L’essentiel sur la nouvelle loi fédérale sur la protection des données

L’essentiel sur la nouvelle loi fédérale sur la protection des données Ce à quoi les annonceurs publicitaires doivent faire attention

Le 1er septembre 2023 a été une date importante, y compris pour les publicitaires: c’était l’entrée en vigueur de la nouvelle loi fédérale suisse sur la protection des données. Quiconque utilise des données personnelles à des fins publicitaires doit respecter de nouvelles obligations d’informer, assumer une plus grande responsabilité dans le traitement des données personnelles et renforcer la sécurité des données. L’essentiel, en bref.

Le symbole de protection des données flotte au-dessus d’une tablette
Renforcement de l’obligation d’informer en matière de protection des données: les règles de la nouvelle loi fédérale sur la protection des données (LPD) s’appliquent également aux publicitaires suisses.

1. Améliorer la transparence

Les entreprises sont tenues d’informer les personnes physiques au sujet de la collecte de données personnelles avec précision et transparence, et de manière aussi claire que possible. Quiconque communique ses données personnelles doit savoir comment et dans quel but elles sont traitées.

Si des données sont partagées avec des prestataires étrangers, l’État par lequel l’accès aux données personnelles peut avoir lieu doit être indiqué. De nombreux publicitaires n’ont pas conscience que, souvent, l’intégration inchangée d’un «plug-in social» transmet déjà les données personnelles de chaque visiteur du site web à des réseaux sociaux aux États-Unis. Il revient aux entreprises d’informer les utilisateurs à ce sujet.

Grâce à une meilleure transparence, les personnes physiques ont la possibilité de faire valoir leurs droits en vertu de la loi fédérale sur la protection des données. Elles ont droit aux informations suivantes:

  • Obligation active d’informer: Les entreprises fournissent des informations détaillées sur leurs traitements des données, en particulier sur la finalité du traitement et sur la communication à des tiers. Les données doivent être utilisées exclusivement en vue de la finalité indiquée.
  • Obligation d’informer en cas de décision individuelle automatisée: Si l’évaluation du contenu des données (par exemple, vérification de la solvabilité, demande d’assurance) est effectuée par un programme informatique ou un algorithme, les personnes concernées doivent en être activement informées.
  • Droit à l’information: Les personnes concernées sont autorisées à demander et à obtenir des informations sur le traitement de leurs données.

Une exception aux obligations d’informer a été créée pour la transmission de données personnelles au sein d’un groupe, par exemple lorsque l’entreprise mère se charge du marketing des sociétés de son groupe. Il n’y a pas d’obligation fondamentale d’informer sur cette transmission interne au groupe.

Appréciation de Lukas Bühlmann, avocat et expert en protection des données
Portrait Lukas Bühlmann
Lukas Bühlmann, avocat et expert en protection des données

«Le principe de transparence est sans aucun doute la règle fondamentale la plus importante en matière de protection des données. Les entreprises doivent se poser la question: comment s’assurer que les personnes concernées sont suffisamment informées quant à notre manière de collecter et traiter les données? Les déclarations de protection des données sont adaptées à cet effet. Elles doivent être compréhensibles, actualisées et accessibles. Autrement, la transparence n’est pas garantie. Par ailleurs, les entreprises doivent être conscientes que le traitement des données est toujours lié à un but – plus précisément, au but défini et communiqué lors de la collecte des données. Ainsi, quiconque collecte aujourd’hui une adresse e-mail dans le but de faire du marketing par e-mail ne pourra l’utiliser que dans cet unique but.»

Pourquoi la Suisse a-t-elle réexaminé sa législation en matière de protection des données?

2. Assurer la protection des données sur le plan technique et organisationnel

Les entreprises doivent concevoir le traitement de leurs données sur le plan technique et organisationnel de manière à respecter les prescriptions en matière de protection des données et à limiter l’utilisation des données en vue de la finalité définie. Deux mesures permettent d’y parvenir:

  • Conception technique (Privacy by Design): La protection des données est prise en compte dès le début du développement de logiciels et de matériel informatique, dès lors que des données personnelles doivent être traitées. Pour les publicitaires, cela signifie par exemple qu’ils doivent veiller, lors de l’achat de logiciels, à ce que les données puissent être supprimées de manière granulaire – c’est-à-dire par séquences individuelles et non par ensembles complets. Si une personne demande la suppression de ses données, l’entreprise peut s’épargner des ennuis et des frais en appliquant systématiquement le principe de «Privacy by Design».
  • Paramètres prédéfinis (Privacy by Default): La protection des données doit être garantie par des paramètres par défaut favorables à la protection des données. Ainsi, les utilisatrices et utilisateurs peu technophiles et qui ne sont pas en mesure d’adapter les paramètres de protection des données à leurs préférences sont également protégés. Les entreprises peuvent par exemple suivre ce principe lors de la conception de leur bannière relative aux cookies, qui fait la distinction entre les cookies techniquement nécessaires et les cookies d’analyse web. Les cookies d’analyse web doivent être désactivés par défaut et activés uniquement après consentement explicite.
Les personnes concernées ont des droits étendus

