Nouvelle LPD, proposition d’approche

En protection des données, comme dans tout domaine, le monde est divisé en deux: pour les uns, les règles applicables au traitement des données personnelles sont là de longue date, et peu ou prou, on s’y est mis, des procédures sont en place et le personnel a été sensibilisé; pour les autres, une nouvelle loi est entrée en vigueur en septembre et l’on s’étonne de ne pas disposer d’un délai de mise en œuvre. Il est vrai que les organisations qui ne se sont pas encore mises en conformité avec la loi ont un travail de fond à faire, et pourraient avantageusement commencer par une sensibilisation en la matière. Car comment faire juste et répondre aux obligations légales si l’on ne comprend pas les enjeux ni comment les règles se déclinent en actions. Celles qui se sont déjà mises en conformité auront peu de travail. Quelques obligations supplémentaires requièrent toutefois l’implication de la gouvernance, ne serait-ce que pour garantir une mise en œuvre uniforme et transversale. Car, si l’on entend souvent dire que la protection des données est un sujet de juriste, sa mise en œuvre concerne tous les départements et services et implique un travail pluridisciplinaire.

On peut relever essentiellement les nouvelles obligations suivantes:

Protéger les données personnelles dès la conception et par défaut, faire une analyse d’impact lorsque les conditions le requièrent – traitement volumineux de données personnelles ou de données sensibles, susceptible d’enfreindre les droits de la personnalité des personnes concernées –, annoncer les violations de données, tenir un registre des traitements s’il y a plus de 250 salariés ou que l’on est une institution publique, et enfin, désigner un représentant sur le territoire de l’union européenne si l’on vise le marché européen et que l’on ne dispose pas d’un établissement stable sur ce territoire. Attention, l’obligation de répondre aux demandes de droit d’accès n’est pas nouvelle, mais elle est importante et nécessite une procédure garantissant un traitement uniforme de celles-ci.

Je recommande personnellement trois actions à prendre simultanément:

1. Prévoir le passage de tout projet par un point SIPD (sécurité de l’information-protection des données); les familiers des procédures institutionnelles connaissent déjà la procédure HERMES, dont on peut s’écarter en supprimant la lourdeur inhérente à cette procédure tout en s’inspirant du processus qui y est déroulé. Il s’agit ici de faire en sorte que tout projet passe par un organe qui vérifie si des données personnelles voire sensibles seront traitées ou non, et aiguillera le projet, dans l’affirmative, sur les actions à mener (analyse d’impact, revue des données traitées, mesures organisationnelles et techniques à prendre).
2. Établir une procédure de gestion des demandes de droit d’accès. Il s’agit de garantir un traitement complet et uniforme à toute demande qu’une personne concernée formulerait au sujet de ses données personnelles: communiquer les données en possession de l’organisation, les mettre à jour, les supprimer cas échéant, voire bloquer la communication à des tiers. Rien de mieux qu’un canal unique pour recevoir les demandes et en assurer le suivi, de l’enregistrement de la demande à son classement. On suivra avantageusement les étapes suivantes: vérification de l‘identité, vérifier si la demande doit être honorée, si oui, collecter les données personnelles auprès des différents services, donner instructions des mises en œuvre (mise à jour/suppression), vérifier, classer.
3. Lorsque la tenue du registre des traitements n’est pas obligatoire, on peut faire le choix de recenser tout de même les traitements de données personnelles, en mentionnant le nom du traitement ou de l’application où il figure, la personne de contact, les catégories de données traitées, leur lieu de conservation, la durée de conservation, et les mesures techniques et organisationnelles mises en place. On aura ainsi une vision claire de ce qui est traité et par qui, on pourra piloter la gestion des traitements, la suppression des données au temps T à définir en fonction de la finalité.

La nomination d’un Délégué à la protection des données (DPO) n’est pas obligatoire si l’organisme n’est pas public ou lorsque l’entreprise n’est pas certifiée ISO 270001. Toutefois, elle est recommandée soit lorsque des données sensibles sont systématiquement traitées, et que le marché de l’UE est visé, soit pour un groupe comprenant plusieurs filiales. Mais selon moi la fonction de DPO, lorsqu’elle est externalisée, ne doit pas être envisagée comme une obligation sans fin, mais plutôt comme une mesure nécessaire le temps de mettre l’organisation en conformité et de faire monter en compétence à l’interne une ou plusieurs personnes qui pourront être les référents internes des différents services et des gestionnaires, et garantir l’uniformité des réponses apportées. C’est le seul moyen de rester sur le chemin de la conformité. Il est illusoire, en effet, de penser que l’on pourra compter sur les autorités de protection des données compétentes, fédérales et cantonales pour répondre aux questions, car elles ne disposent pas des ressources nécessaires à un tel accompagnement, et n’en n’ont d’ailleurs pas le mandat.

Le tableau ci-dessous présente toutes les nouveautés de la LPD, avec les articles de loi (ouvrir l'image dans un nouvel onglet pur agrandir).