Protection et sécurité des données – Ce que les entreprises doivent prendre en compte
De plus en plus d’entreprises collectent des données personnelles. Celles-ci peuvent être celles des clients afin de leur fournir des offres personnalisées, ou celles des employés pour l’évaluation des performances. Toutefois, la prudence s’impose lors du traitement de ces données. Diverses règles doivent être respectées pour garantir la sécurité des données.
Les normes juridiques de base régissant le traitement des données personnelles se trouvent dans la loi fédérale sur la protection des données (LPD).
Principes fondamentaux de la sécurité des données
L’article 7 de la LPD prévoit que les données à caractère personnel doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées. Cette obligation s’applique également aux entreprises. Toutefois, la LPD laisse ouverte la question de la forme précise pour la sécurité des données, c’est-à-dire que la forme concrète des mesures de protection est largement soumise à l’autorégulation des entreprises. Certaines indications se trouvent cependant dans la loi fédérale sur la protection des données. Notamment, les mesures de sécurité doivent empêcher la modification, la copie, la destruction, le traitement ou la falsification non autorisés des données. En outre, diverses normes industrielles (par exemple la norme ISO sur la cybersécurité) sont utilisées dans la pratique comme modèle pour assurer une conception optimale de la sécurité des données. Toutefois, celles-ci ne sont pas juridiquement contraignantes.
Transfert de données à l’intérieur du pays
Une question importante dans le contexte de la législation sur la protection des données est de savoir dans quelle mesure les entreprises sont autorisées à transmettre les données qu’elles ont recueillies. De nombreuses entreprises ne disposent pas de leur propre service informatique, mais font traiter ou au moins stocker des données personnelles par des fournisseurs tiers (cloud computing). Cela n’est pas sans risque, car plus le nombre de personnes ayant accès aux données est élevé, plus le risque d’utilisation abusive est grand. Selon l’article 10a de la LPD, la participation de tiers au traitement des données est autorisée, à condition que les données ne soient traitées que de la manière dont l’entreprise elle-même serait autorisée à le faire et qu’aucune obligation légale de confidentialité n’interdise leur divulgation. L’entreprise doit donc s’assurer que le tiers remplisse les exigences susmentionnées en matière de protection des données.
Transfert de données à l’étranger
Les exigences relatives au transfert de données personnelles à l’étranger sont un peu plus strictes. Le transfert de données à l’étranger n’est notamment autorisé que si le pays dans lequel le destinataire réside dispose également d’une protection des données adéquate et/ou si le destinataire dispose d’un certificat attestant qu’il satisfait à des normes de protection des données comparables. Les données ne devraient donc être transférées à l’étranger qu’avec le consentement des personnes concernées ou si la protection des données est assurée d’une autre manière, par exemple par des accords de transfert de données.
