LPD Informations pour indépendants et PME

Le 1^er septembre 2023 est entrée en vigueur la nouvelle loi fédérale sur la protection des données personnelles (LPD). Cette nouvelle loi, tout comme son ordonnance d’application (OPDo), est applicable dès qu’il y a un traitement de données personnelles effectué par des personnes privées, qu’elles soient physiques ou morales, ainsi que par l’administration fédérale. Cela concerne donc toutes les entreprises de Suisse, quelles que soient leurs tailles. Vous trouverez, ci-dessous, quelques concepts clés et outils pratiques afin de vous guider dans la mise en conformité de votre entreprise.

1. Quelques définitions

Données personnelles : toutes les informations concernant une personne physique identifiée ou identifiable.

Données personnelles sensibles : les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, les données sur la santé, la sphère intime ou l’origine raciale ou ethnique, les données génétiques, les données biométriques identifiant une personne physique de manière équivoque, les données sur des poursuites ou sanctions pénales et administratives, les données sur des mesures d’aide sociale.

Traitement : toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.

Personne concernée : la personne physique dont les données personnelles font l’objet d’un traitement.

Responsable de traitement : la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.

Sous-traitant : la personne privée ou l’organe fédéral qui traite des données personnelles pour le compte du responsable du traitement. Agira par exemple en qualité de sous-traitant, le fournisseur en service de nuage à qui le responsable de traitement à externalisé des fonctions informatiques.

2. Les principes de base

Les principes de base de la protection des données restent inchangés : licéité, bonne foi, finalité, transparence, proportionnalité, exactitude et sécurité des données doivent s’appliquer à tous les traitements de données personnelles.

3. Les actions de mise en conformité

Sans se vouloir exhaustive, nous vous proposons, ci-dessous, une liste des principales actions à mener afin d’entamer votre démarche de conformité.

Identification des rôles :

Toute entreprise est amenée à réaliser, dans le cadre de ses activités, des traitements de données personnelles, que ce soit celles de ses clients, collaborateurs ou encore de ses fournisseurs. Il convient d’identifier quelles sont ses responsabilités vis-à-vis de ces données, en déterminant si la personne privée agit en tant que responsable de traitement ou sous-traitant. Le responsable de traitement doit s’assurer que son sous-traitant est en mesure de garantir la sécurité des données qu’il lui transmet. Cela passe notamment par la conclusion de clauses contractuelles relatives à la protection des données. Si, par exemple, votre entreprise a externalisé la gestion des salaires à une fiduciaire, elle doit mettre en place un contrat pour déterminer clairement la façon dont ce tiers, à savoir le fiduciaire, traite les données personnelles, les mesures de sécurité que celle-ci met en place et si elle peut-elle même sous-traiter le traitement à un autre tiers.

Information aux personnes concernées :

À chaque fois que le responsable de traitement collecte des données personnelles, quel que soit le support, comme un formulaire de contact sur un site internet, un formulaire papier ou une inscription à un évènement, les personnes concernées transmettant leurs données personnelles doivent obtenir les informations suivantes (art. 19 LPD) : l’identité et les coordonnées du responsable du traitement, la finalité du traitement et le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises.

Lorsque les données ne sont pas collectées directement auprès de la personne concernée, les catégories de données qui sont collectées doivent être mentionnées.
En cas de transfert de données à l’étranger, ce qui peut par exemple être le cas si vous sous-traitez des données personnelles à un hébergeur informatique sis hors de Suisse, le nom de l’état auquel les données sont communiquées ainsi que, cas échéant, les garanties prévues pour la communication à l’étranger doivent être indiquées.
Cette information peut par exemple se faire via des conditions générales ou une politique de confidentialité.

