Nouvelle loi sur la protection des données en Suisse (nLPD) – Qu’est-ce qui est extrêmement important depuis le 1.09.2023?
La nouvelle loi sur la protection des données (nLPD) et les ordonnances y afférentes sont entrées en vigueur le 1er septembre 2023 en Suisse. La modification de la loi adapte la protection des données à la technologie et à la société actuelles. Les gens doivent pouvoir mieux comprendre et contrôler la manière dont leurs données sont utilisées. Cela aurait dû être fait depuis longtemps si l’on considère que l’ancienne loi sur la protection des données datait encore de 1992. Google a été créé en 1998 et Facebook (Meta) a été mis en ligne en 2004. C’est au plus tard à ce moment-là que la collecte de données 🐙 a commencé à grande échelle. Le RGPD est également en vigueur depuis mai 2018 et la Suisse vient de lui emboîter le pas, avec toutefois une différence majeure au niveau des sanctions.
J’expliquerai dans un instant pourquoi cela rend la sécurité informatique encore plus importante et pourquoi beaucoup ne réagissent que maintenant.
Thèmes
Pourquoi une nouvelle loi était-elle nécessaire ?
La nouvelle loi suisse sur la protection des données a deux objectifs principaux :
- Il met à jour les règles afin de les adapter aux technologies actuelles telles que le cloud, les médias sociaux, l’IA, le big data et l’IoT. Cela devrait permettre aux gens de mieux contrôler leurs propres données.
- Il veille à ce que la protection des données en Suisse soit portée au niveau de celle de l’UE. Ceci est important pour que l’échange de données entre la Suisse 🇨🇭 et l’UE 🇪🇺 puisse continuer à se faire sans problème. La loi tient également compte des réglementations de l’UE et des accords internationaux en matière de protection des données.
Données personnelles ? Cela ne me concerne pas !
Il concerne tous ceux qui ont affaire à des données personnelles. Aussi bien au travail que dans une association ou dans la vie privée (à l’exception des amis et de la famille). Dès lors que des informations se rapportent directement ou indirectement à une personne physique déterminée, elles sont considérées comme des données à caractère personnel. Il ne s’agit pas seulement du nom et de l’adresse, mais aussi de choses comme l’adresse IP ou l’adresse e-mail. Lorsque de telles données sont collectées, stockées, utilisées, modifiées ou supprimées, on parle de traitement et la loi actualisée sur la protection des données s’applique.
Respect de la vie privée dès la conception et respect de la vie privée par défaut
« Privacy by Default » et « Privacy by Design » signifient que les entreprises doivent intégrer la protection des données dès le départ dans leur technologie et leurs paramètres. Cela signifie que lors du développement d’applications ou de sites web, les règles de protection des données doivent être prises en compte dès la phase de planification. En outre, les paramètres par défaut devraient toujours être l’option la plus respectueuse de la vie privée. Par exemple, si un site web dispose d’une zone réservée aux membres, le nom de l’utilisateur ne devrait pas être visible dans les paramètres par défaut.
Réduire la collecte de données au strict nécessaire
Lorsque l’on met en place quelque chose de nouveau (Privacy by Default), il est bien sûr plus facile d’en tenir compte, après coup, c’est toujours un peu plus compliqué. Il est important que les données ne soient utilisées que dans le but pour lequel elles ont été initialement collectées. On ne peut les utiliser pour autre chose que s’il y a une raison valable, comme l’exécution d’un contrat, ou si la personne concernée y consent expressément.
Si les données ne sont plus nécessaires pour l’objectif initial, elles doivent être immédiatement effacées ou rendues méconnaissables.
Cookies 🍪
L’affaire agaçante des cookies et des bannières de cookies associées.
Les cookies sont de petits fichiers texte que les sites web placent sur l’ordinateur ou l’appareil mobile de l’utilisateur. Ils sont souvent utilisés pour améliorer l’expérience de l’utilisateur en enregistrant des paramètres ou en suivant le comportement de l’utilisateur. Dans la nouvelle loi sur la protection des données, les cookies sont pertinents parce qu’ils collectent souvent des données à caractère personnel. La loi exige donc que les utilisateurs soient clairement informés des cookies utilisés et de leur finalité. En outre, les utilisateurs doivent donner leur consentement avant que les cookies puissent être placés. Les paramètres par défaut visibles dans la bannière des cookies doivent être respectueux de la vie privée. Cela signifie que seuls les cookies absolument nécessaires doivent être automatiquement activés.
Toutefois, il n’est plus difficile d’exploiter un site web sans cookies qui collectent les données des utilisateurs. Grâce au RGPD, il existe plusieurs nouveaux outils disponibles comme alternative et qui prennent la protection des données au sérieux. Notre site web n’utilise pas de cookies.
