La LPD, la loi suisse révisée sur la protection des données, met l’accent sur le respect de la vie privée des individus, elle vise à harmoniser la protection des données à caractère personnel dans tout le pays et à l’adapter à la législation européenne. L’objectif principal de cette loi est de donner la possibilité aux résidents suisses d’avoir le contrôle sur leurs informations personnelles utilisées par les entreprises et les collectivités afin d’éviter que certains risques se produisent, comme un vol d’identité par exemple.
Les entreprises et les administrations mettent en place des mesures de sécurité pour se protéger des risques pouvant peser sur leur organisation, leurs activités et leur business. Cependant ces mesures de sécurité ne protègent pas forcément les citoyens suisses, comme le prévoit la loi. Nous reportons ci-après l’article premier de la LPD qui précise son objectif premier à savoir de « protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement ».
A ce sujet, la première difficulté que rencontre une organisation dans l’application de la LPD est la détermination du périmètre. Car le risque comme défini par la loi peut concerner les individus comme un employé, mais aussi un client, un fournisseur ou encore un patient lorsqu’il s’agit d’activités dans le domaine de la santé par exemple.
L’ordonnance sur la protection des données aide les organisations, en indiquant dans son article 2 que les organisations doivent mettre en place des mesures techniques et organisationnelles pour que les données traitées :
a. Ne soient accessibles qu’aux personnes autorisées (confidentialité) ;
b. Soient disponibles en cas de besoin (disponibilité) ;
c. Ne puissent être modifiées sans droit ou par mégarde (intégrité) ;
d. Soient traitées de manière à être traçables (traçabilité).
Tout comme le RGPD indique dans son article 4 qu’une violation de données à caractère personnel est une violation de sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. (Art 4 RGPD). Le RGPD constate aussi la nécessité de traçabilité dans son principe d’accountability.
Les risques ainsi énoncés sont communs aux lois suisse et européenne quant’aux nécessités de sécurité qu’ont les organisations pour protéger leur systèmes informatiques et stratégiques par exemple.
A ce niveau d’analyse, il convient de définir avec précision les risques concrets que peuvent subir les personnes physiques suite à une fuite de données ou un problème de disponibilité, d’intégrité ou d’absence de traçabilité de leurs données à caractère personnel présentes dans une organisation.
Voici une liste d’exemples précis avec l’indication des impacts qui peuvent être de nature matérielle, corporelle ou morale, voire psychologique.
En premier lieu, dans l’ordre de gravité, les risques sont considérés négligeables. Ce sont généralement ceux qui créent des désagréments qui peuvent être surmontés sans difficulté avec un impact comme une simple contrariété par rapport à une information confidentielle qui a été révélée, une perte de temps pour paramétrer des données erronées, pour réitérer des démarches et la réception de courriers non sollicités (ex. : spams).
Le deuxième type de risque, considéré comme limité, correspond à des désagréments significatifs, qui cette fois peuvent être maitrisés mais en présence de difficultés comme par exemple une affection physique mineure (ex. : maladie bénigne suite au non-respect de contre-indications), une absence de prise en charge causant un préjudice minimal mais réel pour les personnes à handicap, une affection psychologique mineure mais objective (diffamation, réputation), des difficultés relationnelles avec un entourage personnel ou professionnel (ex. : réputation ternie, perte de reconnaissance), une intimidation sur les réseaux sociaux, ou encore des couts engendrés en conséquence (ex. : amendes attribuées de manière erronée), des frais supplémentaires (ex. : agios, frais d’avocat), un refus d’accès à des services administratifs ou de prestations commerciales, une promotion professionnelle manquée, un compte à des services en ligne bloqué ou la réception de courriers ciblés non sollicités susceptible de nuire à la réputation (club de rencontres).
En troisième lieu, sont considérés à risque important les situations qui entrainent des conséquences significatives, qui pourraient être surmontées, mais avec des difficultés sérieuses. Ce sont par exemple des altérations corporelles à la suite d’une agression, d’un accident domestique ou de travail, un détournement d’argent non indemnisé, des difficultés financières sérieuses (ex. : obligation de contracter un prêt), des opportunités ciblées et non récurrentes perdues (ex. : prêt immobilier, refus d’études, de stages ou d’emploi, interdiction d’examen), interdiction bancaire, dégradation de biens, perte de logement, perte d’emploi, séparation ou divorce, perte financière à la suite d’une escroquerie (ex. : après une tentative d’hameçonnage – phishing) qui peuvent aussi entrainer des problèmes psychologiques graves.
Enfin l’échelle maximale considérée est le risque qui peut entrainer des conséquences irrémédiables pour une personne telle qu’un handicap physique permanente, un décès, un péril financier, l’impossibilité de travailler ou de se reloger, l’enlèvement, la perte d’un droit familial, le changement de statut administratif ou la perte d’autonomie juridique.
Ces exemples permettent de comprendre de manière plus concrète de quoi parle la LPD et l’enjeu pour les entreprises suisses. Ceci car une organisation qui utilisera des données pour développer son business et chercher des profits financiers devra protéger l’utilisation des données qui lui ont été confiées pour porter à terme sa finalité et en même temps protéger des risques potentiels cités ci-dessus les individus en relation.
Pour mériter la confiance du consommateur, les sociétés suisses doivent donc adopter des mesures de sécurité appropriées par rapport à la gravité de potentiels risques encourus. D’où l’application des principes de la LPD qui ont pour objectif de limiter les risques. Ceci comme le principe de licéité et de bonne foi, finalité et donc utilisation limitée, proportionnalité, exactitude des données et limitation de la conservation.
▪︎ Licéité : Le traitement des données personnelles doit être licite, c’est-à-dire conforme à la loi. Les entreprises et les organisations publiques doivent avoir un motif justificatif pour traiter les données personnelles, telle que le consentement de la personne concernée, l’exécution d’un contrat ou le respect d’une obligation légale.
▪︎ Finalité : Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités. En d’autres termes, les entreprises et les organisations ne doivent pas utiliser les données personnelles à des fins non divulguées ou illégitimes.
▪︎ Proportionnalité : Le traitement des données personnelles doit être adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Les entreprises et les organisations doivent s’assurer qu’elles ne collectent pas plus de données personnelles que nécessaire et qu’elles ne conservent pas ces données plus longtemps que nécessaire.
▪︎ Exactitude : Les données personnelles doivent être exactes et, si nécessaire, mises à jour. Les entreprises et les organisations publiques prennent toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.
▪︎ Limite de la conservation : Les données personnelles sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement.
Si vous êtes responsable d’une entreprise en Suisse ou si vous interagissez simplement avec des résidents suisses, il est essentiel de comprendre les obligations et les responsabilités qui vous incombent en vertu de la LPD.
Fabienne Flesia
👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.