Elaboration du registre des activités de traitement :

La tenue du registre des activités de traitements n’est pas obligatoire pour les responsables de traitement et les sous-traitants dans les entreprises employant moins de 250 collaborateurs et qui n’effectuent aucun traitement portant sur des données sensibles à grande échelle ou constituant un profilage à risque élevé. Inversement, si vous ne remplissez aucune de ces conditions, il n’y a pas d’obligation de tenir un registre des activités de traitement. On parle par exemple de traitement de données sensibles à grande échelle lorsqu’un hôpital traite des données médicales de ses patients. Le « profilage » désigne toute forme de traitement automatisé de données personnelles servant à évaluer certains aspects personnels relatifs à une personne physique dans la mesure où il vise à analyser ou à prédire des éléments concernant par exemple le rendement au travail, la situation économique, la santé, etc. Un profilage entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée lorsqu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Concrètement, il s’agit d’un inventaire des processus ou des activités dans le cadre desquels des données personnelles sont traitées. Aucun format n’est exigé par la loi, il est le plus souvent réalisé sous format Excel, Word ou au moyen d’un logiciel spécifique. Un exemple de registre est disponible dans les liens et modèle ci-dessous.

Identification des communications de données à l’étranger :

Lorsqu’un transfert de données vers l’étranger a lieu, la législation de l’Etat destinataire doit assurer un niveau de protection correspondant à celui de la Suisse. A titre d’exemple, le recours à une solution informatique cloud dont les données sont hébergées aux Etats-Unis constitue une communication de données à l’étranger. Le Conseil fédéral a établi une liste des pays disposant d’un niveau de protection adéquat. Si l’Etat destinataire figure sur la liste du Conseil fédéral, les données personnelles peuvent lui être communiquées sans mesures supplémentaires. Dans l’hypothèse où l’Etat destinataire ne figure pas sur ladite liste, les données peuvent être communiquées pour autant que leur protection soit assurée par une des garanties reconnues par la LPD (art. 17). La garantie la plus couramment utilisée est l’intégration des clauses contractuelles types au contrat de prestation . Vous trouverez la liste du Conseil fédéral dans les liens et modèle ci-dessous.

Mise en place des mesures techniques et organisationnelles de sécurité des données :

Le responsable de traitement doit mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données. Le sous-traitant éventuel, par exemple le fournisseur en service de nuage à qui le responsable de traitement à externalisé des fonctions informatiques, devra lui aussi prendre de telles mesures. Ces mesures sont par exemple la sécurité physique des locaux, la journalisation des accès ou encore le chiffrement des données personnelles. Ces mesures doivent être appropriées en fonction des risques que le traitement présente pour la personnalité ou les droits fondamentaux des personnes concernées.

Gestion des droits individuels :

Les personnes concernées disposent de droits individuels sur leurs données personnelles qu’elles peuvent exercer auprès des responsables de traitement . Il s’agit des droits d’accès, de rectification, d’opposition, de portabilité ou encore d’effacement. Le responsable de traitement dispose de 30 jours pour répondre à la personne concernée lorsqu’elle fait valoir l’un de ses droits. Il convient dès lors de définir la procédure à suivre en cas de demande d’exercice d’un droit individuel, en particulier en désignant la personne compétente pour répondre au sein de l’entreprise.

Gestion des incidents de sécurité des données :

Lorsqu’un incident de sécurité portant sur des données personnelles est avéré et s’il représente vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, ce dernier doit être annoncé à l’autorité de contrôle à savoir, le Préposé fédéral à la protection des données et à la transparence (PFPDT). Il convient également d’informer directement les personnes concernées de la violation si cela est nécessaire à leur protection. Vous trouverez le lien du service en ligne d’annonce de violation de la sécurité des données dans les liens et modèle ci-dessous.

Analyse d’impact :

C’est un processus d’auto-évaluation interne qui doit être fait lorsqu’un traitement de données personnelles présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée . Un logiciel gratuit permettant la réalisation d’une analyse d’impact est disponible ci-dessous dans la rubrique liens et modèle.

Conseiller à la protection des données :

Sa mission est de contrôler le respect de la bonne application de la loi fédérale sur la protection des données par le responsable de traitement et de le conseiller dans ce domaine. Il peut être un collaborateur interne à l’entreprise ou un tiers externe. Il n’existe toutefois aucune obligation légale pour les personnes privées de nommer un conseiller à la protection des données. La désignation d’une personne responsable de la protection des données à l’interne disposant des connaissances appropriées peut néanmoins s’avérer souhaitable car cela permet de confier à une personne, l’identification et la coordination des actions à mener en matière de protection des données.

