La nouvelle Loi sur la protection des données (nLPD) entre en vigueur le 1^er septembre 2023, sans période de transition. Qui est concerné, de quelles données parle-on et que risque-t-on ?

Un rapide point avec ARC Logiciels et ARC IT, fournisseurs de solutions informatiques à Yverdon. Certifiées Cyber Safe, label recommandé par la Confédération, elles accompagnent les entreprises vers plus de sécurité et un environnement digital conforme à la nLPD.

Quelles entreprises sont concernées par nLPD ?
Toutes les entreprises suisses qui traitent des données personnelles sont en principe concernées, en particulier celles qui collectent et traitent une grande quantité d’informations personnelles ou de données personnelles sensibles. Les sociétés de profilage et celles qui possèdent une boutique en ligne sont également concernées.
A noter qu’avec la nLPD, les personnes physiques sont protégées ; la protection des personnes morales (SA, Sàrl, etc.) est abandonnée.

Quelle est la première mesure à prendre ?
Le premier pas est de faire l’inventaire des données personnelles : le type de données (personnelles ou sensibles), le type de destinataires, la finalité de ces données (collectées dans quel but et que deviennent les données. Sont-elles effacées ou conservées). Ensuite, on mettra en place des mesures sécuritaires adéquates, telles que du cryptage.

Qu’est-ce qu’une donnée personnelle ?
D’après la LPD,  les données personnelles, sont toutes les informations qui se rapportent à une personne identifiée ou identifiable. Elles peuvent contenir des identifiants directs (nom, numéro de téléphone, etc.) ou indirects (qui peuvent révéler l’identité d’une personne lorsqu’ils sont croisés). Les données sensibles sont des données personnelles sur :
– les opinions ou activités religieuses, philosophiques, politiques ou syndicales
– la santé, la sphère intime ou l’appartenance à une race
– des mesures d’aide sociale
– des poursuites ou sanctions pénales et administratives
Si vos données personnelles/sensibles sont rendues anonymes, elles ne sont plus soumises aux réglementations telles que la nLPD, GDPR.

Que risque une entreprise qui ne se conforme pas à la nLPD ?
Les sociétés qui respectent déjà la GDPR sont en principe à jour. Pour les autres, celles qui ne se conforment pas aux nouvelles exigences de la nLPD risquent une plainte pénale et une amende pouvant aller jusqu’à 250’000 francs.
En étant labelisée Cyber Safe, une PME met en place les bonnes pratiques en matière de protection des données. ARC IT vous conseille volontiers dans vos démarches.

Qu’en est-il de mes données personnelles dans le Cloud ou collectées par les logiciels que j’utilise ?
Les données personnelles peuvent être stockées dans n’importe quel système technique pour autant que les exigences en matière de protection des données puissent être respectées. Notre cloud le garantit. Nous garantissons également que nos programmes et processus mis en place protègent les droits fondamentaux des personnes physiques (employés, clients, fournisseurs) dont les données sont traitées. Les mesures techniques et opérationnelles sont appropriées pour garantir la sécurité de vos données. (cf Cyber Safe).

>> Demande d’audit

Sources :

>> https://www.fedlex.admin.ch/eli/cc/2022/491/fr
>> https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protection-des-donnees-nlpd.html

>> https://www.unige.ch/researchdata/fr/stocker/personnelles-sensibles/

>> https://www.rts.ch/info/suisse/14210634-les-pme-se-preparent-aux-exigences-de-la-nouvelle-loi-sur-la-protection-des-donnees.html

TIF