Aller au contenu
Avanet
Nouvelle loi suisse sur la protection des données (nLPD) – Qu'est-ce qui est extrêmement important depuis le 01.09.2023 ?

Nouvelle loi suisse sur la protection des données (nLPD) – Qu'est-ce qui est extrêmement important depuis le 01.09.2023 ?

4. OCTOBRE 2023

La nouvelle loi sur la protection des données (nLPD) et les ordonnances correspondantes sont entrées en vigueur en Suisse le 1er septembre 2023. La modification de la loi adapte la protection des données aux technologies et à la société actuelles. Les gens doivent pouvoir mieux comprendre et contrôler la manière dont leurs données sont utilisées. C’était d’ailleurs une nécessité depuis longtemps, si l’on considère que l’ancienne loi sur la protection des données datait de 1992. Google a été fondé en 1998 et Facebook (Meta) a été mis en ligne en 2004. C’est au plus tard à ce moment-là que la collecte de données 🐙 à grande échelle a commencé. Le RGPD est également en vigueur depuis mai 2018 et la Suisse a maintenant suivi le mouvement, mais avec une différence essentielle en ce qui concerne les sanctions.

J’expliquerai ci-après pourquoi la sécurité informatique devient encore plus importante et pourquoi beaucoup ne réagissent que maintenant.

Pourquoi une nouvelle loi était-elle nécessaire ?

La nouvelle loi suisse sur la protection des données a deux objectifs principaux :

  • Elle actualise les règles pour les adapter aux technologies actuelles telles que le cloud, les médias sociaux, l’IA, le Big Data et l’IoT. Cela vise à donner aux gens plus de contrôle sur leurs propres données.
  • Elle garantit que la protection des données en Suisse est portée au niveau de l’UE. Ceci est important pour que l’échange de données entre la Suisse 🇨🇭 et l’UE 🇪🇺 puisse continuer sans problème. La loi tient également compte des réglementations de l’UE et des accords internationaux sur la protection des données.

Données personnelles ? Ça ne me concerne pas !

Cela concerne toute personne qui traite des données personnelles. Tant au travail que dans une association ou dans la vie privée (sauf amis et famille). Dès que des informations se rapportent directement ou indirectement à une personne physique déterminée, elles sont considérées comme des données personnelles. Cela inclut non seulement le nom et l’adresse, mais aussi des éléments tels que l’adresse IP ou l’adresse e-mail. Si de telles données sont collectées, stockées, utilisées, modifiées ou supprimées, on parle de traitement et la loi sur la protection des données actualisée s’applique.

Privacy by Design et Privacy by Default

La “Privacy by Default” et la “Privacy by Design” signifient que les entreprises doivent intégrer la protection des données dès le départ dans leur technologie et leurs paramètres. Cela signifie que lors du développement d’applications ou de sites web, les règles de protection des données doivent être prises en compte dès la phase de planification. En outre, les paramètres par défaut devraient toujours être l’option la plus respectueuse de la vie privée. Par exemple, si un site web a un espace membre, le nom de l’utilisateur ne devrait pas être visible par défaut.

Minimiser la collecte de données au strict nécessaire

Lorsqu’on construit quelque chose de nouveau (Privacy by Default), il est naturellement plus facile d’en tenir compte ; après coup, c’est toujours un peu plus complexe. Il est important que les données ne soient utilisées que dans le but pour lequel elles ont été initialement collectées. Elles ne peuvent être utilisées à d’autres fins que s’il existe une raison valable, comme l’exécution d’un contrat, ou si la personne concernée y consent expressément.

Si les données ne sont plus nécessaires à l’objectif initial, elles doivent être supprimées ou anonymisées sans délai.

Cookies 🍪

Le côté agaçant des cookies et des bannières de cookies associées.

Les cookies sont de petits fichiers texte qui sont stockés par les sites web sur l’ordinateur ou l’appareil mobile de l’utilisateur. Ils sont souvent utilisés pour améliorer l’expérience utilisateur en enregistrant des paramètres ou en suivant le comportement de l’utilisateur. Dans la nouvelle loi sur la protection des données, les cookies sont pertinents car ils collectent souvent des données personnelles. La loi exige donc que les utilisateurs soient clairement et distinctement informés des cookies utilisés et à quelle fin. De plus, les utilisateurs doivent donner leur consentement avant que les cookies puissent être placés. Les paramètres par défaut qui sont visibles dans la bannière de cookies doivent être respectueux de la vie privée. Cela signifie que seuls les cookies absolument nécessaires devraient être activés automatiquement.

Cependant, gérer un site web sans cookies qui collectent des données d’utilisateur n’est plus difficile. Grâce au RGPD, de nouveaux outils sont disponibles comme alternatives qui prennent la protection des données au sérieux. Notre site web n’utilise pas de cookies.

