Aller au contenu
Avanet
Nouvelle loi suisse sur la protection des données (nLPD) – qu'est-ce qui est vraiment important depuis le 01.09.2023 ?

Nouvelle loi suisse sur la protection des données (nLPD) – qu'est-ce qui est vraiment important depuis le 01.09.2023 ?

La nouvelle loi sur la protection des données (nLPD) et les ordonnances correspondantes sont entrées en vigueur en Suisse le 1er septembre 2023. Cette révision adapte la protection des données aux technologies et à la société actuelles. Les personnes doivent pouvoir mieux comprendre et contrôler la manière dont leurs données sont utilisées. C’était d’ailleurs nécessaire depuis longtemps si l’on considère que l’ancienne loi sur la protection des données datait de 1992. Google a été fondé en 1998 et Facebook (Meta) a été mis en ligne en 2004. Au plus tard à ce moment-là, la collecte de données 🐙 à grande échelle a commencé. Le RGPD est lui aussi en vigueur depuis mai 2018 et la Suisse a maintenant suivi, avec toutefois une différence essentielle concernant les sanctions.

J’expliquerai plus bas pourquoi la sécurité informatique devient encore plus importante et pourquoi beaucoup ne réagissent que maintenant.

Pourquoi une nouvelle loi était-elle nécessaire ?

La nouvelle loi suisse sur la protection des données a deux objectifs principaux :

  • Elle actualise les règles pour les adapter aux technologies actuelles telles que le cloud, les médias sociaux, l’IA, le Big Data et l’IoT. Cela vise à donner aux gens plus de contrôle sur leurs propres données.
  • Elle garantit que la protection des données en Suisse est portée au niveau de l’UE. Ceci est important pour que l’échange de données entre la Suisse 🇨🇭 et l’UE 🇪🇺 puisse continuer sans problème. La loi tient également compte des réglementations de l’UE et des accords internationaux sur la protection des données.

Données personnelles ? Cela ne me concerne pas !

Cela concerne toute personne qui traite des données personnelles, que ce soit au travail, dans une association ou dans la vie privée (à l’exception des amis et de la famille). Dès que des informations se rapportent directement ou indirectement à une personne physique déterminée, elles sont considérées comme des données personnelles. Cela inclut non seulement le nom et l’adresse, mais aussi des éléments comme l’adresse IP ou l’adresse e-mail. Lorsque de telles données sont collectées, stockées, utilisées, modifiées ou supprimées, on parle de traitement et la loi révisée sur la protection des données s’applique.

Privacy by Design et Privacy by Default

Privacy by Default” et “Privacy by Design” signifient que les entreprises doivent intégrer la protection des données dès le départ dans leurs technologies et leurs paramètres. Lors du développement d’applications ou de sites web, les règles de protection des données doivent donc être prises en compte dès la phase de planification. Les paramètres par défaut devraient en outre toujours être l’option la plus respectueuse de la vie privée. Par exemple, si un site web dispose d’un espace membres, le nom de l’utilisateur ne devrait pas être visible par défaut.

Minimiser la collecte de données au strict nécessaire

Lorsqu’on construit quelque chose de nouveau (Privacy by Default), il est naturellement plus facile d’en tenir compte ; après coup, c’est toujours un peu plus complexe. Il est important que les données ne soient utilisées que pour le but dans lequel elles ont été collectées à l’origine. Elles ne peuvent être utilisées à d’autres fins que s’il existe une raison valable, comme l’exécution d’un contrat, ou si la personne concernée y consent expressément.

Si les données ne sont plus nécessaires à l’objectif initial, elles doivent être supprimées ou anonymisées sans délai.

Cookies 🍪

Le côté agaçant des cookies et des bannières de cookies associées.

Les cookies sont de petits fichiers texte qui sont stockés par les sites web sur l’ordinateur ou l’appareil mobile de l’utilisateur. Ils sont souvent utilisés pour améliorer l’expérience utilisateur en enregistrant des paramètres ou en suivant le comportement de l’utilisateur. Dans la nouvelle loi sur la protection des données, les cookies sont pertinents car ils collectent souvent des données personnelles. La loi exige donc que les utilisateurs soient clairement et distinctement informés des cookies utilisés et à quelle fin. De plus, les utilisateurs doivent donner leur consentement avant que les cookies puissent être placés. Les paramètres par défaut qui sont visibles dans la bannière de cookies doivent être respectueux de la vie privée. Cela signifie que seuls les cookies absolument nécessaires devraient être activés automatiquement.

Exploiter un site web sans cookies collectant des données utilisateur n’est toutefois plus difficile. Grâce au RGPD, différents nouveaux outils respectueux de la protection des données sont disponibles comme alternatives. Notre site web n’utilise pas de cookies.

