Cybernews: nouvelle loi sur la protection des données personnelles

Pas vraiment; en tout cas pas dans un sens strict de catégorisation. Nous sommes en mesure de collaborer avec différents types de clients, notamment en termes de taille. Le « comment » est au cœur de notre approche. Sur la base de l’expérience acquise après nos premiers mois d’activités, nous dirions que nos client·e·s sont avant tout celles et ceux pour chez qui notre philosophie résonne favorablement.

Nous avons à cœur et nous nous efforçons de proposer un accompagnement holistique et transverse, axé sur l’humain et le relationnel. Notre vision est qu’un service satisfaisant et pertinent pour le·a client·e implique que nous soyons connectés avec lui·elle, que l’environnement collaboratif permette une communication fluide, en particulier quant aux besoins. Le « comment » est ainsi au cœur de notre approche. Nous valorisons le travail collaboratif et pouvons accompagner seuls ou proposer une équipe (y compris avec des tiers), en fonction des besoins et attentes du client ou de la cliente.

La réponse stéréotypée est la liste des actions et documents que la LPD et ses ordonnances exigent. Il est vrai qu’elle est relativement longue, en particulier pour les entreprises auxquelles toutes les exigences s’appliquent.

On entend notamment beaucoup parler des aspects suivants:

• «Déclaration en matière de protection des données»: ceci permet d’informer de manière transparente les personnes dont l’entreprise traite les données personnelles des modalités de traitement (le comment, pourquoi, où, etc.);
• «Registre (ou inventaire) d’activités de traitement»: cette liste comprend des informations structurées décrivant ces activités;
• «Transfert de données personnelles à l’étranger»: en résumé, l’entreprise doit s’organiser (juridiquement et techniquement) pour maintenir à l’étranger un degré de protection des données adéquat à celui qui existe en Suisse, un peu comme une « bulle » ou un « tunnel » de protection;
• «Directive / documentation interne»: ceci reflète en quelque sorte les modes d’emploi internes, soit la mise en place des règles au sein de l’entreprise et – surtout – de ses processus, de son organisation et de sa gouvernance.

En lien avec l’organisation et la gouvernance, les mots-clés sont notamment les «Mesures techniques et organisationnelles» qui doivent en particulier assurer:

• La « confidentialité », la « disponibilité », « l’intégrité » et la « traçabilité » des données (C.D.I.T.); et encore
• La protection des données dès la conception et par défaut (privacy by design & by default), qui est une règle de bon sens en matière de projet intégré dans une loi.

Entrent également dans tout ceci les aspects liés à la préparation de la gestion d’événements tels que des violations de la sécurité des données personnelles, des requêtes de personnes concernées soucieuses d’exercer leurs droits, des analyses d’impact lorsque l’entreprise envisage certains traitements de données personnelles ainsi que de bonnes mesures de sécurité pour les données.

À notre sens, avant tout, cela commence par une compréhension de la situation et du but de cette réglementation, pour se détacher autant que possible de la perception selon laquelle il s’agit d’une nouvelle couche de réglementation qui empêchera le business de tourner rond. Comprendre et connaître les données personnelles qu’une entreprise traite entre dans les prérequis d’une productivité efficiente. Imaginons quelques instants que nous revenons à un monde antérieur à la digitalisation et l’informatique:

Dans ce monde, qui serait à l’aise à l’idée d’ignorer où sont ses fiches clients physiques, ses papiers bancaires et financiers? Qui estimerait opportun de renoncer à se préparer à un événement malheureux tel qu’un incendie causant la perte de tous les papiers liés à l’activité, en acceptant par avance le temps de recréation nécessaire? À priori peu de gens, et encore moins des entrepreneur·euse·s ou directeur·rice·s d’entreprises. Dès lors, pourquoi en serait-il différent dans le monde actuel, digitalisé et dématérialisé?

Sur cette base et pour revenir aux implications concrètes de 2023, sensibiliser l’entreprise, soit tous ses collaborateurs et collaboratrices, à la thématique et au nouveau paradigme qui l’accompagne nous semble prioritaire. Les données personnelles constituent de vrais actifs (assets) et les maîtriser, connaître et les protéger est opportun pour les personnes concernées et également les entreprises qui aspirent à une productivité efficiente. Quitte à forcer un peu le trait, il nous semble à certain égard préférable d’avoir des collaborateur·rice·s sensibilisé·e·s et conscient·e·s des enjeux, capables de réagir de manière adéquate sur le terrain, et encore un peu de retard sur certains documents, plutôt qu’une documentation exhaustive que les collaborateur·rice·s peinent à comprendre et ainsi à mettre en œuvre. C’est pour cette raison qu’il nous semble opportun de mener de front la sensibilisation, la communication et la formation interne en même temps que les projets de mise en œuvre des exigences. Ne serait-ce que pour que les collaborateur·rice·s accueillent ces évolutions de la meilleure manière possible.

Enfin, une fois le paradigme compris et accueilli, nous privilégierions une approche globale, en dépassant (si possible, chaque cas pouvant présenter des particularités) les frontières nationales de la LPD pour s’inspirer et mettre en place une conformité inspirée du principal « standard setter » qu’est le RGPD (ou GDPR en anglais) européen. Au-delà de la première réaction potentiellement négative, une telle approche offre de nombreux avantages opérationnels à toute organisation active au-delà des frontières suisses, par exemple en limitant le nombre de processus et documents distincts et ainsi les contraintes de suivi et mises à jour.