Certaines dispositions de la nouvelle LPD vont amener les entreprises à faire leurs premiers pas dans la mise en place d’une bonne gouvernance des données. Une démarche essentielle dans l’économie actuelle, où les données représentent un actif stratégique… et une source de risque importante.
La nouvelle loi fédérale sur la protection des données (nLPD) devrait entrer en vigueur à la fin de l’année 2022. Dans les milieux spécialisés, elle a subi quelques critiques pour différentes raisons. Elle ne va peut-être pas assez loin. La faiblesse des sanctions risque de peser sur son application réelle dans l’économie. Mais elle a le mérite d’exister et va dans le bon sens.
Dans cet article, je détaille 4 aspects qui auront selon moi les conséquences concrètes les plus importantes pour les entreprises:
Au risque de vous surprendre, ces 4 dispositions ont en fait un impact très positif: elles vont pousser les entreprises à jeter les bases d’une bonne gouvernance des données. De nos jours, c’est essentiel pour entretenir la confiance de ses clients ou de ses administrés, mais aussi souvent pour préserver un avantage concurrentiel lié à la qualité revendiquée d’un service ou d’un produit.
Le registre des activités de traitement
Sous l’ancienne LPD, les fichiers de données mis en place devaient être déclarés au Préposé fédéral à la protection des données, mais seulement dans certains cas… qui laissait un peu de place à l’interprétation.
La nLPD clarifie la situation: que vous soyez responsable de traitement ou sous-traitant, dès que vous traitez des données personnelles, vous devez tenir un registre des activités de traitement. C’est également le cas dans le règlement général sur la protection des données européen (RGPD).
Quand bien même des exceptions existent - pour les entreprises de moins de 250 collaborateurs et dont les traitements ne présenteraient qu’un risque limité - l’immense majorité des entreprises et des collectivités publiques de Suisse ont tout intérêt à mettre en place de tels registres.
Qu’est-ce qu’un registre de traitement?
Le registre de traitement est une sorte de descriptif des traitements réalisés. Il contient des informations qui permettent de savoir quelles données personnelles sont traitées, par qui et pourquoi. En examinant le registre, le Préposé devrait pouvoir assez vite juger si le traitement est conforme aux conditions légales.
Que contient le registre de traitement?
Il ne contient pas les données elles-mêmes. En revanche, on y retrouve en grande partie les indications qui doivent être communiquées à l’ayant-droit qui demande une copie des informations à son sujet:
l’identité du responsable du traitement
la finalité du traitement
une description des personnes concernées
une liste des catégories de données traitées
les destinataires avec lesquels les données sont partagées
le délai de conservation des données
les mesures de sécurité appliquées
les États vers lesquels les données sont susceptibles d’être transférés
Pourquoi l’obligation de tenir un registre de traitement est une bonne chose?
L’obligation de tenir un registre de traitement va vous permettre de regagner de la visibilité sur le contenu de vos systèmes d’information. Parce que pour le mettre en place, il est indispensable de résoudre une foule de questions que personne dans votre entreprise ne s’est probablement posées jusqu’ici:
De quelles données disposez-vous?
Dans quel but?
Où sont-elles conservées et comment?
Sont-elles bien protégées?
Qui peut y avoir accès? … et qui y accède vraiment?
Est-ce que ces données sont personnelles, sensibles, importantes pour votre activité?
Est-ce que la détention de ces données et l’usage que vous en faites est légitime, utile?
Est-ce que vous respectez vos obligations légales?
…
Et la liste peut s’allonger. Mais une fois que vous aurez les réponses à ces questions, vous aurez fait vos premiers pas vers la reprise du contrôle de la situation. Vous aurez en fait initié votre démarche vers une meilleure gouvernance des données.
La visibilité que vous aurez acquise vous permettra de faire des choix. Vous allez peut-être vous rendre compte que certaines données n’ont pas besoin d’être autant protégées que d’autres. Ou décider de détruire des données qui demanderaient un traitement lourd ou coûteux alors qu’elles ne vous servent plus à rien.
