Nouvelle loi sur la protection des données

La nouvelle loi sur la protection des données entrera en vigueur dans un peu plus d’un an. Que signifie cela pour les publicitaires? DirectPoint a consulté deux experts en protection des données. Un aperçu et douze réponses que vous devez connaître.

La protection des données est un thème devenu familier aux publicitaires, surtout depuis mai 2018. C’est à ce moment qu’est entré en vigueur le règlement général sur la protection des données (RGPD) dans l’Union européenne. Le RGPD touche également les entreprises nationales actives sur le marché européen. La loi suisse s’aligne à présent sur les normes européennes. La révision touche notamment la branche dans les domaines suivants:

• Transparence: des obligations d’information plus strictes envers les personnes concernées s’appliqueront.
• Responsabilité: les entreprises devront assumer davantage de responsabilités quant aux conséquences de leurs activités dans les activités à risque.
• Surveillance: le préposé fédéral à la protection des données et à l’information aura davantage de pouvoirs de contrôle.

Que signifie cette évolution concrètement? À quoi devrez-vous dorénavant veiller lorsque vous utilisez des données personnelles à des fins publicitaires? DirectPoint a posé onze questions à ce sujet à deux juristes et experts en protection des données, Lukas Bühlmann et Damian George. Vous devriez connaître leurs réponses si vous souhaitez à l’avenir miser sur la sécurité en matière de protection des données.

Pourquoi la Suisse adapte-t-elle sa loi sur la protection des données?

La loi actuelle sur la protection des données (LPD) datant de 1992 ne répond plus aux normes internationales. Depuis 2018, avec le Règlement général sur la protection des données de l’Union européenne (RGPD), des obligations plus strictes s’appliquent au sein de l’Union européenne concernant les clauses de consentement liées à la protection des données (compliance). Sans adaptation de la LPD, l’UE n’attesterait plus un niveau de protection des données adéquat à la Suisse, ce qui entraînerait un travail supplémentaire et des coûts dans le commerce avec l’UE. Cette harmonisation permet aux entreprises actives dans le commerce transfrontalier d’uniformiser leurs processus. En outre, la nouvelle loi a pour but d’améliorer la protection de la personnalité à l’ère numérique.

Quand la nouvelle loi sur la protection des données entrera-t-elle en vigueur?

Le délai référendaire court jusqu’à mi-janvier 2021. Si ce délai s’écoule sans suite, la nouvelle loi sur la protection des données devrait entrer en vigueur début 2022. Le Conseil fédéral fixera la date précise. Attention: la nouvelle loi ne prévoit aucun délai de transition.

Dans quels domaines les publicitaires seront-ils particulièrement concernés?

La loi sur la protection des données doit être une loi transversale neutre du point de vue technologique. Tous les domaines et branches sont concernés par la «compliance» renforcée, en particulier là où ceux-ci misent sur une forte personnalisation ou utilisent des outils techniques de prestataires extra-européens. L’intégration des outils de suivi et d’analyse web mis à disposition par Google et Facebook nécessitait déjà jusqu’à présent un examen sur le plan du droit de la protection des données et devrait désormais être adaptée sans retard aux exigences légales. Le «Programmatic Advertising» (achat et vente automatiques et personnalisés de surfaces publicitaires) se retrouve de plus en plus sous le feu des projecteurs des autorités de surveillance européennes et pourrait également faire l’objet de discussions dans notre pays. Des obligations de transparence accrues s’appliquent également pour le marketing par e-mail classique ou pour les analyses des relations clients (CMR). Les entreprises ayant fait leur travail concernant le RPGD peuvent s’attaquer plus tranquillement à ce thème que celles qui spéculent que rien ne changera chez nous

Lesquelles des nouvelles obligations d’informer sont pertinentes pour les publicitaires?

