LPD révisée: «accountability» et responsabilisation des entreprises

Le principe d’accountability: le grand absent de la nLPD ?

Le principe d'accountability, – également nommé en français, de manière réductrice, « principe de responsabilité », énonce que les entreprises sont tenues responsables de la protection des données personnelles qu'elles traitent. Il leur impose au demeurant d’être en mesure de démontrer leur conformité à la législation.

Alors que ce principe est bien ancré dans la Convention 108 révisée du Conseil de l’Europe, ainsi que dans le RGPD européen (les deux textes sur lesquels la révision de droit suisse se fonde), ce principe n’est mentionné ni dans la LPD révisée, ni dans ses ordonnances d’application. Faut-il dès lors comprendre que ce principe ne trouve pas application en Suisse ? La réponse doit être nuancée. 

Certes, contrairement au RGPD, la LPD n’impose en effet pas d’obligation générale de pouvoir démontrer sa conformité. La nouvelle LPD ne renverse donc pas le fardeau de la preuve : ce sera encore à celui qui accuse de démonter une violation, et non pas à l’entreprise accusée de devoir démontrer l’absence de violation. 

Certaines mesures d’accountability imposées par la loi

Cela étant, le principe d'accountability n’est pas pour autant absent de la LPD révisée. La nouvelle législation impose en effet – parfois explicitement, parfois implicitement – aux entreprises d’implémenter certaines mesures internes pour garantir une gestion appropriée des données personnelles, lesquelles mettent en œuvre le principe d'accountability. 

Ainsi, les entreprises de plus de 250 employés ou celles qui traitent de grandes quantités de données sensibles doivent dorénavant tenir un registre de leurs activités de traitements. Au demeurant, toutes les entreprises qui traitent des grandes quantités de données sensibles ou qui procèdent à des profilages à risque élevé doivent journaliser l’accès et la modification des données personnelles et établir un règlement du traitement. Enfin, la LPD révisée introduit l’obligation d’effectuer des analyses d’impact en matière de protection des données (AIPD) pour tout nouveau projet susceptible d’entraîner un risque élevé pour la personnalité des individus concernés. 

Obligation d’édicter, formaliser et communiquer des règles d’entreprise internes

Indépendamment de ces exigences spécifiques, gardons à l’esprit que la législation sur la protection des données reste fondée sur le respect de principes généraux (loyauté, proportionnalité, transparence, exactitude, sécurité, etc.). Or, hormis pour les plus petites entreprises, il est difficile d’assurer une conformité à ces principes sans avoir édicté, formalisé et communiqué des règles d’entreprise appropriées. Les documents à mettre en place varieront en fonction des spécificités de l’entreprise et peuvent inclure: des politiques «cadre» sur la gestion des données (fixant notamment le cadre, les objectifs, les principes applicables et la gouvernance), ainsi que diverses directives (durées de conservation des données, gestions des demandes d’accès, sécurité de l’information, procédures applicables en cas de violation de la sécurité des données, etc.). 

Sensibilisation et formation du personnel

Enfin, la sensibilisation et la formation du personnel en matière de protection des données et de cybersécurité sont aujourd’hui cruciales, tant pour limiter les risques d’une violation, que pour minimiser ses conséquences si elle survient. Les entreprises doivent former leurs collaborateurs sur cette thématique et s’assurer que les règles d’entreprises qu’elles ont émises sont connues et implémentées. 

Toutes ces mesures participent, ensemble, à l’expression du principe d’accountability. Elles permettent d’assurer une meilleure gouvernance des données et améliorent la confiance qui peut être placée dans la gestion des données qu’elles traitent.