Pourquoi une nouvelle loi LPD ?

Depuis les années 90, les nouvelles technologies ont changé nos habitudes sociales et nos manières de communiquer. Si les données personnelles étaient déjà, il y a 30 ans, utilisées pour le démarchage ou le ciblage marketing, elles constituent aujourd’hui le cœur de nombreuses plateformes.

Big Data, cloud computing, domotique, réseaux sociaux… La LPD nécessitait un renforcement concernant l’exploitation des données utilisateurs et une plus grande transparence sur leur collecte et leur utilisation.

Mais la révision de la LPD est aussi une décision économique qui vise à harmoniser la législation suisse avec l’UE pour faciliter les échanges de données. Rassurer la Commission européenne sur le niveau de protection des datas récoltées facilitera les échanges, l’import/export de produits ou la prestation de services.

Que change la nouvelle loi sur la protection des données (nLPD) ?

Le Conseil national et le Conseil des États se sont penchés en 2020 sur la législation suisse en matière de protection des données. Sur de nombreux aspects, la nLPD s’est alignée sur la RGPD, le règlement européen sur la protection des données, bien qu’elle reste plus souple pour les PME.

Ces changements visent en partie à mieux encadrer la collecte des données pour éviter les fuites et violations de données. 

Les entreprises doivent dorénavant décrire précisément leurs mesures de sécurité :

• Authentification des outils

• Accès à des tiers

• Utilisation d’antivirus, de pare-feu

• Cloisonnement des réseaux

• Formation des équipes

• Détection d’opérations inhabituelles

• Analyse des vulnérabilités, etc.

Plus qu’une mise à jour technologique, la LPD vise à sensibiliser les entreprises sur la gouvernance des données, leur niveau de cybersécurité et leur responsabilité numérique.

De ce fait, certains secteurs, comme les entreprises qui exploitent des données génétiques ou biométriques, devront accroître leur niveau de protection et procéder à des analyses d’impact. Celle-ci est obligatoire si le traitement des données constitue un risque pour les droits ou la sécurité de la personne concernée.

La transparence est aussi au centre des nouvelles dispositions. Si le devoir d’information des entreprises concernait jusque-là exclusivement le traitement des données sensibles, celui-ci s’étend dorénavant à tout type de données. 

La durée, la finalité de cette collecte et l’État destinataire en cas d’exportation doivent être explicités. Un responsable de traitement devra aussi être nommé dans chaque entreprise et un registre des activités de traitement devra être tenu.

Le profilage à risque élevé est aussi mieux réglementé. Cela concernera les entreprises qui, pour des motifs de prospection ou de calcul des risques par exemple, évaluent certains aspects personnels d’un individu : santé, situation économique, caractéristiques sociodémographiques, etc.

Si une violation de la sécurité des données est détectée, qu’elle soit accidentelle ou intentionnelle, les entreprises ont désormais l’obligation d’en avertir le Préposé fédéral à la protection des données et à la transparence (PFPDT). Celui-ci pourra alors procéder à des vérifications et des recommandations auprès de l’organisme concerné.

Enfin, la Privacy-by-Design et Privacy-by-Default est de règle, ce qui impacte notamment les agences digitales. Cette mesure vise à tenir compte de la protection des données utilisateurs dès la conception d’une application.

LPD et la gestion des cookies en Suisse

Tout comme le RGPD dans les pays de l’Union européenne, la nouvelle loi sur la protection des données impacte la gestion des cookies. 

Un cookie est un petit fichier déposé, lors de la consultation de certains sites web, sur le dispositif de l’internaute. Il permet de conserver des informations en vue d’une connexion ultérieure et de proposer des services personnalisés basés sur le comportement de navigation.

Il existe quatre types de cookies : 

• Les cookies techniques (qui incluent notamment les cookies de mesure d’audience).

• Les cookies d’applications tierces utilisées sur un site web (par exemple, les réseaux sociaux).

