{"id":9417,"date":"2023-08-31T15:57:00","date_gmt":"2023-08-31T13:57:00","guid":{"rendered":"https:\/\/www.cfi.ch\/?p=9417"},"modified":"2023-09-05T16:01:04","modified_gmt":"2023-09-05T14:01:04","slug":"comment-sadapter-a-la-nldp","status":"publish","type":"post","link":"https:\/\/cfi.ch\/en\/comment-sadapter-a-la-nldp\/","title":{"rendered":"Comment s’adapter \u00e0 la nLPD ?"},"content":{"rendered":"

Lors de sa session d\u2019automne 2020, le Parlement a adopt\u00e9 la nouvelle loi sur la protection des donn\u00e9es (nLPD). Cette derni\u00e8re permet d\u2019am\u00e9liorer le traitement des donn\u00e9es des citoyens suisses. Il s\u2019agit d\u2019un changement l\u00e9gislatif important et les entreprises devront s\u2019y conformer. Cette loi entrera en vigueur le 1er septembre 2023.<\/p><\/div>\n\n\n\n

Pourquoi est-elle n\u00e9cessaire<\/h2><\/div>\n\n\n\n

L\u2019utilisation d\u2019internet et d\u2019appareils connect\u00e9s est de plus en plus fr\u00e9quente et il est indispensable d\u2019assurer \u00e0 la population une protection de leurs donn\u00e9es optimis\u00e9e aux \u00e9volutions technologiques et sociales actuelles.<\/p>\n\n\n\n

Un autre aspect majeur de cette loi vise \u00e0 se conformer au plus possible \u00e0 la RGPD qui est la loi europ\u00e9enne sur la protection des donn\u00e9es afin de maintenir l\u2019\u00e9change de donn\u00e9es avec l\u2019Union europ\u00e9enne et d\u2019\u00e9viter une perte de comp\u00e9titivit\u00e9 des entreprises suisses.<\/p><\/div>\n\n\n\n

Que change r\u00e9ellement cette loi ?<\/strong><\/h2><\/div>\n\n\n\n

La nouvelle loi int\u00e8gre les huit changements majeurs pour les entreprises.<\/p><\/div>\n\n\n\n

1. Seules les donn\u00e9es des personnes physiques<\/strong><\/h4><\/div>\n\n\n\n

D\u00e9sormais la loi stipule que seules les personnes physiques seront couvertes par la nLPD. Les personnes morales ne seront plus directement concern\u00e9es par cette loi.<\/p><\/div>\n\n\n\n

2. Les donn\u00e9es g\u00e9n\u00e9tiques et biom\u00e9triques<\/strong><\/h4><\/div>\n\n\n\n

Les donn\u00e9es g\u00e9n\u00e9tiques et biom\u00e9triques permettant d\u2019identifier une personne de mani\u00e8re univoque sont d\u00e9sormais consid\u00e9r\u00e9es comme donn\u00e9es sensibles.<\/p>\n\n\n\n

Cela concerne principalement les empreintes digitales, les images faciales, de l\u2019iris et les proc\u00e9d\u00e9s de reconnaissance vocale qui permettraient d\u2019identifier une personne.<\/p><\/div>\n\n\n\n

3. Privacy by design et privacy by default<\/strong><\/h4><\/div>\n\n\n\n

La notion de privacy by design<\/strong> concerne le fait que lors du d\u00e9veloppement d\u2019un produit ou un service, la protection des donn\u00e9es doit \u00eatre prise en compte d\u00e8s la conception de ce dernier. Cette proc\u00e9dure permet de garantir un niveau de s\u00e9curit\u00e9 optimale.<\/p>\n\n\n\n

Le terme de privacy by default<\/strong> est \u00e9galement concern\u00e9 par cette nouvelle loi. Cela d\u00e9signe que des mesures de s\u00e9curit\u00e9 et de protection doivent \u00eatre activ\u00e9es par d\u00e9faut sans que l\u2019utilisateur final n\u2019ait \u00e0 interagir avec la solution afin de garantir un niveau de s\u00e9curit\u00e9 maximal.<\/p><\/div>\n\n\n\n

4. Analyse d\u2019impacts<\/strong><\/h4><\/div>\n\n\n\n

Lorsque le traitement des donn\u00e9es personnelles peut entra\u00eener un risque potentiellement \u00e9lev\u00e9 pour la personnalit\u00e9 ou les droits fondamentaux des personnes concern\u00e9es, les responsables du traitement des donn\u00e9es doivent effectuer une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es personnelles.<\/p><\/div>\n\n\n\n

5. Devoir d’informer<\/strong><\/h4><\/div>\n\n\n\n

Toute donn\u00e9e collect\u00e9e doit \u00eatre notifi\u00e9e \u00e0 l\u2019utilisateur final. Cette notification peut \u00eatre faite via les conditions g\u00e9n\u00e9rales du produit. Le consentement de l\u2019utilisateur n\u2019est en g\u00e9n\u00e9ral pas n\u00e9cessaire pour ces cas d\u2019utilisation. Cependant, le consentement devient n\u00e9cessaire \u00e0 partir du moment o\u00f9 des donn\u00e9es sensibles sont trait\u00e9es ou dans le cas d\u2019un profilage \u00e0 risque \u00e9lev\u00e9.<\/p><\/div>\n\n\n\n

6. Tenue d’un registre des activit\u00e9s de traitement<\/strong><\/h4><\/div>\n\n\n\n

Tenir un registre des activit\u00e9s de traitement permet d\u2019identifier la mani\u00e8re dont les donn\u00e9es personnelles sont trait\u00e9es dans l\u2019entreprise.<\/p><\/div>\n\n\n\n