La nouvelle loi sur la protection des données (nLPD), entre en vigueur le 1er septembre 2023, posant de nouvelles obligations pour les organisations à buts non lucratifs.
Cette révision totale de la loi est essentielle face à l’augmentation de l’utilisation d’Internet, des smartphones, des réseaux sociaux et du cloud. La nLPD, en accord avec le Règlement européen sur la protection des données (RGPD), a pour objectif d’améliorer la protection des données personnelles, d’accorder de nouveaux droits aux citoyen·ne·s et d’assurer la libre circulation des données avec l’UE.
Pour les associations suisses, se conformer à la nLPD est crucial. En traitant souvent des données personnelles de leurs membres, de leurs bénévoles et de leurs employé·e·s, elles sont directement concernées par cette législation. Une mise en conformité avec la nLPD non seulement garantit le respect des droits des individu·e·s, mais évite également les sanctions potentielles pour non-conformité. De plus, elle renforce la confiance des membres et du public dans la manière dont l’association gère les données personnelles. C’est pourquoi chaque association doit prendre les mesures nécessaires pour se conformer à ces nouvelles obligations à partir du 1er septembre 2023.
Cette page a pour but de vous aider à comprendre les enjeux de cette loi et à faciliter la mise en conformité de votre association avec ses nouvelles exigences.
Quelle est la teneur de la NLPD
- Désormais, seules les données des individus (personnes physiques) sont couvertes, et non plus celles des entités comme les associations (personnes morales).
- Le traitement des données doit se faire fidèlement aux principes de la bonne foi, de la reconnaissabilité, de la proportionnalité, de la finalité, de l’exactitude et de la sécurité des données.
- Les informations génétiques et biométriques sont maintenant classées comme des données sensibles.
- L’introduction des principes de « Privacy by Design » et de « Privacy by Default » signifie que vous devrez intégrer la protection de la vie privée dès la conception et par défaut dans tous vos services ou produits qui recueillent des données personnelles.
- Si vos activités présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, vous devez effectuer une analyse d’impact.
- Vous devez informer les personnes concernées avant de recueillir leurs données personnelles, quel que soit le type de données collectées.
- Il est obligatoire de tenir un registre de vos activités de traitement des données. Cependant, une exception existe pour les associations de petite taille dont le traitement des données ne présente qu’un faible risque (moins de 250 employé-e-s).
- En cas de violation de la sécurité des données, vous devez rapidement le signaler au Préposé fédéral à la protection des données et à la transparence (PFPDT).
- Si vous effectuez un profilage, c’est-à-dire un traitement automatisé de données personnelles, sachez que cette pratique est désormais encadrée par la loi.
- Sous réserve d’exception, les personnes concernées par la collecte de données peuvent en tout temps demander la rectification de données personnelles erronnées. Elles peuvent également demander à la personne responsable si des données personnelles la concernant sont traitées par l’organisation et, le cas échéant, de quelles données il s’agit. Enfin, elles peuvent aussi demander la remise ou la transmission de leurs données personnelles.
Principe de la Loi sur la protection des Données
- Licéité: l’organisation respecte l’ensemble des principes de traitement. Toute exception est justifiée.
- Bonne foi: Si une membre de l’organisation demande à ce que ses données personnelles ne soient pas transmises à des tiers, son souhait est respecté.
- Proportionnalité: Seules les données nécessaires sont collectées. Par exemple, il n’est pas proportionnel de collecter des données concernant la religion d’une personne pour un club de jeu.
- Exactitude: Les informations sont modifiées dès que l’organisation a connaissance d’un changement.
- Finalité: Les informations sont récoltées dans un but précis et sont effacées lorsque celui-ci est atteint. Par exemple, si un membre quitte l’organisation, ses informations ne restent pas stockées « au cas-où », mais sont effacées à son départ.
- Reconnaissabilité: L’organisation indique de manière transparente aux personnes concernées lorsque des données sont collectées et à quelle fin.
- Sécurité des données : L’organisation sécurise ses données physiquement (p. ex. stockage sous clé) et numériquement (mots de passe, serveurs sécurisés). Le personnel et l’organe de direction sont formés à cette loi et à son application.