Ceci est essentiel non seulement du point de vue de la LPD mais également, voire surtout, pour permettre d’adresser correctement la transformation numérique de votre entreprise. Sans une bonne gouvernance des données, cette transition digitale n’est tout simplement pas réaliste.
Devoirs dans les situations de sous-traitance
Il peut arriver que votre entreprise traite des données personnelles, mais pour le compte d’une autre organisation. Ou que vous fassiez appel à une autre entreprise pour conserver ou traiter des données personnelles que vous avez récoltées. Ces situations peuvent conduire à une relation complexe entre la personne dont les données sont traitées et les multiples intermédiaires qui peuvent intervenir dans le traitement.
Qu’est-ce qu’un sous-traitant dans le contexte du traitement des données personnelles?
Il s’agit d’une entreprise ou d’un organe public qui traite des données pour le compte du responsable de traitement et sur la base de ses instructions.
Quels sont les devoirs du responsable et du sous-traitant?
Comme nous l’avons vu plus haut, le sous-traitant doit lui aussi tenir un registre de traitement.
Le responsable du traitement doit quant à lui s’assurer que son sous-traitant respecte également ses obligations légales. Il est donc préférable et recommandé de régler les obligations des uns et des autres par un contrat écrit.
Le plus important, c’est que le responsable du traitement est en principe le seul à être en relation avec l’ayant-droit des données. Il doit donc assumer les éventuels problèmes et demandes des personnes concernées. En cas de perte de données par le sous-traitant par exemple, il doit juste en informer le responsable du traitement. C’est ce dernier qui notifiera ensuite l’incident auprès du Préposé et, le cas échéant, aux personnes concernées.
Pareil si un client demande à connaître les données personnelles que vous possédez sur lui: si vous êtes un sous-traitant, vous n’avez pas à répondre à cette requête. C’est au responsable du traitement qu’il incombe de le faire. Bien qu’a priori évidente, cette manière de faire n’est pas toujours simple dans la pratique, tant les relations entre les différents acteurs peuvent être complexes.
Pourquoi parler des sous-traitants dans la nLPD est une bonne chose?
Comme on l’a vu, le responsable du traitement et les sous-traitants n’ont pas la même relation avec la personne dont les données sont traitées. L’un et les autres n’ont pas les mêmes obligations à respecter. Le fait que la sous-traitance soit réglée dans la loi clarifie donc beaucoup le rôle de chacun.
C’est important, car cela permet d’éviter qu’un sous-traitant doive assumer des devoirs qui sont ceux du responsable du traitement. Plus de transparence permet aussi aux personnes concernées de mieux mieux savoir auprès de qui faire valoir leurs droits.
Analyse d’impact sur la vie privée
L’analyse d’impact est une démarche introduite par la nouvelle LPD tout comme par le RGPD européen. Lorsqu’on envisage un traitement pouvant présenter certains risques, une analyse préalable permet de s’assurer que les impacts sur la vie privée des personnes concernées seront aussi réduits que possible.
Pourquoi réaliser une analyse d’impact sur la vie privée?
L’analyse d’impact sur la vie privée permet d’évaluer la nécessité et la proportionnalité d’un traitement qui est prévu. Elle va aussi déterminer si ce traitement peut engendrer des risques pour les droits et les libertés des personnes concernées. Si c’est le cas, le responsable du traitement devra mettre en place des mesures pour réduire ces risques.
Quand faut-il faire une analyse d’impact?
Une analyse d’impact doit être effectuée avant la mise en place d’un traitement, si ce traitement peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
C’est notamment le cas si les données traitées sont sensibles ou si le traitement doit se faire à grande échelle.
Conformément au principe de protection dès la conception, l’analyse est faite avant que le traitement ne soit réalisé. Ainsi, si le traitement implique un développement informatique par exemple, vous partirez tout de suite sur de bonnes bases. Et vous pourrez par exemple éviter que le projet ne demande des investissements tardifs ou une explosion des coûts de sécurité. C’est souvent ce qui arrive quand on omet de se poser les bonnes questions dans le bon ordre.
Exemple d’analyse du risque (source cnil.fr)
Que contient une analyse d’impact?
