir qui traite quelle donnée et pourquoi, vous permettra de prendre les bonnes décisions pour adapter vos processus internes, et ainsi protéger la pérennité de votre société.
Pour l’instant, on stocke, copie, archive sans réellement savoir où finissent les éléments. On ne sait pas non plus ce qu’il faut supprimer ou non. Alors on garde presque tout et c’est précisément ce qui met en danger les sociétés.
Les grands changements :
- Pour les entreprises de plus de 250 collaborateurs Création d’un registre des traitements qui indique, pour chaque activité, qui gère quelles données personnelles, dans quel but.
- Pour toutes les entreprises Création d’une déclaration de protection des données, expliquant de manière factuelle et précise les éléments suivants :
- Comment les données sont-elles collectées ?
- Comment sont-elles utilisées, et dans quels buts ?
- Avec qui sont-elles partagées ?
- Comment sont-elles sécurisées ?
- Combien de temps sont-elles conservées ?
…
Ces éléments sont à mettre à disposition des différentes personnes concernées.
Les règles de la protection des données sont également applicables aux données librement accessibles : ce n’est pas parce qu’une personne dévoile des informations sur internet que ces dernières peuvent être utilisées sans son accord.
À partir du 1ᵉʳ septembre 2023, nous sommes tenus d’informer chaque personne dont nous détenons des données personnelles de l’usage que nous comptons en faire. Si la personne refuse, nous sommes dans l’obligation de supprimer ces éléments. Le tri et la gestion des données deviennent donc particulièrement importants : il n’est pas nécessaire de tout garder ; plus les processus sont clairs, plus ce sera facile de savoir où se trouvent les éléments sensibles et pourquoi.
Il existe encore de nombreux points d’adaptations et nous vous invitons fortement à vous pencher sur le sujet pour éviter des mesures ou sanctions qui pourraient fortement compromettre vos activités.
Les mesures ou sanctions
- Mesures administratives du Préposé fédéral à la protection des données et à la transparence, qui peut par exemple vous interdire de traiter des données, ou même vous obliger à les supprimer.
- Sanctions pénales qui visent les personnes physiques prenant des décisions dans l’entreprise.
- Procédures civiles qui demandent des dommages et intérêts.
Chez Adlatus Léman, nous sommes là pour vous accompagner dans la gestion de ce thème particulièrement sensible, notamment en vous accompagnant dans une analyse des risques liés au traitement de vos données. Le but est de protéger vos clients, fournisseurs, partenaires, collaborateurs contre les cas suivants :
- Perte de confidentialité.
- Vol d’identité ou utilisation frauduleuse des données.
- Impossibilité ou difficulté pour les personnes concernées d’accéder à des produits ou services, ou de s’en servir.
- Dommage financier ou économique, ainsi que tout autre désavantage similaire, y compris un désavantage social.
- Atteinte à la vie, à l’intégrité physique, à la liberté de mouvement.
- Discrimination.
- Réidentification des personnes concernées à partir de données pseudonymisées ou anonymisées.
- Atteinte à l’honneur, à la réputation, au droit à l’image, à la vie affective, à la piété filiale, à la vie intime ou à la vie privée.
Certains éléments de notre article ont été repris de la présentation de François Charlet et nous vous recommandons fortement d’acheter son guide pratique pour mieux comprendre cet univers complexe.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!