Nouvelle loi sur la protection des données - Découvrez ce que Globaz peut faire pour vous

27.04 2023

Loi sur la protection des données

Du RGPD européen à la nLPD suisse

Le règlement général sur la protection des données (RGPD) est un gardien redoutable des données et de la vie privée des résidents de l'Union européenne (UE). Le règlement accorde aux européens un plus grand contrôle sur leurs données et leur vie privée et impose aux organisations des normes strictes sur la manière dont elles collectent, stockent et traitent les données des consommateurs.

Mais le RGPD n'est pas réservé aux entreprises de l'UE : toute entreprise, dans n'importe quel pays, qui traite les données d'un résident de l'UE est soumise à son autorité y compris les entreprises suisses dès lors qu’elles manipulent des données personnelles provenant de l’UE.

Un rapport d'évaluation achevé en mai 2020 montre que le RGPD est sur la bonne voie pour atteindre son objectif - renforcer les droits des citoyens à la protection des données et à la vie privée - bien que quelques domaines soient cités comme pouvant être améliorés.

La nouvelle loi sur la protection des données (nLPD) de la confédération reprend les concepts du RGPD de l'Union européenne (UE) tout en intégrant certaines différences bonnes à savoir. C’est pourquoi swissprivacy.law a créé un tableau comparatif complet entre ces deux législations que nous vous invitons à consulter. C’est à partir du 1er septembre 2023 que la nLPD entrera en vigueur. Ne minimisons pas son importance ! Cette loi vise en premier lieu à garantir la vie privée de nos concitoyens, à garantir leur liberté ; mais elle est aussi un texte clé donnant potentiellement accès aux entreprises suisses aux données des 450 millions de consommateurs européens tant que la confédération bénéficie de la décision d’adéquation[1] européenne.

Jetons un coup d'œil sur le chemin parcouru par ces textes et sur la direction qu'ils prennent. Nous verrons également comment Globaz pourra aider les responsables de la protection des données de leurs clients à se conformer à l'un ou l'autre des règlements, voire aux deux.

Des impacts positifs

A terme ces textes vont aider les citoyens suisses, comme ceux de l'UE, à prendre conscience de leurs droits en matière de confidentialité des données et leur permettre d'en prendre le contrôle. Selon une enquête de l'Agence des droits fondamentaux de l'UE, 69 % de la population âgée de plus de 16 ans connaissent le RGPD et 71 % connaissent leur autorité nationale de protection des données.

En se basant sur le retour d'expérience du RGPD on constate qu’il a participé à mieux préparer l'Union Européenne aux complexités de la confidentialité des données et aux risques inhérents à l'évolution de la technologie dans un monde qui continue de s'orienter vers une plus grande numérisation. Le rapport a révélé que les citoyens trouvaient ces innovations plus dignes de confiance, notamment grâce à une approche fondée sur le risque et à des normes telles que la protection dès la conception (security by design) et par défaut (security by default).

En outre, les données suggèrent que des efforts plus importants ont été déployés pour utiliser les outils prévus comme les analyses d’impact[2], les clause contractuelles types[3] et les règles d'entreprise contraignantes[4] afin de permettre des traitements et des transferts de données internationaux plus sûrs.

Le coût de la non-conformité

Malgré toute la protection que ces lois offrent aux consommateurs, toutes les organisations ne se sont pas conformées au mandat. De nombreuses entreprises, grandes et petites, en Europe, au Royaume-Uni et aux États-Unis, se sont retrouvées à payer de lourdes amendes pour violation. Le RGPD menace en effet de sanctions : entre 2 et 4 % du chiffre d'affaires annuel mondial d'une entreprise ou entre 10 et 20 millions d'euros, le montant le plus élevé étant retenu, pour chaque infraction. Concernant la nLPD, en cas de violation intentionnelle de ses obligations, le responsable du traitement peut être condamné à une amende s’élevant au maximum à CHF 250'000.

