Nouvelle loi sur la protection des données: quelles mesures les NPO doivent-elles mettre en œuvre ?
La révision de la loi sur la protection des données est entrée en vigueur le 1er septembre 2023. A partir de cette date, les devoirs d'annonce, de renseignement et d'information imposés aux NPO seront également renforcés. Découvrez quelles sont les mesures techniques et organisationnelles que les NPO peuvent appliquer pour prévenir les violations de la sécurité des données.
Apprenez-en plus sur l'influence qu'aura la nouvelle LPD sur votre organisation et faites-vous une idée des principales nouveautés: Révision de la loi sur la protection des données – Ce dont les entreprises doivent tenir compte - BDO
Approche axée sur les risques
Selon la révision de la loi sur la protection des données (LPD), il faut assurer, par des mesures organisationnelles et techniques appropriées (MTO), une sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures doivent permettre d’éviter toute violation de la sécurité des données personnelles. Il est cependant reconnu qu’il est impossible d'atteindre une sécurité à 100% avec des efforts raisonnables.
Dans son ordonnance sur la protection des données (OPDo), le Conseil fédéral a précisé «des dispositions relatives aux exigences minimales en matière de sécurité des données», lesquelles suivent également une approche basée sur les risques: les entreprises et les organisations doivent évaluer le besoin en matière de protection des données et définir les mesures à prendre compte tenu du risque. L’OPDo définit quels sont les critères à prendre en compte et donne des lignes directrices sur la manière dont on peut concevoir les mesures.
Nécessité de documenter
Désormais, les personnes qui ne respectent pas les exigences minimales fixées par l'ordonnance du Conseil fédéral peuvent être punies sur plainte (art. 61. let. c, nLPD). Une grande liberté est accordée dans le choix des MTO devant permettre une sécurité adéquate des données.Il est toutefois essentiel que l'organisation remplisse son obligation en matière d'évaluation des risques et de choix des mesures. Il faut documenter les mesures prises de manière appropriée afin de pouvoir les justifier ultérieurement. Elles doivent être appliquées dans un délai raisonnable et il est important d'effectuer des contrôles réguliers pour tester leur efficacité. Les résultats des tests sont consignés et il faut améliorer les mises en œuvre insuffisantes.
Afin d'éviter des conséquences pénales, il est recommandé dans tous les cas de disposer d'une documentation appropriée sur les réflexions et les mesures prises comprenant au moins les éléments suivants:
i. Le registre des activités de traitement qui comprend les flux de données les plus importants de l'organisation;
ii. L’évaluation des risques de ces activités du point de vue de la protection des données;
iii. Le choix et la mise en œuvre des MTO.
Aucun outil spécifique n'est nécessaire pour la documentation. Il est possible d’effectuer les descriptions des processus au format Word ou Excel.
Mesures légales minimales
Le besoin de protection des données personnelles traitées et donc les mesures à prendre dépendent:
- du type de données traitées,
- de la finalité, la nature, l’étendue et les circonstances du traitement.
Le risque (en matière de protection des données) doit être évalué en fonction:
- des causes du risque,
- des principales menaces,
- des mesures prises pour réduire le risque,
- de la probabilité et de la gravité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
Mesures techniques et organisationnelles
Les organisations doivent mettre en place des MTO pour que le traitement des données corresponde au besoin de protection des données. L’OPDo prévoit pour cela les catégories suivantes:
A. Seules les personnes autorisées ont accès aux données (confidentialité):
- contrôle de l’accès aux données,
- contrôle de l'accès aux locaux et aux installations,
- contrôle d’utilisation.
B. Les données sont disponibles en cas de besoin (disponibilité) et ne peuvent être modifiées sans droit ou par mégarde (intégrité):
- contrôle des supports de données,
- contrôle de la mémoire,
- contrôle du transport,
- restauration,
- intégrité des données,
- sécurité du système.
C. Les données sont traitées de manière à assurer leur traçabilité:
- contrôles de la saisie,
- contrôle de la communication,
- identification,
- réparation,
Mise en œuvre efficace des MTO
Pour chaque processus, la loi exige une évaluation des risques et une sélection des MTO adaptées. Pour éviter qu’une affaire ne s'enlise administrativement et techniquement, il est recommandé de se fixer des normes minimales à l'échelle de l'organisation qui couvrent le besoin de protection de la majorité des processus. Des mesures supplémentaires peuvent ensuite être documentées pour les processus présentant des risques supérieurs à la moyenne.
Conclusion
La révision de la loi sur la protection des données requière des organisations qu'elles se penchent sur les nouvelles exigences. Il est recommandé de le faire rapidement si l’on veut éviter des conséquences négatives sur le plan civil et pénal. Les organisations disposent d'une grande marge de manœuvre pour déterminer le risque (en matière de protection des données) et décider des mesures à mettre en œuvre. D'un point de vue juridique, il est important que les réflexions menées soient documentées. Personne n'exige que tout soit crypté ou sécurisé à l'avenir, il est en revanche demandé d'évaluer si ces mesures sont nécessaires. De plus, on doit être en mesure de justifier cette évaluation car, réalisée en dépit du bon sens, elle pourrait être source de problèmes. Entre les deux, la marge d'appréciation est néanmoins importante.