Vous êtes indépendant ou patron d’une PME et traitez des données personnelles ?

Voici un bref résumé des principales actions à entreprendre. Pour plus de détails, vous pouvez consulter le point 3 “Les actions de mise en conformité” ci-contre.

Etat des lieux et identification des rôles :

il convient de déterminer quelles sont les données stockées, comment sont-elles traitées, par qui et qui sont les personnes qui y ont accès. Si vous externalisez certains services, par exemple la gestion des salaires à une entreprise fiduciaire, il convient de revoir les contrats vous liant à vos prestataires afin de vous assurer qu’ils respectent eux aussi les exigences en matière de protection des données.

Information :

dès qu’il y a une collecte de données personnelles auprès d’une personne physique, la loi prévoit que doivent lui être communiqués, l’identité du responsable de traitement, le but de la collecte, les destinataires ainsi que les pays étrangers auxquels les données sont transmises. Cette information peut se faire par le biais de votre politique de confidentialité.

Registre des activités de traitement :

si vous employez plus de 250 collaborateurs ou que vous effectuez un traitement portant sur des données sensibles à grande échelle ou constituant un profilage à risque élevé, vous devez établir un registre des activités de traitement. Si aucune de ces conditions n’est remplie, vous n’avez pas d’obligation d’en établir un. Le registre des activités de traitement est un inventaire des données personnelles que vous traitez.

Gestion des droits individuels :

des procédures internes pour apporter des réponses rapides et complètes aux demandes des personnes doivent être mises en place, notamment en désignant une personne de contact responsable de traiter les demandes d’accès.

Gestion des incidents de sécurité :

des procédures internes doivent être établies en cas de violations de la sécurité des données afin de pouvoir les annoncer, dans les cas où cela est nécessaire, à l’autorité de contrôle ou aux personnes concernées.

Les cookies

Si vous gérez un site internet ou un service en ligne et que vous souhaitez utiliser des cookies ou autres technologies de traçage, il faut installer sur votre site, sous forme de fenêtre pop-up par exemple, une bannière de gestion des cookies afin de garantir l’information et le consentement de la personne concernée.

Vous êtes indépendant ou patron d’une PME et traitez des données personnelles ?

Voici un bref résumé des principales actions à entreprendre. Pour plus de détails, vous pouvez consulter le point 3 “Les actions de mise en conformité” ci-dessus.

Etat des lieux et identification des rôles :

Information :

Registre des activités de traitement :

Gestion des droits individuels :

Gestion des incidents de sécurité :

Les cookies

Liens et modèles

Annonce des violations de sécurité des données :
Le PFDPT met à disposition des personnes privées, responsable de traitement, un formulaire en ligne afin de lui notifier toute violation de sécurité des données lorsque cela est nécessaire.

consulter

Liste des pays disposant d’une législation adéquate en cas de transfert de données personnelles transfrontalier

consulter

Logiciel CNIL AIPD :
L’autorité française de protection des données (la CNIL) met à disposition un logiciel gratuit permettant de réaliser une analyse d’impact.

consulter

FAQ Protection des données :
Pour plus d’informations, vous pouvez consulter le FAQ Protection des données sur le site du PFPDT.

consulter

Exemple de registre des activités de traitement

consulter

Modèle de politique de confidentialité

consulter

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Le cookie est installé lors du consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Publicitaires ».
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Analytiques ».
cookielawinfo-checkbox-functional	11 mois	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnels ».
cookielawinfo-checkbox-necessary	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaires".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Autres ».
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie « Performance ».
PHPSESSID	session	Ce cookie est natif des applications PHP. Le cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Le cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
viewed_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker l’information si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Durée	Description
AnalyticsSyncHistory	1 mois	Pas de description
C	1 mois	Pas de description
li_gc	2 ans	Pas de description
UserMatchHistory	1 mois	Le cookie Linkedin est utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter une publicité pertinente en fonction des préférences du visiteur.