Les petites et moyennes entreprises se sentent seules

Les PME sont plus nombreuses que les grandes sociétés, mais elles ont moins de capacités financières et humaines pour s'adapter aux nouvelles réglementations. Un budget plus restreint est un obstacle à la mise en conformité et rend les entreprises plus vulnérables aux sanctions. Les PME ont besoin d'un moyen viable de se conformer aux réglementations. En Europe, bien que 86 % des propriétaires de petites entreprises estiment qu'il est essentiel de se conformer à ces textes, nombre d'entre eux sont déconcertés par ses aspects techniques. Une grande partie des chefs d'entreprise admettent qu'ils ne se sont pas conformés aux exigences centrales de la loi - 40 % d'entre eux indiquent qu'ils se sentent quelque peu susceptibles d'encourir une amende pour non-conformité. 

Si de nombreuses organisations sont familiarisées avec ces nouvelles exigences, il est facile d'imaginer la confusion qui règne parmi celles qui ne se sont pas préparées à ces deux réglementations ! Alors qu'elles apprennent à naviguer entre les menaces qui pèsent sur leurs activités, elles auront besoin de se faire aider pour les guider tout au long du parcours de mise en conformité.

Globaz vous accompagne vers la conformité

Issue de son expérience dans le traitement de grands volumes de données à caractère personnel dans les domaines des assurances sociales, Globaz peut vous accompagner dans la formation, et la mise en œuvre de votre conformité à la nLPD et au RGPD.

Notre plateforme vCISO vous permet d'utiliser tous vos outils, logiciels et systèmes de sécurité informatique actuels pour répondre aux exigences de la nLPD ou du RGPD (ou des deux en même temps). . . tout en maintenant la conformité avec toutes vos autres exigences informatiques, quelle qu'en soit la source. Nos modèles de gestion standard intégrés vous permettent de déterminer rapidement si vous pouvez « cocher les cases » pour chaque contrôle, identifient les lacunes et préparent automatiquement des documents dont vous avez besoin pour vous conformer à la réglementation.

Voici quelques-unes des fonctionnalités dont vous bénéficiez :

  • Évaluations de base rapides - Identifiez rapidement les lacunes où vous n'êtes pas conforme à la loi
  • Évaluations des risques techniques - Évaluation complète des risques pour répondre aux exigences de sécurité du RGPD
  • Liste de contrôle de l'auditeur - Accès facile pour les auditeurs afin de vérifier rapidement la conformité à chaque exigence
  • Plan d'action et jalons - Suivi et gestion des choses que vous devez faire pour devenir conforme
  • Manuel des politiques et procédures - Documentation requise de tout ce que vous devez faire.
  • Documentation et stockage automatisés - Aide à accélérer le processus de révision en cas d'audit ou de poursuite.

Fonctionnalité complète pour gérer la conformité nLPD avec toutes vos autres exigences informatiques. Mieux encore, vous pouvez également suivre tout ce qui concerne votre conformité opérationnelle informatique en même temps et sur le même tableau de bord, quelle que soit la source.

Vous souhaitez plus de renseignements notre plateforme vCISO et notre accompagnement ? N'hésitez pas à nous contacter via le formulaire ci-dessous

Luc Porchon 

CISO chez Globaz depuis avril 2022

Après un BTS en Informatique industrielle en  1989, Luc Porchon évolue pendant une dizaine d'années dans les télécommunications. Il poursuit ensuite sa carrière dans le domaine bancaire pour devenir, en 2008, expert sécurité dans le domaine monétique.

En 2011, il obtient le brevet "Certified Information System Security Professional", une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information et exerce pendant plus de 6 ans le poste de responsable sécurité des systèmes d'information pour un grand groupe français. Il enchaine ensuite avec le poste de responsable de la protection des données et comme consultant senior en cybersécurité.

[1] Une «décision d'adéquation» est une décision adoptée par la Commission européenne sur la base de l'article 45 du RGPD, qui établit qu'un pays tiers (c'est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel.

[2] L’analyse d’impact est un outil qui permet de construire un traitement conforme et respectueux de a vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées. 

[3] Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

[4] Les règles d'entreprise contraignantes (ou Binding Corporate Rules (BCR) en anglais) désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne..