Suisse : l’enjeu de la conformité du nLPD est économique et non juridique
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Cinq ans après la mise en place du RGPD, la Suisse s’est dotée, à son tour, de la nLPD, une nouvelle législation visant à mieux protéger les données de ses citoyens. Les entreprises du pays doivent s’y conformer à partir du 1er septembre 2023
Après l’adoption du RGPD au niveau européen, en 2018, la Confédération helvétique renforce son dispositif législatif en se dotant de la nLPD (nouvelle loi sur la protection des données). L’usage numérique quotidien, que ce soit pour les particuliers ou les entreprises, ainsi que la compatibilité du droit suisse avec le droit européen, sont les principaux enjeux de cette nouvelle loi. Il est à noter qu’en la matière, la première loi fédérale sur la protection des données date de 1992.
Les principaux changements sont les suivants : les données génétiques et biométriques sont désormais considérées comme des données sensibles. Les principes de « Privacy by Design » et de « Privacy by Default » sont introduits. Le devoir d’informer est étendu (information préalable à la collecte des données de la personne concernée). La tenue d’un registre des activités de traitement devient également obligatoire.
L’ordonnance d’application prévoit toutefois une exemption pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées. Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT). La notion de profilage, soit le traitement automatisé de données personnelles, fait son entrée dans la loi.
Les dirigeants, notamment ceux des PME, ne se sentent pas concernés par la conformité à la nLPD. D’abord parce qu’ils considèrent que l’investissement pour protéger leurs données n’est pas une priorité pour leur business. Ensuite, parce que les sanctions sont faibles en Suisse, en comparaison du RGPD : l’amende s’élève à 250 000 CHF (257 000 euros) au plus pour les particuliers. En cas d’infractions commises dans une entreprise, elle s’élève à 50 000 CHF (51 000 euros) au plus.
Pourquoi faut-il sécuriser les données et systèmes informatiques au-delà de la conformité ?
Premièrement, pour conserver la confiance des clients et salariés. Un client qui s’aperçoit qu’aucune mesure n’est prise pour protéger ses données pourrait se tourner vers un autre prestataire. C’est vrai pour les assurances, les fiduciaires, les avocats, les transports, la distribution ou les cabinets de médecins et bien d’autres secteurs d’activité.
Deuxièmement, pour éviter de lourdes conséquences financières (rançon et perte d’exploitation), un problème informatique (matériel, logiciel, fournisseur…) ou une attaque informatique peuvent être à l’origine d’un vol de données, d’une perte de données ou une interruption des services.
Sans cybersécurité, pas de conformité !
Comment être conforme à la nLPD sans y investir trop de ressources ?
- Nommer un responsable qui comprend la règlementation et l’informatique. Cette personne existe dans l’entreprise, elle doit monter en compétences, être accompagnée si besoin pour comprendre les enjeux principaux et la méthodologie ;
- Évaluer la situation et les risques, à travers le registre des activités de traitement, indispensable pour identifier les données sensibles, qui les traite, dans quels objectifs ;
- Impliquer et former l’ensemble des collaborateurs et la direction : la sécurité de l’information doit être perçue comme un sujet important dans l’entreprise ;
- Mettre en place les essentiels techniques, mais aussi s’assurer que les usages des collaborateurs sont conformes aux règles de l’entreprise : installation de certaines applications, mots de passes personnels et professionnels différents, utilisation de l’adresse professionnelle réservés aux usages professionnels etc.
Concernant les prestataires informatiques, hébergeurs et ensemble des tiers, approuver (ou refuser) l’utilisation de tiers ainsi que si besoin définir les mesures de sécurité et droits d’audit.
Curieusement, alors que le manque de sécurité des données et des systèmes informatiques peut avoir des conséquences économiques majeures, la nLPD exempte les PME de moins de 250 employés et n’ayant pas de données sensibles à tenir à jour un registre des traitements. Il s’agit pourtant de la base de la conformité.
S’il y a méconnaissance de la situation et des priorités, comment prendre les mesures nécessaires à la protection du patrimoine informationnel (ses données et son système d’information) de l’entreprise et à sa capacité à opérer ?
Comme s’assurer que les fournisseurs et sous-traitants qui n’ont pas cette obligation, parce qu’en dessous du seuil de 250 employés, prennent les mesures nécessaires pour sécuriser leurs données, celles de leurs clients, ainsi que leurs systèmes d’informations, sans lesquels ils ne peuvent pas fonctionner ? Le monde économique suisse étant composé à plus de 99% de PME de moins de 250 employés, quel effet aura la loi sur la cybersécurité de l’écosystème suisse ?