3. Garantir la sécurité des données

Les entreprises doivent sécuriser leurs données par des mesures techniques et organisationnelles appropriées. L’objectif est de protéger suffisamment les données de tout type – y compris les données personnelles – contre la manipulation, la perte, la prise de connaissance non autorisée par des tiers, ou d’autres menaces. Les mesures possibles comprennent notamment:

  • Restriction d’accès: seules les personnes disposant d’une autorisation d’accès peuvent accéder aux données personnelles.
  • Contrôle d’accès: empêche les personnes non autorisées d’utiliser les systèmes de traitement des données.
  • Transmission des données plus sécurisée: les entreprises s’assurent que les données ne peuvent pas être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission.
  • Sauvegarde des données: les sauvegardes multiples protègent les entreprises contre les pertes de données.
  • Directives et sensibilisation: les règlements, les directives et les formations permettent de veiller à ce que les collaboratrices et collaborateurs soient conscients des risques liés à l’utilisation et au traitement des données et qu’ils les manipulent en toute sécurité.
Renforcement du rôle du préposé fédéral à la protection des données et à la transparence (PFPDT)

4. Tenir un registre des activités de traitement

En vertu de la nouvelle législation, chaque entreprise doit tenir un registre des activités de traitement dans lequel elle décrit les données qu’elle relève, les raisons à cela, les personnes avec lesquelles elle les partage et la manière dont elle les protège. Le registre des activités de traitement est en quelque sorte une cartographie de l’entreprise en matière de protection des données. Selon la loi, les entreprises de moins de 250 collaboratrices et collaborateurs, dont le traitement de données comporte de faibles risques, font exception à cette règle.

Dès qu’une entreprise traite des données sensibles, elle doit tenir un registre des traitements. Cela est également valable pour les entreprises de moins de 250 collaboratrices et collaborateurs, telles que les cabinets médicaux. De même, les agences de publicité ne pourront pas se passer d’un registre de traitement si elles pratiquent le profilage à risque élevé, ou si elles traitent des données sur mandat ou des données sensibles. Toutefois, il est également dans l’intérêt des entreprises de tenir un registre des traitements: elles gagnent ainsi en clarté sur leurs traitements de données et peuvent anticiper les écueils.

Lukas Bühlmann, avocat et expert en protection des données

Les aspects suivants devraient au moins figurer dans l’inventaire du traitement des données:

  • La personne en charge de la protection des données
  • Finalité du traitement des données personnelles collectées
  • Description des catégories de personnes concernées
  • Description des catégories de personnes concernées
  • Catégories des destinataires des données personnelles
  • Si possible: durée de conservation des données personnelles ou critères de détermination de cette durée
  • Si possible: description générale des mesures prises pour garantir la sécurité des données (mesures techniques et organisationnelles)
  • Si des données sont communiquées à l’étranger: indication de l’État concerné et des garanties exigées par l’article 16, alinéa 2, LPD

Les personnes qui souhaitent volontairement tenir un registre des traitements et se familiariser avec le sujet peuvent créer ce registre dans un tableau Excel. En revanche, celles qui doivent tenir un registre et traiter des données complexes devraient utiliser un logiciel adapté à cet effet. Il ne faut pas oublier que le registre des activités de traitement nécessite un soin continu: il doit être complété, modifié et saisi à nouveau.

Lukas Bühlmann, avocat et expert en protection des données

5. Effectuer une analyse d’impact relative à la protection des données

L’analyse d’impact relative à la protection des données est une estimation des risques en matière de protection des données lors de leur traitement. Elle contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prises pour la protéger. Dès lors que des publicitaires souhaitent utiliser des données particulièrement sensibles ou pourraient créer d’une autre manière un risque élevé pour les droits ou la personnalité des personnes concernées, ils doivent effectuer une analyse d’impact relative à la protection des données. Elle doit être conservée au moins deux ans après la fin du traitement des données.

Quiconque utilise de nouvelles technologies telles que l’intelligence artificielle ou pratique un profilage à forte intensité de données (voir point suivant) ne peut guère faire l’économie d’une analyse d’impact relative à la protection des données. Dans l’UE, les autorités de surveillance publient des whitelists (pas d’analyse d’impact nécessaire) et des blacklists (analyse d’impact nécessaire). Les publicitaires peuvent également s’orienter vers ces listes en Suisse jusqu’à ce que le préposé fédéral à la protection des données et à la transparence ait établi ses propres lignes directrices.

Qu’entend-on par données personnelles sensibles?