Déclaration de confidentialité

La déclaration de confidentialité est un document essentiel qui devrait figurer sur le site web de toute entreprise. Elle informe les visiteurs et les clients sur les données personnelles collectées, la manière dont ces données sont utilisées et stockées, ainsi que les droits des personnes concernées. Une déclaration de confidentialité claire et compréhensible n’est pas seulement une bonne pratique commerciale : elle est aussi prescrite par la loi, en particulier à la lumière des nouvelles exigences de protection des données. Elle doit être régulièrement mise à jour afin de tenir compte des nouvelles exigences légales ou des changements dans les pratiques de traitement des données.

Le droit d’accès à ses données

Toute personne dispose d’un droit d’accès aux données enregistrées à son sujet. Ces informations doivent généralement être fournies dans un délai de 30 jours et gratuitement pour la personne concernée. Les personnes ont le droit de faire corriger des données erronées ou de demander la suppression de données. Ces droits ne sont toutefois pas absolus et peuvent être soumis à des restrictions, comme les obligations de conservation.

Sécurité informatique

Venons-en maintenant au sujet principal de cet article : comment protéger les données. Comme on le voit, il existe différents endroits dans une entreprise où des données sont collectées et donc stockées. Tout ce qui est stocké quelque part peut être volé, chiffré, modifié ou supprimé. Avec les moyens techniques nécessaires, il est désormais possible d’empêcher les modifications indésirables.

L’introduction de la nouvelle loi sur la protection des données (nLPD) en Suisse a considérablement accru l’importance de la sécurité informatique dans les entreprises, en particulier dans les petites et moyennes entreprises (PME). Bien que la sécurité informatique ait toujours été un facteur critique, la nLPD a encore renforcé l’urgence de cette question. Depuis l’entrée en vigueur de la loi le 1er septembre 2023, nous avons reçu une augmentation significative de demandes de PME souhaitant renforcer leurs mesures de sécurité informatique.

Que quelqu’un d’autre s’en occupe

De nombreuses demandes que nous avons reçues concernaient le service Managed Detection and Response (MDR). Les entreprises veulent déléguer des responsabilités et reconnaissent que la sécurité informatique ne se résume pas à l’installation d’un pare-feu et de l’antivirus Windows Defender déjà existant.

Il est donc logique de confier cette tâche à des prestataires externes qui se consacrent à plein temps au threat hunting, ne font rien d’autre et connaissent extrêmement bien le domaine. C’est une décision judicieuse, car le MDR offre une surveillance proactive et une réponse aux incidents de sécurité, ce qui va dans le sens des exigences de la nLPD. Si vous avez d’autres systèmes dans l’entreprise, vous pouvez également envoyer ces données de télémétrie de tiers à Sophos. Ces données peuvent ainsi être prises en compte dans une analyse de sécurité complète.

Néanmoins, on entend toujours des personnes affirmer qu’elles peuvent le faire elles-mêmes, tout en sous-estimant la portée du sujet. Je peux ici recommander cet article avec les vidéos : il devrait rapidement faire évoluer les avis. The Ransomware Documentary

Je parle ici en premier lieu de l’endpoint, mais la même chose vaut bien sûr aussi pour le firewall. La configuration, la maintenance, l’audit et le pentest devraient être réalisés par du personnel formé ou, si celui-ci n’est pas disponible, être externalisés auprès d’un prestataire comme nous.

Audit de sécurité - tester encore et encore

Alors que la plupart des gens considèrent les inspections et l’entretien réguliers de leur voiture comme allant de soi, car imposés par la loi, la sécurité informatique est souvent négligée. Pourtant, surtout à l’heure actuelle, où le paysage des menaces ne cesse de croître et de changer, il est indispensable de soumettre les systèmes informatiques à des tests réguliers.

Une étape importante vers une sécurité informatique robuste consiste à effectuer des audits et des tests d’intrusion réguliers. Alors que les audits vérifient la conformité aux directives de sécurité, les tests d’intrusion simulent des cyberattaques pour identifier les vulnérabilités du système. Ces deux méthodes sont importantes pour s’assurer que les mesures de sécurité répondent aux exigences actuelles.

Quelques bonnes pratiques en matière de cybersécurité

Dans notre récent article de blog “Recommandations Sophos – Cybersecurity Best Practices”, nous avons mis en évidence plusieurs points importants pour la sécurité informatique. Beaucoup de ces points pourraient entrer dans la catégorie de la « négligence » s’ils ne sont pas respectés, en particulier à la lumière de la nouvelle nLPD.

Obligation de déclarer

Le PFPDT signifie Préposé fédéral à la protection des données et à la transparence en Suisse. C’est une autorité indépendante qui surveille et applique la protection des données au niveau fédéral. Dans la nouvelle loi sur la protection des données (nLPD), le PFPDT joue un rôle important car il est responsable de la surveillance du respect de la loi. En cas de violations de données qui présentent un risque élevé pour les droits personnels ou les droits fondamentaux des personnes concernées, elles doivent être signalées au PFPDT. Il peut également donner des instructions et imposer des sanctions si les dispositions relatives à la protection des données ne sont pas respectées.