Déclaration de confidentialité
La déclaration de confidentialité est un document essentiel qui devrait être présent sur chaque site web d’entreprise. Il informe les visiteurs et les clients sur les données à caractère personnel qui sont collectées, sur la manière dont ces données sont utilisées et stockées et sur les droits des personnes concernées en ce qui concerne leurs données. En outre, une déclaration de confidentialité claire et compréhensible est non seulement une bonne pratique commerciale, mais aussi une obligation légale, notamment à la lumière des nouvelles lois sur la protection des données. Elle devrait être régulièrement mise à jour pour tenir compte des nouvelles exigences légales ou des changements dans les pratiques de traitement des données.
Le droit de disposer de ses données
Toute personne a un droit d’accès aux données enregistrées. Cette information doit normalement être fournie dans un délai de 30 jours et sans frais pour la personne concernée. Les personnes ont le droit de faire corriger des données erronées ou de demander la suppression de données. Ces droits ne sont toutefois pas absolus et sont soumis à des restrictions, telles que l’obligation de conservation.
Sécurité informatique
Venons-en maintenant au sujet même de cet article, à savoir comment protéger les données. Comme on peut le voir, il y a différents endroits dans une entreprise où les données sont collectées et donc stockées. Tout ce qui est stocké quelque part peut être volé, crypté, modifié ou supprimé. Avec les moyens techniques nécessaires, on a maintenant la possibilité d’empêcher les modifications indésirables.
L’introduction de la nouvelle loi sur la protection des données (nLPD) en Suisse a considérablement augmenté l’importance de la sécurité informatique dans les entreprises, en particulier dans les petites et moyennes entreprises (PME). Bien que la sécurité informatique ait toujours été un facteur critique, la nLPD a encore renforcé l’urgence de cette question. Depuis l’entrée en vigueur de la loi le 1er septembre 2023, nous avons reçu une augmentation significative des demandes de PME souhaitant renforcer leurs mesures de sécurité informatique.
Que quelqu’un d’autre s’en occupe
De nombreuses demandes que nous avons reçues concernaient le système Managed Detection and Response (MDR). Les entreprises veulent se décharger de leurs responsabilités et se rendre compte que la sécurité informatique ne se résume pas à l’installation d’un pare-feu et de Windows Defender.
Il est donc évident de confier cette tâche à des prestataires de services externes qui s’occupent à plein temps du thème et de la détection des menaces, qui ne font rien d’autre et qui connaissent extrêmement bien le milieu. C’est un choix judicieux, car MDR offre une surveillance et une réaction proactives aux incidents de sécurité, ce qui est conforme aux exigences de la nDSG. Si l’on a maintenant d’autres systèmes dans l’entreprise, on peut aussi envoyer ces données télémétriques de tiers à Sophos. Cela signifie que ces données peuvent également être prises en compte pour une analyse de sécurité complète.
Malgré cela, on entend régulièrement des personnes qui pensent que l’on peut le faire soi-même et qui sous-estiment la portée de ce sujet. Ici, je peux recommander cet article avec les vidéos et vous changerez rapidement d’avis : The Ransomware Documentary
Je parle ici en premier lieu du point d’accès, mais il en va bien sûr de même pour le pare-feu. La configuration, la maintenance, l’audit et le pentest doivent être effectués par du personnel formé ou, à défaut, être externalisés auprès d’un prestataire de services externe comme nous.
Audit de sécurité – Tester encore et encore
Alors que la plupart des gens considèrent les inspections et l’entretien réguliers de leurs voitures comme allant de soi, puisque la loi les y oblige, la sécurité informatique est souvent négligée. Pourtant, il est indispensable, surtout à l’heure où le paysage des menaces ne cesse de croître et d’évoluer, de passer régulièrement les systèmes informatiques au crible.
Les audits et pentests réguliers constituent une étape importante vers une sécurité informatique robuste. Alors que les audits vérifient le respect des politiques de sécurité, les pentests simulent des cyber-attaques afin d’identifier les vulnérabilités du système. Ces deux méthodes sont importantes pour s’assurer que les mesures de sécurité répondent aux exigences actuelles.
Quelques bonnes pratiques en matière de cybersécurité
Dans notre récent blog post « Recommandations Sophos – Meilleures pratiques en matière de cybersécurité », nous avons mis en évidence plusieurs points importants pour la sécurité informatique. Nombre de ces points pourraient entrer dans la catégorie « négligence » s’ils ne sont pas respectés, en particulier à la lumière de la nouvelle nLPD.
Déclaration obligatoire
Le PFPDT est le préposé fédéral à la protection des données et à la transparence en Suisse. Il s’agit d’une autorité indépendante qui surveille et fait respecter la protection des données au niveau fédéral. Dans la nouvelle loi sur la protection des données (nLPD), le PFPDT joue un rôle important puisqu’il est chargé de veiller au respect de la loi. En cas de violations de la protection des données présentant un risque élevé pour les personnes concernées, celles-ci doivent être signalées au PFPDT. Il peut également donner des instructions et prendre des sanctions si les dispositions relatives à la protection des données ne sont pas respectées.
