La table ronde EDI 2023 organisée le 30 juin dans la salle du Grand Conseil de Lucerne a été placée sous le signe de la nLPD, laquelle entrera en vigueur sans délai transitoire au 1er septembre 2023. Qu’est-ce qui change d’un point de vue juridique dans le domaine de la santé et qu’est-ce qui reste identique? Roman Böhni, avocat du cabinet ADLEGEM, donne des explications.

Roman Böhni, avocat chez ADLEGEM, accompagne des entreprises et des particuliers, notamment dans les affaires juridiques relatives à l’informatique, à la protection des données, au droit incorporel, aux contrats, au travail et aux loyers. En tant qu’avocat et informaticien de gestion, depuis plusieurs années il s’occupe notamment des questions juridiques dans l’environnement numérique et s’est donc penché de près sur la loi révisée sur la protection des données et les changements en résultant.

Changement de paradigme?
Dans son exposé, Böhni a donné aux participants à la table ronde d’EDI un aperçu objectif de la nouvelle législation, effectué une analyse comparative et montré les conséquences juridiques sur les institutions en Suisse: «Qu’est-ce qui change? Qu’est-ce qui reste identique? Sommes-nous même à la veille d’un changement de paradigme?» Böhni résume comme suit les objectifs primaires de la nLPD, qui sont également ceux du législateur:  «Tout d’abord, le traitement des données personnelles doit être plus transparent. De plus, les droits des personnes concernées déjà existants doivent être renforcés ou étendus, de même que l’applicabilité de la nouvelle loi. Notre loi actuelle ressemble à un tigre sans dents et cela doit changer. Le maintien de la décision relative au caractère adéquat de l’UE pour un échange de données sans accroc entre la Suisse et les États de l’UE est un quatrième point essentiel. »

Qu’est-ce qui ne change pas?
Élément le plus important qui ne change pas: le principe de l’autorisation sous réserve d’interdiction. Cela signifie qu’un traitement de données personnelles reste fondamentalement autorisé en Suisse. «C’est une différence essentielle par rapport au RGPD européen. Dans l’UE, tout traitement de données personnelles est en soi interdit et n’est autorisé que s’il est justifié. Cela signifie qu’en Suisse, même après le 1er septembre 2023, il n’y aura pas d’obligation fondamentale de consentement. On ne doit pas demander toujours et partout des consentements pour traiter des données. Les principes du traitement des données demeurent.»  Contrairement au RGPD, la nLPD n’introduit pas d’obligation globale de rendre des comptes. «Clairement, il y a plus d’obligations de documentation, mais pas dans la même mesure que dans l’UE. D’où ma première conclusion: le changement de paradigme évoqué au début n’aura pas lieu, mais il ne fait aucun doute qu’une action est requise.»

Divers ajustements
«Dans quelques domaines il y a de profonds changements, dans d’autres on ne remarque presque rien, mais il y aura des changements.» Dans son exposé, Böhni s’est limité à dix points, p. ex., le domaine d’application. Le fait que seules des personnes physiques soient encore protégées par la nLPD est nouveau. Par ailleurs, les lois sur la protection des données des cantons doivent également être respectées. «Chaque institution doit bien comprendre quelles bases juridiques sont applicables: est-ce que le droit cantonal est valable, est-ce que plusieurs cantons sont impliqués ou est-ce que la législation fédérale doit s’appliquer?»

Registre des traitements
«C’est le cœur de toute la conformité avec la protection des données: l’identification et la documentation des flux de données personnelles. Qui est responsable, quelle est la finalité d’un processus, quelles sont les catégories de données personnelles traitées, qui sont les destinataires? Les données partent-elles à l’étranger? Si oui, où? Des mesures supplémentaires sont-elles nécessaires pour sécuriser le transfert?» Ces questions doivent être posées. «Si ce registre est obligatoire pour les autorités, pour une entreprise il ne l’est que si elle a plus de 250 collaborateurs, si elle traite de gros volumes de données sensibles et si elle a un profilage à haut risque.»

Autres ajustements
Böhni évoque également des changements relatifs à l’obligation d’information. Une des nouveautés: lors de procédures de sélection, les organes fédéraux doivent informer de décisions individuelles automatisées et les identifier comme telles. Il y a également des ajustements dans le domaine du traitement des commandes, où le responsable du traitement a désormais le droit de faire appel à des sous-traitants, cependant uniquement avec l’accord des responsables. C’est pourquoi l’identification des rôles des partenaires commerciaux et des prestataires de services est recommandée ici. Cette tâche peut être très complexe, notamment en cas de projets qui impliquent d’autres entreprises. 

Une modification importante de la loi concerne également l’obligation de déclaration. Lesdites violations de données ou violations de la sécurité des données doivent désormais obligatoirement être signalées si elles sont susceptibles d'entraîner un risque élevé pour la ou les personnes concernées. Si la confidentialité, l’intégrité et/ou la disponibilité de données personnelles ont été enfreintes, cela doit être au plus vite signalé au PFPDT et éventuellement aussi à la ou aux personnes concernées. C’est pourquoi Böhni recommande de «déterminer le processus et les compétences en cas de violations de données». Les personnes qui violent intentionnellement les prescriptions légales peuvent faire l’objet de sanctions. Ces dernières peuvent être élevées et atteindre CHF 250’000, et elles ne peuvent ni être couvertes par une assurance ni prises en charge par l’entreprise..

Conclusion:
Si la nouvelle loi sur la protection des données rend certaines mesures nécessaires, elle ne bouleverse pas tout. Pour toutes les mesures, selon Böhni il est essentiel de renforcer la prise de conscience des personnes impliquées. «On peut être très bien organisé et documenter parfaitement: si les collaborateurs ne savent comment ils doivent se comporter, tôt ou tard il peut y avoir des violations. C’est pourquoi il est extrêmement important de les former et de leur permettre d’agir correctement.»

Présentation (PDF)