La nouvelle obligation explicite d’informer sur le but du traitement de données (publicité) ainsi que sur la transmission à des tiers est particulièrement pertinente. Si des données sont partagées avec des prestataires étrangers, il doit en outre être communiqué par quel État l’accès aux données personnelles peut avoir lieu. De nombreux publicitaires n’ont pas conscience que, souvent, l’intégration inchangée d’un «plug-in social» transmet déjà les données personnelles de chaque visiteur du site web à des réseaux sociaux aux États-Unis, et qu’une information à ce sujet doit avoir lieu. Une exception aux obligations d’informer a été créée pour la transmission de données personnelles au sein d’un groupe, quand p. ex. la maison mère se charge du marketing des sociétés du groupe. Dans ce cas, il n’existe en principe pas d’obligation d’informer. Toutefois, une autorisation peut être nécessaire dans des cas isolés si le traitement de données porte atteinte à la personnalité.

Qu’est-ce qui change dans le domaine du profiling (création de profils de personnalité)?

Jusqu’ici, le profiling ne nécessitait pas toujours un consentement. Même dans les cas où celui-ci était nécessaire, il pouvait être déduit et octroyé de manière tacite (à partir du comportement de la personne). Désormais, la loi stipule qu’un consentement exprès de la personne doit être disponible pour le profiling ayant un risque élevé. L’analyse de traits de caractère ainsi que la création de profils longitudinaux sur une longue période ne devraient plus être autorisées qu’avec un consentement exprès. La remarque «En poursuivant votre visite sur ce site, vous acceptez le profiling à des fins publicitaires» ne suffit plus. Malheureusement, le législateur n’a pas entièrement clarifié la question de savoir ce qu’est un risque élevé qui requiert un consentement exprès. Les publicitaires doivent s’orienter sur les pratiques de l’UE étant donné que la nouvelle loi sur la protection des données entend uniformiser les règles du jeu. La tendance y est qu’un consentement au profiling à des fins publicitaires doit être demandé. Pouvoir documenter dès maintenant le consentement exprès du client au profiling à des fins publicitaires, p. ex. en cochant une case, permet d’assurer ses arrières. En l’absence de consentement exprès au profiling documenté, celui-ci doit être demandé après coup en fonction du risque.

Quelles données sont réputées «sensibles»?

Certaines données particulièrement délicates en raison de leur contenu sont réputées sensibles par la loi sur la protection des données. Cela englobe p. ex. les données sur les opinions religieuses ou politiques, les données de santé ainsi que, désormais, les données génétiques. La gestion des données personnelles sensibles requiert une prudence particulière, car des obligations spéciales s’appliquent (voir également la question suivante). Souvent, un consentement exprès de la personne concernée est nécessaire si les données sont utilisées en relation avec la publicité.

Dans quels cas les publicitaires doivent-ils procéder à une analyse d’impact relative à la protection des données?

Une analyse d’impact relative à la protection des données est une analyse systématique et documentée de risques liés au droit de la protection des données d’un traitement de données particulier ou d’un processus de traitement des données. Elle a lieu avant que ce processus soit mis en œuvre. Dès lors que des publicitaires souhaitent utiliser des données particulièrement sensibles, surveiller systématiquement l’espace public ou pourraient créer d’une autre manière un risque élevé pour la personnalité des personnes concernées, ils doivent effectuer une analyse d’impact relative à la protection des données. L’utilisation de nouvelles technologies misant p. ex. sur l’intelligence artificielle ou nécessitant un profiling à forte consommation de données requiert également souvent une analyse d’impact relative à la protection des données. Dans l’UE, les autorités de surveillance publient des «whitelists» (pas d’analyse d’impact nécessaire) et des «blacklists» (analyse d’impact nécessaire). Les publicitaires peuvent s’orienter sur celles-ci tant qu’aucune ligne directrice du préposé fédéral à la protection des données et à la transparence (PFPDT) ne sera disponible.

Quelles nouveautés y a-t-il dans le domaine de la portabilité des données?

La nouvelle LPD reprend du RGPD l’idée d’un droit à la portabilité des données. Dorénavant, toute personne peut exiger que ses données personnelles soient transférées d’un prestataire à un autre. Cependant, ce droit à la portabilité englobe uniquement des donnés ayant été chargées ou saisies par l’utilisatrice ou l’utilisateur lui-même. Les données d’analyse ne doivent pas être transmises à la concurrence. Dans l’UE, le droit à la portabilité ne joue pas de rôle important dans la pratique jusqu’ici. Il devrait également avoir une faible importance pour les publicitaires en Suisse.