Dans le cadre de la nLPD, les cyberattaques qui entraînent une violation de la sécurité des données doivent être annoncées au PFPDT. C’est notamment le cas lorsque l’attaque présente un risque élevé pour les droits de la personnalité ou les droits fondamentaux des personnes concernées.
Il y a violation de la sécurité des données lorsque des données personnelles sont accidentellement ou illégalement perdues, effacées, détruites, modifiées ou rendues accessibles à des personnes non autorisées. Le PFPDT doit être immédiatement informé de cette situation. La notification doit être faite le plus rapidement possible, en général dans les 72 heures suivant la connaissance de l’attaque. Le PFPDT est l’autorité compétente pour recevoir ces notifications et continuer à surveiller la situation. Toutefois, l’incident doit également être signalé au NCSC : Signaler l’incident au Centre national de cybersécurité (NCSC)
Un tel scénario doit être pensé à l’avance et non pas seulement lorsque l’urgence se présente.
Punissabilité
En cas de violation intentionnelle de la nLPD, comme le non-respect des obligations d’information, de renseignement, de coopération ou de diligence, les particuliers peuvent être punis d’une amende pouvant atteindre 250 000 CHF. En cas d’infractions commises dans des entreprises commerciales, les entreprises peuvent être punies d’une amende allant jusqu’à CHF 50’000 si l’identification des personnes fautives nécessitait des efforts disproportionnés – et si une amende de CHF 50’000 au maximum entrait en ligne de compte pour ces personnes.
C’est là aussi que réside la principale différence avec le RGPD. En ce qui concerne la punissabilité, il faut notamment tenir compte du fait qu’à partir du 1er septembre 2023, le non-respect de certaines obligations donnera lieu à une punissabilité, n’affectera pas l’entreprise, mais la personne physique qui en est responsable. Les personnes responsables peuvent être aussi bien des membres de la direction que d’autres personnes habilitées à prendre des décisions au sein de l’entreprise, ou encore les personnes qui ont commis un manquement à leurs obligations (par exemple, violation du secret). Toutefois, en droit suisse, seule la commission consciente est punissable.
Une amende pouvant aller jusqu’à 250 000 CHF peut être infligée en Suisse pour diverses infractions en matière de protection des données, notamment :
- Manque de transparence ou absence de déclaration de confidentialité
- Absence d’accords contractuels avec les responsables du traitement des données
- des manquements à la sécurité des données, comme des mesures techniques et organisationnelles (TOM) insuffisantes
- Transfert de données personnelles vers des pays ne disposant pas d’une protection suffisante des données, sans mesures de sécurité supplémentaires ou sans exception valable, telle qu’un consentement.
- Non-respect de l’obligation de fournir des informations
- Non-respect du soi-disant « petit secret professionnel
La loi révisée sur la protection des données en Suisse prévoit également des sanctions pénales pour les individus responsables de telles infractions.
FAQ sur la nouvelle nLPD
Qu’est-ce que la nouvelle loi suisse sur la protection des données ?
Il s’agit d’une révision de la loi sur la protection des données de 1992, qui est entrée en vigueur le 1er septembre 2023, afin de renforcer la protection des données en Suisse et de l’adapter au règlement général sur la protection des données de l’UE.
Quelles sont les sanctions en cas d’infraction à la nLPD ?
Les sanctions peuvent aller jusqu’à 250 000 CHF, et des sanctions pénales peuvent également être prises à l’encontre de personnes individuelles.
Que signifie « Privacy by Design » ?
C’est un principe selon lequel la protection et la sécurité des données sont intégrées dès le début dans la planification et le développement des projets.
Les entreprises doivent-elles informer les utilisateurs du traitement de leurs données ?
Oui, les entreprises doivent informer clairement leurs utilisateurs des données qui sont collectées et dans quel but.
La nLPD s’applique-t-elle également aux entreprises situées en dehors de la Suisse ?
Oui, la loi a un champ d’application transfrontalier et s’applique à tout site web qui traite des données personnelles de personnes en Suisse, indépendamment de leur localisation.
Quelles sont les exigences de la nouvelle nLPD en matière de consentement ?
Le consentement doit être spécifique, éclairé et volontaire, et les utilisateurs doivent avoir la possibilité de donner leur consentement pour différentes catégories de cookies.
Qui est concerné par la nouvelle loi sur la protection des données ?
Toute personne qui traite des données à caractère personnel est concernée par la loi. Cela vaut pour les entreprises, les associations, mais aussi pour les particuliers, dans la mesure où l’utilisation des données dépasse la sphère privée, comme la famille et les amis.
Clause de non-responsabilité ⚖️
Veuillez noter que ce blog post n’est qu’un bref résumé des aspects de la nouvelle loi sur la protection des données qui nous semblent importants. Nous ne sommes pas des experts juridiques ou des avocats. Pour obtenir des conseils juridiques complets, consultez un avocat qualifié afin de vous assurer que vous répondez à toutes les exigences légales. Notre source principale était ici Admin.ch : : Communiqué de presse : : Nouveau droit de la protection des données à partir du 1er septembre 2023