CHECK-LIST : Protection des données
- Établissez un plan de compliance comprenant les actions nécessaires, les documents à rédiger, les responsabilités ainsi que les échéances pour la mise en conformité avec la nLPD.
- Identifiez une personne/le poste chargé·e de la protection des données et de la garantie d’une sécurité adéquate de celles-ci, que ce soit au sein de votre comité ou de vos salarié·e·s et assurez vous que celle-ci ainsi quevos membresdu comité et votre personnel puissent être formés à la protection des données.
- Vérifiez si votre organisation est dans l’obligation d’établir un registre des activités de traitement. Les organisations qui emploient
moins de 250 salarié·e·s et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées en sont exemptées. Elles peuvent se limiter à établir un inventaire des activités de traitement (non obligatoire, mais recommandé). - Rédigez ou adaptez votre Déclaration de protection des données et vérifiez que vous agissez en conformité avec celle-ci. Ce document doit être intégré au site internet. Informez vos membres d’une éventuelle modification de la déclaration de protection des données.
- Vérifiez vos processus internes pour obtenir une vue d’ensemble des données personnelles traitées dans votre association. Quelles données sont collectées, pour quel(s) usage(s), où sont-elles stockées, où sont-elles sauvegardées et qui peut y accéder ? Rédigez un inventaire des activités de traitement.
- Vérifiez si votre association est concernée par le RGPD de l’UE.
- Adaptez votre formulaire d’adhésion afin que celui-ci inclue une Déclaration de consentement.
- Envisagez d’adapter vos statuts pour y ajouter un article relatif à la protection des données lors de votre prochaine révision des statuts.
- Définissez le processus en cas de demande de renseignements en lien avec le traitement des données (Art. 25 ss LPD). Vous devez être en mesure de fournir les informations nécessaires dans un délai de trente jours.
- Élaborez éventuellement des lignes directrices / directives en matière de protections des données à intégrer à votre règlement, si vous en avez un.
- Vérifiez les contrats conclus avec des sous-traitants et si des données sont transmises à des tiers.
- En cas de doute, contactez un·e juriste ou le Préposé fédéral à la protection des données.
- Informez-vos membres des modifications effectuées.
- Actualisez régulièrement les données de vos membres et effacez celles dont vous ne vous servez plus et qui ne doivent pas être conservées.
Ces conseils sont repris et adaptés de Vitamin B, qui a mis en place plusieurs ressources sur ce sujet.
Coordonnées de partenaires fribourgeois
Autorité cantonale de la transparence, de la protection des données et de la médiation
Rue des Chanoines 2, 1700 Fribourg
Site internet
+41 26 322 50 08 / Lu-Ve
Ressources en ligne
- Loi fédérale sur la protection des données (LPD)
- Ordonnance sur la protection des données (OPDo)
- Loi cantonale sur la protection des données (LPrD)
- Guide ZEWO sur la nouvelle loi sur la protection des données
- Protection des données: que doivent savoir les associations ?
Ce memento de Vitamin B synthétise les enjeux essentiels de la nouvelle loi sur la protection des données pour les associations et contient des conseils de mise en oeuvre. - Recommandations du Préposé Fédéral à la Transparence et à la Protection des Données
Bibliographie
- MÉTILLE S., Loi sur la protection des données, Helbing & Lichtenhahn, à paraître:
L’ouvrage offre une analyse détaillée de la Loi fédérale sur la protection des données, incluant la révision totale du 25 septembre 2020 et la nouvelle ordonnance qui entrera en vigueur le 1er septembre 2023. - CHARLET, F., Protection des données en entreprise, Helbing & Lichtenhahn à paraître:
Ce guide pratique fournit une synthèse fonctionnelle des règles de protection des données de la loi suisse révisée et du RGPD européen pour les entreprises suisses. Il inclut des exemples, conseils, checklists et schémas pour aider à comprendre ce sujet complexe, d’actualité avec l’entrée en vigueur de la nouvelle loi en septembre 2023.
Le saviez-vous ?
La première loi sur la protection des données en Suisse a été adoptée en 1992, à une époque où moins de 1% de la population mondiale utilisait Internet. C’est également cette année là qu’a été envoyé le premier SMS ! Aujourd’hui, avec près de 60% de la population mondiale en ligne, la protection des données est devenue une question de premier plan.