• Les cookies publicitaires déposés par des partenaires commerciaux des sites que vous visitez.

• Les cookies optionnels qui permettent de personnaliser l’expérience de navigation de l’internaute en suggérant des contenus qui répondent à ses centres d’intérêt.

Avec la LPD, l’installation de ces cookies doit désormais être clairement mentionnée à l’aide d’une bannière et faire l’objet d’un consentement libre et éclairé de l’internaute. En d’autres termes, chaque catégorie de cookie doit être détaillée dans une page spécifique (politique de cookies, politique de confidentialité ou LPD). 

Les informations fournies à l’internaute doivent être complètes : nom du cookie, finalité, type de cookie (propre ou tiers), durée de vie. L’internaute est libre d’accepter ou de refuser l’ensemble de ces cookies, mais aussi chaque catégorie séparée. Cette politique de cookies doit être limpide et accessible dans toutes les langues proposées par le site web.

Concrètement, cela implique pour les entreprises de mettre à jour leur politique de collecte des données, mais aussi leurs outils (bannière et analytique). Chez FirstPoint, nous accompagnons les professionnels dans cette démarche LPD et les aidons à mettre à jour leurs applications digitales avec l’intégration d’un outil dédié.

Notre équipe déploie la solution LPD compliance Illow sur toutes vos plateformes web et configure vos outils de monitoring en ce sens. Si vous utilisez Google Universal Analytics, c’est un bon moment pour procéder sans encombre à la migration vers GA4, plus respectueuse aussi des données utilisateurs. 

Vous répondez ainsi à vos obligations légales tout en vous appuyant sur des outils agiles qui facilitent votre quotidien.

Comment se mettre en conformité avec la LPD en 2023 (RGPD Suisse) ?

Certaines règles, comme le principe de transparence, de consentement et de non-divulgation des informations sensibles, ne changent pas. En revanche, le nouveau cadre imposé pour la LPD va nécessiter pour certaines entreprises une véritable transformation numérique.

Les chef(fe)s d’entreprises ont le devoir de préparer leurs équipes, de mettre à jour leurs outils et leurs process internes pour garantir la conformité de leur organisation :

• Tracer tous ses flux de données, leur utilité, leur durée de rétention et leur accessibilité.

• Assurer la protection de son réseau d’entreprise et sécuriser les accès.

• Tenir un registre des activités et garantir la portabilité des données.

• Déterminer tous les scénarios (traitement des données, violation, analyse d’impact) en interne, former ses équipes et nommer un responsable de traitement.

• Vérifier la transparence de l’entreprise quant aux informations collectées, qu’elles concernent les internautes, les clients ou les partenaires dans le cadre d’un contrat de sous-traitance, par exemple.

Les entreprises qui se seront déjà mises en conformité avec la RGPD pour des questions de confiance et de transparence commerciale auront finalement peu d’actions à entreprendre.

Bien que facultatif, nous conseillons aux entreprises de se faire accompagner par un conseiller à la protection des données, surtout si vous traitez des données sensibles. Le non-respect de la nLPD expose en effet à des amendes sévères allant jusqu’à 50 000 CHF. 

Par ailleurs, la mise à jour de vos outils d’entreprise et de toutes vos applications web peut nécessiter l’intervention de techniciens spécialisés. Notre agence digitale située à Lausanne accompagne de nombreux professionnels du canton de Vaud dans leur stratégie de visibilité locale et en ligne. Nos développeurs prennent en charge les technologies les plus variées (CRM, ERP, CMS, réseaux sociaux, etc.) et entreprennent une démarche Privacy-by-Default depuis plusieurs années déjà.

Vous souhaitez un audit LPD de vos outils ? Vous avez un cahier des charges à nous soumettre ? Contactez notre équipe ! Nous serons ravis de vous accompagner dans votre transformation digitale.

Pour en savoir plus: