Nouvelle loi fédérale sur la protection des données: les commerçants doivent agir maintenant

Avec l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données, d’importantes règles du jeu vont également changer pour le commerce. Et le non-respect de ces dispositions pourra désormais coûter cher. Les entreprises doivent donc agir dès maintenant.

La nouvelle législation sur la protection des données devrait entrer en vigueur le 1^er septembre 2023. Les commerçants de Suisse doivent ainsi s’intéresser de plus près au thème de la protection et de la sécurité des données, comme le font déjà les entreprises d’autres pays européens. La loi suisse sur la protection des données est en effet très étroitement liée au Règlement général européen sur la protection des données (RGPD), qui est en vigueur depuis un certain temps déjà.

Ce qu’exige la loi

En bref, la loi révisée exige que:

• Les entreprises doivent prendre des mesures techniques et organisationnelles appropriées afin de garantir une sécurité des données adaptée au risque. Les mesures doivent garantir au mieux la confidentialité, l’intégrité et la disponibilité des données personnelles. Ce que signifie «approprié» dépend de la probabilité d’occurrence d’un incident et de l’importance du préjudice subi par la personne concernée. De manière générale, on peut le formuler ainsi: les exigences en matière de mesures augmentent avec la sensibilité des informations traitées.
• Comme les tentatives d’attaque des criminels changent et que le paysage informatique évolue constamment, les mesures prises doivent être régulièrement contrôlées et adaptées si nécessaire.
• Les principes de «Privacy by Design» et de «Privacy by Default» sont repris du RGPD, ce qui signifie qu’il faut veiller, dès le développement et l’acquisition de solutions techniques, à ce que le moins de données personnelles possible soient traitées. Et qu’elles soient également protégées selon l’état actuel de la technique.
• S’il faut s’attendre à ce qu’une personne concernée subisse des inconvénients majeurs en cas de violation de la protection des données, l’entreprise doit effectuer et documenter une analyse d’impact sur la protection des données avant d’introduire un traitement de données personnelles. Ces informations particulières concernent par exemple des données relatives à la santé ou à la situation financière. Il doit être démontré quelles mesures sont prises afin d’exclure le risque. Et tout cela doit également être documenté.
• En cas de violation de données et s’il existe un risque que des données personnelles soient ou aient été compromises, ce qui implique un risque pour les personnes concernées, la loi stipule que l’entreprise doit annoncer le plus rapidement possible les violations de la sécurité des données au Préposé fédéral à la protection des données et à la transparence («PFPDT»). En cas de doute, mieux vaudrait annoncer des violations graves une fois de trop que pas assez. Par ailleurs, outre la notification au PFPDT, les entreprises doivent également informer directement les personnes concernées par la violation de la sécurité des données. Si des tiers non autorisés parviennent à obtenir, par exemple, des mots de passe et des données de clients, et si en plus ces données comprennent des informations de paiement, il s’agit là d’un incident qui rend la notification obligatoire. Indépendamment du fait qu’il s’agit d’une attaque ou d’une négligence de la part de l’entreprise.

Menace de lourdes sanctions

Les violations de la protection et de la sécurité des données ont toujours eu un coût. L’arrêt d’une boutique en ligne suite à une attaque informatique a des effets directs sur le chiffre d’affaires. Et si l’incident en vient à être connu, la réputation de l’entreprise sera entamée, ce qui peut entraîner également une baisse du chiffre d’affaires. Contrairement au droit actuel, la violation intentionnelle (y c. la négligence) de la sécurité des données est passible de sanctions pénales avec des amendes pouvant aller jusqu’à CHF 250’000.-. Particularité suisse, les amendes ne sont pas prononcées contre l’entreprise. En revanche, les sanctions pénales sont plutôt dirigées contre la personne responsable de la violation de la protection des données.

C’est donc précisément sous l’angle de la condamnabilité que les entreprises commerciales devraient agir davantage.

Attention à l’externalisation et à l’exportation des données!

Afin de mettre en œuvre les mesures techniques et organisationnelles déjà mentionnées, il est conseillé, si cela n’a pas encore été fait, d’établir un registre de «l’inventaire des données», ce que prévoit explicitement la loi sur la protection des données. On peut ainsi voir à quels endroits les données relatives à une personne sont enregistrées et traitées.

La plupart des boutiques en ligne ont recours à des éléments techniques fournis par des tiers (p. ex. des outils de gestion de la newsletter, des systèmes de paiement, etc.). Le traitement et le stockage des données ne sont donc pas effectués par l’entreprise elle-même. Néanmoins, le commerçant reste responsable de la sécurité des données. Il convient donc de conclure des contrats avec tous les prestataires de services externes pour ce «traitement de mandat», par le biais d’un contrat de sous-traitance standardisé (CST) sur le modèle européen, aussi appelé en anglais «Data Processing Agreement» (DPA). Tous les prestataires de service sérieux et dignes de confiance devraient entre-temps déjà avoir préparé de tels contrats.

Si les systèmes du fournisseur sont situés à l’étranger et si, par exemple, le service de newsletter a son siège en dehors de la Suisse, il s’agit alors d’une exportation pour le traitement des données. Il faut noter que le PFPDT tient une liste des pays dont la législation offre un niveau de protection adéquat. Il s’agit notamment des États membres de l’Espace économique européen (EEE), de la Grande-Bretagne, du Canada, d’Israël et de la Nouvelle-Zélande. Concrètement, cela signifie que s’il n’est pas possible de faire traiter les données sur un serveur situé dans l’un des pays mentionnés, il convient de renoncer au traitement dans ce pays car l’exportation des données n’y est pas autorisée.