Les publicitaires doivent prendre en compte les risques liés au traitement des données. Pour simplifier, ils devraient se poser les questions suivantes: qu’est-ce qui peut aller de travers? Quel est le risque que cela se passe mal? Et quelle est l’ampleur des dégâts si cela se passe mal? L’analyse d’impact relative à la protection des données est un outil qui permet d’évaluer les risques de manière un peu plus complète. Les personnes qui doivent effectuer une analyse d’impact peuvent s’inspirer de modèles, utiliser des outils tels que «One Trust» ou faire appel à un expert en protection des données.

Lukas Bühlmann, avocat et expert en protection des données

6. Obtenir un consentement explicite pour le profilage

Le profilage consiste à traiter et à évaluer automatiquement des données à caractère personnel afin d’évaluer, d’analyser ou de prédire certains aspects personnels, tels que la situation économique, la santé, les préférences, les intérêts et le comportement. Une telle analyse des données personnelles est donc assistée par ordinateur, par exemple à l’aide d’un algorithme. S’il s’agit de données à haut risque, le consentement explicite de la personne concernée est désormais nécessaire. La mention «En visitant ce site, vous acceptez le profilage à des fins publicitaires» ne suffit plus.

La loi fédérale sur la protection des données parle d’un risque élevé lorsque le profilage conduit «à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique». Le législateur n’a donc pas clarifié la question de savoir ce qui constitue un risque élevé nécessitant un consentement explicite. Les publicitaires devraient s’inspirer des pratiques de l’UE, car la Suisse s’aligne sur les normes européennes avec sa nouvelle loi fédérale sur la protection des données. Dans l’UE, la tendance est à l’obtention générale du consentement pour le profilage à des fins publicitaires. Les personnes qui peuvent documenter dès aujourd’hui le consentement explicite des consommatrices et consommateurs au profilage à des fins publicitaires – par exemple en cochant une case – sont du bon côté de la barrière. En l’absence de consentement explicite au profilage, il convient de l’obtenir ultérieurement, en fonction du risque.

Le consentement n’est pas nécessaire pour le profilage normal en Suisse. Cependant, si les publicitaires effectuent un profilage à haut risque, ils doivent obtenir le consentement explicite de la personne concernée. Cela peut par exemple être effectué en cochant une case. Cependant, en l’absence de valeur seuil bien définie, il n’est pas toujours facile de déterminer à partir de quand un profilage peut être considéré comme à haut risque. Chaque cas doit donc être considéré à sa juste valeur.

Lukas Bühlmann, avocat et expert en protection des données

7. Signaler les violations de la protection des données

En cas de violation de la protection des données, il existe un risque d’atteinte à la protection de la personnalité ou aux droits fondamentaux des personnes concernées. Pareil constat doit dorénavant être signalé au préposé fédéral à la protection et à la transparence (PFPDT). Si nécessaire pour leur protection, les personnes concernées doivent également être informées de la violation de la protection des données.

Les personnes qui ne respectent pas l’obligation de communiquer ne sont pas soumises aux sanctions pénales prévues par la loi. Toutefois, une violation de la protection des données peut également avoir des conséquences sur le plan du droit civil si elle n’est pas signalée au PFPDT ou aux personnes concernées. Par exemple, si une entreprise ne signale pas un vol de données personnelles parce qu’elle ne veut pas admettre avoir été piratée, les personnes concernées sont inutilement lésées. Ces personnes peuvent alors éventuellement intenter une action civile contre la violation de l’obligation de communiquer.

Lukas Bühlmann, avocat et expert en protection des données

8. Sanctions

La nouvelle loi sur la protection des données permet à la Suisse de renforcer ses sanctions en cas de violation de la protection des données. Contrairement à l’UE, ce ne sont pas les entreprises qui sont sanctionnées en premier lieu, mais les particuliers – par exemple, les collaboratrices et collaborateurs et les cadres responsables du traitement des données. Le montant des amendes peut s’élever à 250 000 francs. Sont sanctionnés les manquements intentionnels ou éventuellement intentionnels à différentes obligations prévues par la nouvelle loi, notamment le non-respect des obligations d’information, de renseignement, de coopération ou de diligence.

Les entreprises ont une obligation de prévoyance envers leurs collaborateurs. Afin de les protéger de toute accusation de comportement répréhensible, il leur faut se conformer autant que possible à la protection des données, tout en sensibilisant les collaboratrices et collaborateurs à cette dernière. Concrètement, les entreprises devraient se demander quels aspects de leurs traitements de données sont punis par la loi fédérale sur la protection des données. Il convient d’accorder une attention particulière à ces aspects.

Lukas Bühlmann, avocat et expert en protection des données

Comment regrouper vos données d’adresse avec méthode

Vos données d’adresses valent de l’or. Mais lorsqu’elles sont réparties entre différentes équipes et différents systèmes, elles ne servent pas à grand-chose et sont rapidement obsolètes. Optez donc pour la centralisation des données dans une base de données CRM. Notre guide vous montre pas à pas comment procéder.

Demander maintenant le guide gratuit

Partager sur