Centre national de cybersécurité (NCSC) Signaler un incident
report.ncsc.admin.ch

Dans le cadre de la nLPD, les cyberattaques qui entraînent une violation de la sécurité des données doivent être signalées au PFPDT. C’est notamment le cas si l’attaque représente un risque élevé pour les droits personnels ou les droits fondamentaux des personnes concernées.

Une violation de la sécurité des données se produit lorsque des données personnelles sont perdues, supprimées, détruites, modifiées ou rendues accessibles à des personnes non autorisées de manière involontaire ou illicite. Cela doit être signalé au PFPDT sans délai. La notification doit être faite le plus rapidement possible, généralement dans les 72 heures suivant la connaissance de l’attaque. Le PFPDT est l’autorité compétente pour recevoir ces notifications et surveiller la situation. L’incident doit cependant aussi être signalé au NCSC : Signaler un incident au Centre national de cybersécurité (NCSC)

Un tel scénario doit être pensé en amont, et pas seulement lorsque le cas d’urgence se produit.

Responsabilité pénale

En cas de violations intentionnelles de la nLPD, comme la violation des obligations d’information, d’accès, de coopération ou de diligence, les personnes physiques peuvent être sanctionnées par des amendes allant jusqu’à 250'000 CHF. En cas d’infractions dans des entreprises, celles-ci peuvent être punies d’une amende allant jusqu’à 50'000 CHF si l’identification des personnes fautives impliquerait des efforts disproportionnés et si l’amende envisageable pour ces personnes ne dépasserait pas 50'000 CHF.

C’est également la différence essentielle avec le RGPD. En matière de responsabilité pénale, il faut notamment tenir compte du fait que, depuis le 1er septembre 2023, la violation de certaines obligations peut entraîner une sanction qui ne vise pas l’entreprise, mais la personne physique responsable. Les personnes responsables peuvent être des membres de la direction, d’autres personnes disposant d’un pouvoir de décision dans l’entreprise ou encore les personnes ayant commis une violation d’obligation (par exemple une violation du secret). En droit suisse, seule la commission consciente de l’infraction est toutefois punissable.

Une amende pouvant aller jusqu’à 250'000 CHF peut être imposée en Suisse pour diverses infractions à la protection des données, notamment :

  • Manque de transparence ou absence de politique de confidentialité
  • Absence d’accords contractuels avec les sous-traitants
  • Défaillances en matière de sécurité des données, telles que des mesures techniques et organisationnelles (MTO) insuffisantes
  • Transmission de données personnelles à des pays ne disposant pas d’une protection des données suffisante, sans précautions de sécurité supplémentaires ou sans exception valable, comme un consentement
  • Non-respect de l’obligation de fournir des informations
  • Non-respect du “petit secret professionnel”

La loi suisse révisée sur la protection des données prévoit donc également des conséquences pénales pour les personnes physiques responsables de telles infractions.

FAQ sur la nouvelle nLPD

Qu'est-ce que la nouvelle loi suisse sur la protection des données ?

Il s’agit d’une révision de la loi sur la protection des données de 1992, entrée en vigueur le 1er septembre 2023, afin de renforcer la protection des données en Suisse et de l’adapter au Règlement général sur la protection des données de l’UE.

Quelles sont les sanctions en cas de violation de la nLPD ?

Les amendes peuvent aller jusqu’à 250'000 CHF, des sanctions pénales étant également possibles contre des personnes physiques.

Que signifie "Privacy by Design" ?

C’est un principe selon lequel la protection et la sécurité des données sont intégrées dès le début dans la planification et le développement de projets.

Les entreprises doivent-elles informer les utilisateurs du traitement de leurs données ?

Oui, les entreprises doivent informer clairement et distinctement leurs utilisateurs des données collectées et de leur finalité.

La nLPD s'applique-t-elle également aux entreprises situées en dehors de la Suisse ?

Oui, la loi a une portée transfrontalière et s’applique à tout site web qui traite des données personnelles de personnes en Suisse, quel que soit son emplacement.

Quelles exigences la nouvelle nLPD impose-t-elle en matière de consentement ?

Le consentement doit être spécifique, éclairé et volontaire, les utilisateurs devant avoir la possibilité de donner leur consentement pour différentes catégories de cookies.

Qui est concerné par la nouvelle loi sur la protection des données ?

Toute personne qui travaille avec des données personnelles est concernée par la loi. Cela s’applique aux entreprises, aux associations, mais aussi aux particuliers, à condition que l’utilisation des données dépasse le cadre privé tel que la famille et les amis.

Clause de non-responsabilité ⚖️

Veuillez noter que cet article de blog n’est qu’un bref résumé des aspects de la nouvelle loi sur la protection des données que nous jugeons importants. Nous ne sommes ni juristes ni avocats. Pour obtenir un conseil juridique complet, adressez-vous à un avocat qualifié afin de vous assurer que vous respectez toutes les exigences légales. Notre source principale ici était Admin.ch :: Communiqué de presse :: Nouveau droit de la protection des données dès le 1er septembre 2023

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.