Une nouvelle loi sur la protection des données (LPD) est entrée en vigueur en Suisse depuis ce 1er septembre 2023. Elle impose des exigences plus élevées aux sites web, aux entreprises et aux particuliers qui manipulent des données clients sensibles. L'objectif est de lutter contre l'augmentation constante des fuites de données et des cyberattaques.
L'urgence de ce projet est illustrée par la récente cyberattaque contre Xplain, une entreprise informatique proche de l'État. Comme nous l'avons appris récemment, des données sensibles de la Confédération ont été rendues publiques. Blick vous explique ce que vous devez savoir sur la nouvelle loi et ce qui va changer pour les PME et les particuliers.
Pourquoi la Suisse avait-t-elle besoin d'une nouvelle LPD?
La première raison est l'ancienneté de la loi sur la protection des données, qui datait de 1992. Aujourd'hui, le monde est de plus en plus connecté grâce aux smartphones et aux médias sociaux. Par conséquent, un énorme flux de données entre et sort du territoire suisse chaque jour. Il convient donc de sécuriser ces données de manière adéquate.
De plus, les clients étrangers souhaitent bien entendu que leurs données soient en sécurité en Suisse. L'UE ayant déjà introduit une loi plus stricte sur la protection des données, la Suisse doit maintenant suivre le mouvement. «Une LPD faible serait désastreuse pour l'économie suisse. Elle conduirait à ce que d'autres pays ne puissent plus partager leurs données avec des entreprises suisses», explique Markus Limacher, chef du conseil en sécurité informatique chez Infoguard.
Qui est concerné par la nouvelle loi sur la protection des données?
En principe, elle s'applique à tout le monde. Mais elle est surtout d'une grande importance pour les entreprises. En effet, elles sont quotidiennement en contact avec des données clients plus ou moins sensibles. La nouvelle LPD vise à mieux les protéger.
Désormais, les propriétaires de PME doivent veiller à ce qu'aucune donnée personnelle ne puisse être dérobée ou utilisée à mauvais escient. En principe, toute personne qui gère un site web ou une entreprise est tenue de protéger correctement ses données.
Que change concrètement la nouvelle loi sur la protection des données?
La nouvelle LPD impose pour la première fois des exigences aux sites web, aux appareils et aux systèmes informatiques – dans la mesure où ils collectent des données clients. Et c'est ce que la plupart d'entre eux font: en effet, dès que l'on doit par exemple indiquer son nom et son adresse lors d'une commande en ligne, le site web collecte des données.
Avec la nouvelle loi sur la protection des données, ces systèmes doivent être programmés dès le départ de manière à ce que les données des clients soient sécurisées (privacy by design). Parallèlement, ce niveau de sécurité élevé doit devenir la norme dans toute la Suisse (Privacy by Default). Les exigences en matière de sécurité des sites web, des programmes informatiques et des appareils deviennent donc plus hautes.
Avec ces mesures, l'objectif est de s'assurer que l'on puisse naviguer sur Internet sans trop craindre pour ses propres données. La protection de la sphère privée devient pour ainsi dire une condition préalable pour toutes les entreprises et tous les sites web.
Quelles données dois-je protéger?
En principe, toutes les données à caractère personnel doivent être protégées. Il s'agit donc des noms, des adresses ou des adresses mail. Les données médicales ou les informations sensibles sur l'appartenance religieuse d'une personne doivent par exemple être particulièrement protégées.
Dans ce cas, une meilleure protection signifie par exemple une authentification à deux facteurs ou un cryptage à plusieurs niveaux. Les exigences changent en fonction de la quantité et de la sensibilité des données stockées.
Que dois-je savoir en tant que personne privée?
Dans la mesure où vous ne gérez pas votre propre site web, rien ne change pour vous en tant que personne privée - si ce n'est que votre sphère privée sera mieux protégée. Si vous gérez un site web ou si vous avez affaire à des données de tiers, vous devez pouvoir garantir leur sécurité. Les spécialistes de l'informatique vous diront comment y parvenir.
C'est d'autant plus important qu'avec le renforcement de la LPD, les particuliers peuvent eux aussi être condamnés à une amende pouvant aller jusqu'à 250'000 francs en cas de manquement ! Le montant de l'amende dépend alors du degré de négligence et de la quantité de données qui ont été insuffisamment protégées ou traitées de manière inappropriée.
Que dois-je savoir en tant que propriétaire d'une PME?
En principe, les PME sont soumises aux mêmes règles que les particuliers. Celui qui gère un site web ou qui a affaire à des données clients est tenu de les traiter de manière confidentielle et de les protéger. Là encore, les experts en informatique peuvent vous aider.
Autre changement: le Préposé fédéral à la protection des données et à la transparence (PFPDT) aura davantage de compétences. Si une entreprise traite des données de manière inappropriée, celui-ci peut désormais intervenir directement et suspendre, limiter ou interdire le traitement des données par voie de décision. Selon l'entreprise, cela implique une suspension de toutes les activités commerciales.
Dans quel cas des sanctions sont-elles prévues?
En principe, des sanctions sont encourues lorsqu'une négligence dans le traitement des données personnelles sensibles peut être prouvée. C'est par exemple le cas lorsqu'un site web n'est pas suffisamment protégé, ou lorsque des données sensibles sont transmises à des tiers sans autorisation.