Une analyse d’impact doit contenir:
une description du traitement envisagé et de ses enjeux
une analyse de la nécessité et de la proportionnalité du traitement
une évaluation des risques pour la vie privée des personnes concernées
une liste des mesures permettant de prévenir ces risques et sécuriser les données
Pourquoi réaliser une analyse d’impact est une bonne chose?
L’analyse d’impact permet à votre entreprise d’obtenir une visibilité complète sur les problèmes potentiels et les risques liés à un nouveau traitement. Ainsi, vous pourrez décider d’aller de l’avant en toute connaissance de cause, par exemple en adoptant des mesures de sécurité adaptées (ni trop, ni trop peu) ou en validant un certain niveau de risque.
Devoir d’annonce en cas de violation de la sécurité
C’est l’un des progrès les plus intéressants apportés par la nouvelle LPD: l’entreprise devra désormais annoncer des incidents tels que le vol ou un accès non autorisé à des données personnelles.
C’est évidemment très positif pour les personnes concernées en ce qui concerne la transparence, mais vous allez voir que cela a aussi des conséquences intéressantes pour l’entreprise elle-même.
Qu’est-ce qu’un incident dans le contexte de la sécurité des données?
La nLPD parle en fait de violation de la sécurité des données. Cette notion regroupe tout problème accidentel ou illicite concernant les données personnelles:
destruction
perte
modification
divulgation
accès non autorisé
Quels incidents doivent être annoncés et à qui?
L’obligation d’annonce n’est valable que si la violation de la sécurité entraîne un risque élevé pour la personnalité ou les droits des personnes concernées. Dans cette situation, l’incident doit être annoncé au Préposé dans les meilleurs délais. L’incident peut aussi devoir être annoncé aux personnes concernées si le Préposé le demande ou si c’est nécessaire pour leur protection.
Si l’incident se produit chez un sous-traitant, celui-ci doit obligatoirement l’ annoncer au responsable de traitement, même si la violation ne provoque pas un risque élevé.
Que contient l’annonce d’un incident?
La notification doit contenir plusieurs informations, a minima:
une description de la violation: vol de données, accès non autorisé, etc.
les conséquences pour les personnes concernées
les mesures prises (ou prévues) pour remédier au problème
Pourquoi l’obligation d’annoncer un incident est une bonne chose?
Parce que vos clients attendent une certaine transparence sur la manière dont vous traitez leurs données, respectivement doivent pouvoir prendre des mesures de protection en cas de problème.
Savoir quelles données personnelles ont été dérobées ou quels identifiants ont été compromis doit leur permettre d’agir. En surveillant leurs emails et augmenter leur vigilance vis-à-vis de messages douteux, ou tout simplement pour savoir quels mots de passe doivent être changés.
Un responsable de traitement qui démontre sa capacité à contenir et gérer correctement une violation de sécurité gagne en crédibilité et limite grandement les dégâts d’image liés à ce genre de crise. A l’inverse, si la communication est fausse, improvisée ou lacunaire, le coût de l’incident n’en sera que plus élevé.
Un Impact positif sur la gouvernance des données
Il faut être réaliste: pour un très grand nombre d’entreprises suisses, le sujet de la protection des données représente un grand flou. L’entrée en vigueur de la nouvelle LPD va donc les forcer à s’intéresser au sujet.
Comme je vous l’ai montré dans cet article, certaines dispositions vont pousser ces entreprises à se poser les bonnes questions, à regagner de la visibilité sur les données en leur possession. Et cela représentera un premier pas bienvenu vers une meilleure gouvernance des données.
Pourquoi c’est essentiel? - Parce qu’il est grand temps que les entreprises réalisent que les données, c’est d’abord l’affaire du patron. Pas seulement de l’IT.
Stéphane Droxler
Parlons de vos données
Si vous avez lu cet article jusqu’au bout, c’est sans doute que le sujet des données vous intéresse. Vous souhaitez peut-être savoir par quel bout empoigner le problème? Ou trouver la bonne manière d’aborder cette thématique avec votre Direction ou votre Conseil d’administration?
Je vous offre un appel de 30 minutes pour examiner ces questions avec vous. Sans engagement.