Politique de confidentialité

La déclaration de confidentialité est un document essentiel qui doit figurer sur le site web de toute entreprise. Elle informe les visiteurs et les clients sur les données personnelles collectées, la manière dont ces données sont utilisées et stockées, et les droits des personnes concernées concernant leurs données. De plus, une déclaration de confidentialité claire et compréhensible n’est pas seulement une bonne pratique commerciale, mais aussi une obligation légale, en particulier à la lumière des nouvelles lois sur la protection des données. Elle doit être régulièrement mise à jour pour tenir compte des nouvelles exigences légales ou des changements dans les pratiques de traitement des données.

Le droit sur ses données

Toute personne a un droit d’accès aux données stockées. Ces informations doivent généralement être fournies dans un délai de 30 jours et sans frais pour la personne concernée. Les personnes ont le droit de faire corriger des données erronées ou de demander la suppression de données. Ces droits ne sont toutefois pas absolus et sont soumis à des restrictions, telles que l’obligation de conservation.

Sécurité informatique

Venons-en maintenant au sujet principal de cet article : comment protéger les données. Comme vous pouvez le voir, il existe différents endroits dans une entreprise où des données sont collectées et donc stockées. Tout ce qui est stocké quelque part peut être volé, chiffré, modifié ou supprimé. Avec les moyens techniques nécessaires, il est désormais possible d’empêcher les modifications indésirables.

L’introduction de la nouvelle loi sur la protection des données (nLPD) en Suisse a considérablement accru l’importance de la sécurité informatique dans les entreprises, en particulier dans les petites et moyennes entreprises (PME). Bien que la sécurité informatique ait toujours été un facteur critique, la nLPD a encore renforcé l’urgence de cette question. Depuis l’entrée en vigueur de la loi le 1er septembre 2023, nous avons reçu une augmentation significative de demandes de PME souhaitant renforcer leurs mesures de sécurité informatique.

Que quelqu’un d’autre s’en occupe

De nombreuses demandes que nous avons reçues concernaient le service Managed Detection and Response (MDR). Les entreprises veulent déléguer des responsabilités et reconnaissent que la sécurité informatique ne se résume pas à l’installation d’un pare-feu et de l’antivirus Windows Defender déjà existant.

Il est donc évident de confier cette tâche à des prestataires de services externes qui se consacrent à plein temps à la question et qui sont spécialisés dans la chasse aux menaces, qui ne font rien d’autre et qui connaissent extrêmement bien le milieu. C’est une décision judicieuse, car le MDR offre une surveillance et une réponse proactives aux incidents de sécurité, ce qui est conforme aux exigences de la nLPD. Si vous avez d’autres systèmes dans l’entreprise, vous pouvez également envoyer ces données de télémétrie de tiers à Sophos. Cela signifie que ces données peuvent également être prises en compte pour une analyse de sécurité complète.

Néanmoins, on entend toujours des personnes qui pensent pouvoir le faire elles-mêmes et sous-estiment l’importance de ce sujet. Je peux ici recommander cet article avec les vidéos et vous changerez rapidement d’avis : Le documentaire sur les ransomwares

Je parle ici principalement du point d’accès, mais la même chose s’applique bien sûr aussi au pare-feu. La configuration, la maintenance, l’audit et le pentest devraient être effectués par du personnel qualifié ou, si ce n’est pas le cas, externalisés à un prestataire de services externe tel que nous.

Audit de sécurité - Toujours tester à nouveau

Alors que la plupart des gens considèrent les inspections et l’entretien réguliers de leur voiture comme allant de soi, car imposés par la loi, la sécurité informatique est souvent négligée. Pourtant, surtout à l’heure actuelle, où le paysage des menaces ne cesse de croître et de changer, il est indispensable de soumettre les systèmes informatiques à des tests réguliers.

Une étape importante vers une sécurité informatique robuste consiste à effectuer des audits et des tests d’intrusion réguliers. Alors que les audits vérifient la conformité aux directives de sécurité, les tests d’intrusion simulent des cyberattaques pour identifier les vulnérabilités du système. Ces deux méthodes sont importantes pour s’assurer que les mesures de sécurité répondent aux exigences actuelles.

Quelques bonnes pratiques en matière de cybersécurité

Dans notre récent article de blog “Recommandations Sophos – Bonnes pratiques en matière de cybersécurité”, nous avons mis en évidence plusieurs points importants pour la sécurité informatique. Beaucoup de ces points pourraient être considérés comme de la “négligence” s’ils ne sont pas respectés, en particulier à la lumière de la nouvelle nLPD.

Obligation de déclarer

Le PFPDT signifie Préposé fédéral à la protection des données et à la transparence en Suisse. C’est une autorité indépendante qui surveille et applique la protection des données au niveau fédéral. Dans la nouvelle loi sur la protection des données (nLPD), le PFPDT joue un rôle important car il est responsable de la surveillance du respect de la loi. En cas de violations de données qui présentent un risque élevé pour les droits personnels ou les droits fondamentaux des personnes concernées, elles doivent être signalées au PFPDT. Il peut également donner des instructions et imposer des sanctions si les dispositions relatives à la protection des données ne sont pas respectées.