Cookie	Durée	Description
_fbp	3 mois	Ce cookie est défini par Facebook pour diffuser de la publicité lorsqu'ils sont sur Facebook ou sur une plate-forme numérique alimentée par la publicité Facebook après avoir visité ce site Web.
bscookie	2 ans	Ce cookie est un cookie d'identification du navigateur mis en place par les boutons de partage et les tags publicitaires.
IDE	1 an 24 jours	Le cookie est utilisé par Google DoubleClick et stocke des informations sur la façon dont l'utilisateur utilise le site Web et toute autre publicité avant de visiter le site Web. Il est utilisé pour présenter aux utilisateurs des publicités qui les concernent en fonction du profil de l'utilisateur.
mc	1 an 1 mois	Ce cookie est associé à Quantserve pour suivre de manière anonyme la manière dont un utilisateur interagit avec le site Web.
test_cookie	15 minutes	Ce cookie est installé par doubleclick.net. Le cookie a pour but de déterminer si le navigateur de l'utilisateur prend en charge les cookies.
uid	2 mois	Ce cookie est utilisé pour mesurer le nombre et le comportement des visiteurs du site de manière anonyme. Les données comprennent le nombre de visites, la durée moyenne de la visite sur le site Web, les pages visitées, etc. dans le but de mieux comprendre les préférences des utilisateurs pour proposer des publicités ciblées.
VISITOR_INFO1_LIVE	5 mois 27 jours	Ce cookie est défini par Youtube. Utilisé pour suivre les informations des vidéos YouTube intégrées sur un site Web.
YSC	session	Ces cookies sont installés par Youtube et sont utilisés pour suivre les vues des vidéos intégrées.
yt-remote-connected-devices	jamais	Ces cookies sont définis via des vidéos youtube intégrées.
yt-remote-device-id	jamais	Ces cookies sont installés via des vidéos youtube intégrées.
yt.innertube::nextId	jamais	Ces cookies sont définis via des vidéos youtube intégrées.
yt.innertube::requests	jamais	Ces cookies sont définis via des vidéos youtube intégrées.

Cookie	Durée	Description
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données de visiteur, de session, de campagne et pour suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_ga_CTGB3K6WES	2 ans	Ce cookie est installé par Google Analytics.
_gat_UA-125167453-1	1 minute	Il s'agit d'un cookie de modèle standard défini par Google Analytics, où l'élément du nom contient le numéro d'identité unique du compte ou du site Web auquel il se rapporte. Il semble qu'il s'agisse d'une variante du cookie _gat qui est utilisé pour limiter la quantité de données enregistrées par Google sur les sites Web à fort trafic.
_gid	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport d'analyse sur la façon dont le site Web fonctionne. Les données collectées, y compris le nombre de visiteurs, la source d'où ils viennent et les pages visitées sont enregistrés sous une forme anonyme.
CONSENT	16 ans 4 mois 1 jour 17 heures 24 minutes	Ces cookies sont installés via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes, par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur "J'aime" une vidéo.
iutk	5 mois 27 jours	Ce cookie est utilisé par le système d'analyse Issuu. Les cookies sont utilisés pour collecter des informations concernant l'activité des visiteurs en rapport avec les produits Issuu.
vuid	2 ans	Le domaine de ce cookie appartient à Vimeo. Ce cookie est utilisé par vimeo pour collecter des informations de suivi. Il définit un identifiant unique aux vidéos intégrés sur le site Web.

Cookie	Durée	Description
bcookie	2 ans	Ce cookie est défini par linkedIn. Le cookie a pour but d'activer les fonctionnalités de LinkedIn sur la page.
lang	session	Ce cookie est utilisé pour stocker les préférences linguistiques d'un utilisateur afin de proposer du contenu dans cette langue stockée la prochaine fois que l'utilisateur visitera le site Web.
lidc	1 jour	Ce cookie est défini par LinkedIn et est utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par le plugin Polylang pour les sites Web propulsés par WordPress. Le cookie stocke le code de langue de la dernière page consultée.