⏱ 5 min
La Loi révisée sur la protection des données entrera en vigueur le 1er septembre 2023. De nombreuses organisations se retrouvent, de ce fait, face à de nouveaux défis; les entreprises suisses d'électricité font partie des acteurs concernés. Que faut-il prendre en considération concernant les nouvelles exigences envers la conformité avec la protection des données?
La Loi révisée sur la protection des données s'appliquera à partir de son entrée en vigueur le 1er septembre 2023 - sans aucun délai transitoire. Les organisations qui n'ont pas encore adapté leur concept de protection des données au nouveau Règlement européen sur la protection des données (RGPD) - c'est-à-dire aux standards de l'UE sur lesquels s'appuie la loi - devront donc agir d'urgence dans les mois à venir. Le présent article examine des aspects spécifiques que les entreprises électriques suisses devraient prendre en considération pour satisfaire aux exigences légales tout en garantissant un traitement sûr et efficace des données.
S'acquitter des nouvelles obligations d'information
Les organes dirigeants d'entreprises ou d'organisations qui, à l'avenir, ne s'acquitteront pas suffisamment de leurs obligations d'information lors de la collecte de données personnelles risquent des sanctions pénales. Ces informations concernent notamment l'identité et les coordonnées de l'entreprise ou de l'organisation qui recueille les données personnelles, le but du traitement des données, ainsi que les destinataires en cas de transmission à des tiers. Si les données personnelles sont publiées à l'étranger, les pays concernés doivent être communiqués, de même que, le cas échéant, les garanties appliquées pour assurer une protection appropriée des données personnelles ou les exceptions appliquées. Les informations nécessaires sont généralement intégrées à la déclaration relative à la protection des données figurant sur le site Internet de l'entreprise. Si elles concernent les données personnelles des collaboratrices et collaborateurs, cela doit être indiqué dans le règlement du personnel ou dans des annexes au contrat de travail. Pour certains logiciels ou applications spécifiques, les informations se trouvent souvent dans une déclaration de protection des données spécifique à l'application en question.
Renforcer la sécurité des données grâce à une approche basée sur le risque
L'article 8, alinéa 1 de la loi révisée sur la protection des données stipule: «Les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.» Cet article revêtira à l'avenir une importance centrale. Les mesures demandées doivent permettre d'éviter les violations de la sécurité des données. Il est toutefois admis que, même avec les efforts appropriés, une sécurité à100% ne peut jamais être atteinte. Les besoins de protection des données personnelles traitées dépendent du type de ces données, ainsi que du but, du type, du volume et des circonstances du traitement.
A titre de base pour l'évaluation du risque, il faut établir une vue d'ensemble ou un inventaire des processus qui contiennent et/ou traitent des données personnelles. Il s'en suit une évaluation du risque de chaque processus en termes de droits de la protection des données. Ce risque doit être apprécié selon tes critères suivants: origines du risque, principaux dangers, mesures déjà prises pour réduire le risque, probabilité et sévérité d'une violation de la sécurité des données malgré les mesures prises ou prévues.
Implémenter les mesures techniques et organisationnelles
En se basant sur le risque évalué, il faut déterminer et implémenter les mesures techniques et organisationnelles appropriées qui en résultent. L'Ordonnance sur la protection des données (OPDo) prévoit pour cela la catégorisation suivante :
- Confidentialité: les données ne sont accessibles qu'aux personnes autorisées. Cela présuppose, pour ces données, le contrôle de l'accès aux données, le contrôle de l'accès aux locaux et aux installations, ainsi que le contrôle d'utilisation.
- Disponibilité et intégrité: les données doivent être disponibles en cas de besoin. De plus, elles ne doivent pas pouvoir être modifiées sans droit ni par mégarde. Cela présuppose le contrôle des supports de données, de la mémoire et du transport des données. En outre, en cas de perte ou d'endommagement, les données doivent pouvoir être restaurées, et les systèmes doivent être configurés de telle sorte que l'intégrité et la sécurité des données soient garanties.
- Traçabilité: Les données doivent être traitées de manière à ce que les modifications et les historiques soient traçables. Pour cela, le contrôle de la saisie est tout aussi nécessaire que le contrôle de la communication d'éventuelles modifications apportées aux données. En conséquence, les modifications doivent pouvoir être détectées et, au besoin, réparées.
Il faut contrôler régulièrement que cette appréciation des risques est toujours actuelle. Au besoin, elle doit être adaptée aux nouvelles circonstances et à l'évolution technique en progression, en plus des mesures techniques et organisationnelles. L'implémentation correcte et l'efficacité des mesures techniques et organisationnelles doivent également être contrôlées régulièrement. Les résultats des tests doivent être consignés et les implémentations, améliorées lorsqu'elles sont insuffisantes.
Documenter les mesures prises
Afin que les organisations puissent prouver qu'elles se sont bien acquittées de leur obligation d'évaluer le risque et de choisir des mesures, les mesures concernées doivent être documentées de manière appropriée. Afin d'éviter des conséquences pénales, il est dans tous les cas recommandé de constituer une documentation appropriée des réflexions et des mesures prises. Celle-ci devrait contenir au moins les éléments suivants: une liste des principales activités de traitement de l'organisation, son évaluation du risque du point de vue du droit de la protection des données, ainsi que le choix et l'implémentation de mesures techniques et organisationnelles.
Satisfaire à l'obligation de renseigner
Selon la Loi révisée sur la protection des données, toute personne peut demander si des données la concernant sont traitées. En règle générale, une entreprise doit fournir les renseignements dans les 30 jours suivant la réception de la demande. En plus des informations mentionnées plus haut, les entreprises doivent renseigner sur les données personnelles exactes qui sont traitées et combien de temps celles-ci sont conservées. Avant la remise, les informations doivent toutefois être passées en revue afin de garantir qu'aucun droit de tiers n'est violé en donnant les renseignements.
Traiter correctement les incidents liés à la protection des données
La Loi révisée sur la protection des données prévoit que les violations de la sécurité des données soient annoncées le plus rapidement possible au Préposé fédéral à la protection des données et à la transparence (PFPDT). L'entreprise doit être structurée de telle sorte que l'annonce puisse se faire aussi vite que possible (dans les 72 heures). Cela nécessite une organisation appropriée dans l'entreprise et, pour les collaborateurs et les collaboratrices, une formation adaptée et conforme à l'échelon concerné.
Renforcer la confiance
La Loi révisée sur la protection des données représente un progrès considérable dans la protection des données liées à la personne, et elle contribue à renforcer la confiance dans l'ère numérique. Les préparatifs et, en fin de compte, le respect de la loi peuvent, au premier abord, apparaitre comme un fardeau générant du travail en plus. À long terme, pourtant, la loi apportera de nombreux avantages. En effet, réfléchir à ses propres processus permet souvent de mettre au jour des façons de travailler inefficaces, superflues ou dépassées. En bref: une bonne protection des données est un gage de qualité pour une entreprise ou une organisation - et ce, aussi par rapport à ses activités et à ses prestations de services. En offrant un haut niveau de protection des données, les entreprises électriques peuvent par conséquent renforcer la confiance des consommateurs et des consommatrices.
Remarque : cet article a été publié le 28.06.2023 par L’Association des entreprises électriques suisses AES