Centre national de cybersécurité (NCSC) Signaler un incident
report.ncsc.admin.ch

Dans le cadre de la nLPD, les cyberattaques qui entraînent une violation de la sécurité des données doivent être signalées au PFPDT. C’est notamment le cas si l’attaque représente un risque élevé pour les droits personnels ou les droits fondamentaux des personnes concernées.

Une violation de la sécurité des données se produit lorsque des données personnelles sont perdues, supprimées, détruites, modifiées ou rendues accessibles à des personnes non autorisées de manière involontaire ou illicite. Cela doit être signalé au PFPDT sans délai. La notification doit être faite le plus rapidement possible, généralement dans les 72 heures suivant la connaissance de l’attaque. Le PFPDT est l’autorité compétente pour recevoir ces notifications et surveiller la situation. L’incident doit cependant aussi être signalé au NCSC : Signaler un incident au Centre national de cybersécurité (NCSC)

Un tel scénario doit être envisagé à l’avance et non pas seulement lorsque l’urgence se présente.

Criminalité

En cas d’infractions intentionnelles à la nLPD, telles que la violation des obligations d’information, d’accès, de coopération ou de diligence, les personnes physiques peuvent être punies d’amendes allant jusqu’à 250 000 CHF. En cas d’infractions dans les entreprises, celles-ci peuvent être punies d’une amende allant jusqu’à 50 000 CHF si l’identification des personnes fautives entraînerait un effort disproportionné – et si une amende maximale de 50 000 CHF serait envisagée pour celles-ci.

C’est également la différence essentielle avec le RGPD. En ce qui concerne la pénalisation, il faut notamment tenir compte du fait qu’à partir du 1er septembre 2023, la violation de certaines obligations entraîne une pénalisation qui ne vise pas l’entreprise, mais la personne physique responsable. Les personnes responsables peuvent être aussi bien des membres de la direction que d’autres personnes ayant un pouvoir de décision au sein de l’entreprise, ou encore les personnes qui ont commis une violation de devoir (par exemple, violation du secret). En droit suisse, cependant, seule l’intention délibérée est punissable.

Une amende pouvant aller jusqu’à 250 000 CHF peut être imposée en Suisse pour diverses infractions à la protection des données, notamment :

  • Manque de transparence ou absence de politique de confidentialité
  • Absence d’accords contractuels avec les sous-traitants de données
  • Défaillances en matière de sécurité des données, telles que des mesures techniques et organisationnelles (MTO) insuffisantes
  • Transmission de données personnelles à des pays ne disposant pas d’une protection des données suffisante, sans précautions de sécurité supplémentaires ou sans exception valable, comme un consentement
  • Non-respect de l’obligation de fournir des informations
  • Non-respect du “petit secret professionnel”

La loi suisse révisée sur la protection des données prévoit également des conséquences pénales pour les personnes physiques responsables de telles infractions.

FAQ sur la nouvelle nLPD

Qu'est-ce que la nouvelle loi suisse sur la protection des données ?

Il s’agit d’une révision de la loi sur la protection des données de 1992, entrée en vigueur le 1er septembre 2023, afin de renforcer la protection des données en Suisse et de l’adapter au Règlement général sur la protection des données de l’UE.

Quelles sont les sanctions en cas de violation de la nLPD ?

Les amendes peuvent aller jusqu’à 250 000 CHF, des sanctions pénales étant également possibles contre des particuliers.

Que signifie "Privacy by Design" ?

C’est un principe selon lequel la protection et la sécurité des données sont intégrées dès le début dans la planification et le développement de projets.

Les entreprises doivent-elles informer les utilisateurs du traitement de leurs données ?

Oui, les entreprises doivent informer clairement et distinctement leurs utilisateurs des données collectées et de leur finalité.

La nLPD s'applique-t-elle également aux entreprises situées en dehors de la Suisse ?

Oui, la loi a une portée transfrontalière et s’applique à tout site web qui traite des données personnelles de personnes en Suisse, quel que soit son emplacement.

Quelles exigences la nouvelle nLPD impose-t-elle en matière de consentement ?

Le consentement doit être spécifique, éclairé et volontaire, les utilisateurs devant avoir la possibilité de donner leur consentement pour différentes catégories de cookies.

Qui est concerné par la nouvelle loi sur la protection des données ?

Toute personne qui travaille avec des données personnelles est concernée par la loi. Cela s’applique aux entreprises, aux associations, mais aussi aux particuliers, à condition que l’utilisation des données dépasse le cadre privé tel que la famille et les amis.

Clause de non-responsabilité ⚖️

Veuillez noter que cet article de blog n’est qu’un bref résumé des aspects de la nouvelle loi sur la protection des données que nous jugeons importants. Nous ne sommes pas des experts juridiques ni des avocats. Pour des conseils juridiques complets, vous devriez consulter un avocat qualifié afin de vous assurer que vous respectez toutes les exigences légales. Notre source principale ici était Admin.ch :: Communiqué de presse :: Nouveau droit de la protection des données dès le 1er septembre 2023

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.