| | Idées

Protection des données, en avant toute!

Isabelle Dubois

Isabelle Dubois est experte en protection des données personnelles et ancienne Préposée à la protection des données et à la transparence du canton de Genève

La protection des données, c’est un peu comme les relations sexuelles au sortir de l’enfance, tout le monde en parle (ou presque), mais personne ne sait vraiment ce que cela recouvre, et surtout implique. Et aujourd’hui, on en parle trop pour oser dire sa méconnaissance du sujet, et avouer que, non, on n’a pas encore intégré cela dans l’entreprise. Face à ce constat, deux positionnements possibles: on peut mettre la tête dans le sable; bon, ce n’est pas recommandé, c’est reculer pour mieux sauter. Ou alors, on peut prendre son courage à deux mains, et décider d’empoigner la thématique. C’est ce que l’on vous propose de faire ici.

L’historique: depuis les années 1980 (eh oui), la Suisse s’est engagée par la signature de traités internationaux à suivre les bonnes pratiques dans le traitement des données personnelles, en particulier celles traitées par ordinateur. Une bonne décennie après, fédéralisme oblige, la Suisse s’est dotée de la loi fédérale sur la protection des données, en vigueur depuis 1993, et toujours applicable aujourd’hui. Cette année, cette loi a été votée dans une nouvelle teneur, revisitée en quelque sorte, mise à jour en tous les cas et adaptée aux exigences des traités internationaux, eux aussi révisés, et du fameux RGPD, ce règlement général de l’Union européenne sur la protection des données, en vigueur depuis 2018.

Les bases: toutes les informations relatives à une personne et qui permettent de l’identifier, directement ou indirectement, doivent être traitées en application de principes qui garantissent à la personne concernée - vous, moi - que ces données personnelles ne sont pas traitées de manière abusive. C’est ainsi que la personne concernée doit savoir ce qui est traité la concernant, à quelles fins, combien de temps, si ces informations sont communiquées à des tiers, si oui lesquels, et où est-ce qu’elles sont conservées. Or, pour pouvoir informer la personne sur tout cela, et respecter ce que l’on appelle son droit d’accès, il faut le savoir soi-même, n’est-ce pas?

Les responsabilités: inutile de se le cacher, les chefs d’entreprise, des toutes petites aux plus grandes, sont responsables de la conformité en matière de traitement des données personnelles au sein de leurs institutions. Les responsables de traitement, comme les appelle désormais la loi, qui décident du but et du contenu des fichiers, applications et autres plates-formes où sont traitées les données personnelles, ce sont les conseils d’administration, au sein des sociétés anonymes, les comités de direction dans les autres formes d’entreprise et la plupart des PME, les directeurs et directrices des institutions publiques et parapubliques et les «patrons» des TPE.

Est-ce grave docteur? Pas du tout. En vérité, toutes ces personnes sont responsables d’une foule de choses, l’exigence de conformité n’étant pas l’apanage de la seule protection des données. Si vous vous demandez, à ce stade, combien vous risquez de devoir payer d’amende en cas de non-conformité, vous ne trouverez pas la réponse ici. Car la question n’est pas là, sérieusement. Il s’agit d’une responsabilité juridique, sociétale, citoyenne, de faire en sorte qu’une entreprise respecte les lois et par conséquent traite correctement les données personnelles qui sont sous sa responsabilité, qu’il s’agisse de celles de ses salariés, fournisseurs, partenaires, clients, patients, usagers…

Les étapes: prenez conscience de la thématique et informez-vous. Sur les sites des autorités de protection des données (en particulier l’autorité française très pédagogique à ce sujet) et auprès des chambres de commerce et d’industrie (par exemple la CVCI, sous l’onglet Évènements membres), on trouve de l’information fiable et gratuite. Réfléchissez à ce que vous pensez traiter, en interne, comme données personnelles, faites une sorte d’état des lieux mental, sollicitez vos différents services, départements, ou simplement collaboratrices et collaborateurs, recensez vos activités et examinez-les avec ces nouvelles lunettes que vous possédez depuis la lecture de cet article.

Évaluez les risques: si vous avez une toute petite entreprise qui ne traite comme données personnelles que celles de ses quelques salariés et fournisseurs, le risque apparaît comme faible. Si vous êtes une toute petite entreprise mais une start-up active dans les nouvelles technologies, il y a fort à parier que les enjeux sont importants. Plus vous avez un gros volume de données personnelles que vous traitez régulièrement (très nombreux clients, ventes en ligne, import-export…), ou plus vous avez de données sensibles de type santé (au sens large), activités ou opinions politiques, religieuses, aide sociale, poursuites, profilage, etc., plus le risque d’un traitement non conforme des données personnelles, de violations des droits de la personnalité, est élevé. Dans ces hypothèses, la mise en conformité n’est plus une option.

La révision de la loi fédérale sur la protection des données apporte quelques nouveautés: il faudra annoncer les violations de données, effectuer des analyses d’impact dans certaines circonstances, tenir un registre des traitements. Ce sera sans doute pour 2022. Pour l’instant, en 2021, il y a déjà bien à faire pour se préparer. Alors en avant, toute!

Heidi.news sur Telegram, chaque fin de journée, recevez les articles les plus importants.
Inscrivez-vous!

Lire aussi