Dans quels cas les publicitaires doivent-ils tenir un registre des activités de traitement?

Un registre des activités de traitement représente la carte de l’entreprise sur le plan de la protection des données. L’entreprise y décrit les données qu’elle relève, les raisons à cela, les personnes avec lesquelles elle partage les données et la manière dont elle protège les données. En principe, selon la nouvelle législation, chaque entreprise doit tenir un registre des activités de traitement, à l’exception des entreprises de moins de 250 collaborateurs dont le traitement de données recèle de faibles risques, ce qui n’est guère le cas dans le secteur publicitaire. Mais le Conseil fédéral pourra prévoir d’autres exceptions, et le fera. Si des publicitaires travaillent uniquement pour le compte d’un client et si celui-ci détermine lui-même les paramètres principaux d’une campagne, ils seront au moins dans l’obligation de tenir un registre moins détaillé à ce sujet.

Qu’est-ce qui changera pour les publicitaires étrangers actifs sur le marché suisse?

Désormais, les publicitaires étrangers seront tenus de désigner un représentant en Suisse s’ils observent p. ex. le comportement de clients suisses ou utilisent les données de ces clients à grande échelle. Ce représentant sera le point de contact pour les questions de la protection des données. Inversement, il existera une telle obligation pour les publicitaires suisses travaillant dans l’UE. En outre, la nouvelle loi sur la protection des données stipule que cela s’appliquera à toutes les activités publicitaires ayant des répercussions en Suisse, ce qui correspond toutefois à la législation actuelle.

«Privacy by Design» et «Privacy by Default»: à quoi les publicitaires doivent-ils veiller?

«Privacy by Design» signifie que, pour des activités entraînant un traitement de données, les publicitaires doivent réfléchir dès le début à la protection des données et prendre des mesures appropriées. Les publicitaires qui ont p. ex. veillé, lors de l’achat d’un logiciel, à ce que celui-ci puisse supprimer les données de manière granulaire (donc certaines séquences au lieu de tout l’enregistrement) mettent en œuvre le «Privacy by Design». Si une personne concernée exige la suppression des données, on peut faire l’économie de problèmes et d’argent en mettant systématiquement en œuvre le «Privacy by Design». «Privacy by Default» signifie que la protection des données est assurée par des dispositifs au niveau des processus et des logiciels. Ainsi, quand on crée une bannière relative aux cookies, on doit p. ex. faire la distinction entre cookies nécessaires sur le plan technique et cookies d’analyse web. Les cookies d’analyse web doivent être désactivés par défaut et activés uniquement après consentement.

Quelles sont les principales différences entre la loi sur la protection des données de la Suisse et celle de l’UE?

Notre loi sur la protection des données est plus libérale, car elle ne suit pas un principe d’interdiction, ce qui restera inchangé après la révision. Ainsi, dans des cas isolés, il est même possible de traiter des données sans consentement alors que dans le RGPD, un consentement ou une autorisation légale est toujours nécessaire. Une différence importante est également le fait que notre loi sur la protection des données est moins stricte concernant les exigences en matière de validité d’un consentement. Ainsi, la visite d’un site web peut être effectuée en fonction de l’accord au consentement au webtracking. En revanche, la question de savoir si un «cookie wall» est autorisé est sujette à des controverses, les règles de la directive «E-Privacy» jouant également un rôle. Enfin, une autre différence essentielle concerne les sanctions. En Suisse, les collaborateurs en charge du traitement de données et les dirigeants responsables sont sanctionnés en premier lieu d’amendes pénales allant jusqu’à 250 000 francs. Les entreprises elles-mêmes sont uniquement responsables à titre subsidiaire. Dans l’UE, si les amendes sont plus élevées, elles s’adressent uniquement aux entreprises. L’expérience montrera dans quelle mesure cette approche est plus avantageuse pour les entreprises. Dans tous les cas, toutes les entreprises et les personnes responsables au sein de celles-ci seront bien avisées de mettre à profit l’année prochaine pour examiner de manière critique leurs processus et leurs traitements de données et pour engager, là où cela s’avère nécessaire, des adaptations.