Nouvelle loi sur la protection des données

Wednesday, May 1, 2024

Association Rotary Media CH/FL (ARM), mis à jour le 2 avril 2024

Le 1er septembre 2023, la nouvelle loi sur la protection des données (LPD) est entrée en vigueur, entraînant, pour les entreprises et autres organisations de droit privé (associations comprises), les changements majeurs suivants :

  1. Seules les données des personnes physiques seront dorénavant couvertes par la loi sur la protection des données, celles des personnes morales n’entrant plus dans son champ d’application.
  2. Les données génétiques et biométriques (art. 5 let. c LPD) entrent dans la définition des données sensibles.
  3. Les principes de protection des données dès la conception (privacy by design) et de protection des données par défaut (privacy by default) (art. 7 LPD) sont introduits. Comme son nom l’indique, le principe de protection des données dès la conception implique, pour les développeurs, d’intégrer la protection et le respect de la vie privée des utilisatrices et des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de protection des données par défaut assure, quant à lui, le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisatrices et des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisatrices et des utilisateurs. La configuration de POLARIS a été pensée dans le respect de ces principes.
  4. Des analyses d’impact relatives à la protection des données personnelles (art. 22 LPD) doivent être menées par la personne responsable, c’est-à-dire celle qui décide seule ou avec d’autres de la finalité du traitement des données personnelles ainsi que des outils mis en œuvre à cet effet, en particulier lors du recours à de nouveaux processus ou à de nouvelles technologies susceptibles de présenter un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Du point de vue des clubs, aucune intervention n’est nécessaire à ce niveau-là.
  5. Le devoir d’informer est étendu (art. 19 LPD): la personne concernée doit être informée en amont de chaque collecte de données personnelles, et non plus exclusivement lors de la collecte de données dites sensibles. Au Rotary, cette démarche s’opère par une information adéquate des nouveaux membres quant à l’enregistrement de leurs données personnelles dans POLARIS. La déclaration sur la protection des données disponible sur rotary.ch et sur le site internet du club va également dans ce sens.
  6. La tenue d’un registre des activités de traitement (art. 12 LPD) devient obligatoire. L’ordonnance relative à la loi prévoit toutefois des exceptions pour les entreprises et autres organisations de droit privé qui emploient moins de 250 personnes et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées. En principe, les Rotary clubs de Suisse et du Liechtenstein ne sont donc pas dans l’obligation de tenir un tel registre.
  7. Il est obligatoire d’annoncer dans les meilleurs délais (art. 24 LPD) les cas de violation de la sécurité des données entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Ils doivent être signalés au Préposé fédéral à la protection des données et à la transparence (PFPDT). À l’échelle des clubs individuels, il est recommandé que, dans le cas d’une violation présumée ou effective de la sécurité des données («data leak»), le CICO prenne contact sans délai avec le DICO, qui coordonnera les mesures consécutives avec l’équipe POLARIS, y compris la notification du PFPDT (qui a mis en ligne un portail de notification correspondant).
  8. Le terme de «profilage» (art. 5 let. f LPD; le traitement automatisé de données personnelles) a été intégré dans la loi. En principe, POLARIS ne procède pas à un tel traitement automatisé des données.
  9. Les dispositions pénales ont été renforcées (art. 60 ss LPD): en particulier, la violation de l’obligation d’informer ou des devoirs de diligence (p. ex. dans un contexte de communication des données personnelles à l’étranger, de recours à un sous-traitant ou de questions relatives à la sécurité des données) peut donner lieu à une amende pouvant atteindre CHF 250 000.–, la violation des principes de protection des données n’étant, elle, pas punissable. C’est la personne physique ayant commis la violation qui sera punie.

Pour le reste, les principes de protection des données ont été repris à l’identique, et la LPD ne comporte que de petits ajustements concernant la communication de données à l’étranger, le recours à un sous-traitant et les droits des personnes concernées. Contrairement au RGPD de l’UE, la LPD ne prévoit pas la fonction de délégué à la protection des données (DPO).

Que signifie la nouvelle LPD, notamment concernant l’utilisation des données des membres sur POLARIS? Comme le stipule la déclaration de protection des données (https://polaris.rotary.ch/fr/privacy-policy), chaque district et/ou Rotary club est responsable du traitement dans le cadre de son propre domaine d'accès à POLARIS et détermine les données à caractère personnel collectées.

Lors du développement de POLARIS, l’ARM a pris des mesures techniques (p. ex. restrictions d’accès, sauvegardes de données, etc.) et organisationnelles (p. ex. consignes aux administrateurs, accords de confidentialité, monitoring, etc.) adéquates afin de garantir la sécurité des données collectées et traitées et de protéger ces dernières de tout accès non autorisé et de toute utilisation abusive, perte, falsification ou destruction. L’accès aux données est réservé aux personnes (p. ex. CICO/DICO) qui en ont besoin pour s’acquitter de leurs tâches.

Pour toute question relative à la protection des données, veuillez adresser votre demande à l’office central suivant: dataprotection@rotary.ch.