D’ici l’an prochain, toutes les entreprises, devront se mettre en conformité avec la nouvelle loi sur la protection des données. Force est de constater qu’un grand nombre de PME suisses n’ont pas conscience des enjeux.
Les entreprises font face à une défiance croissante de la part des consommateurs quant à l’utilisation de leurs données personnelles. Véritable or noir pour l’économie numérique, celles-ci sont sujettes à des risques de collecte ou utilisation abusives. Ces craintes se sont d’ailleurs récemment exprimées en votation avec le refus d’impliquer le secteur privé dans l’élaboration d’une identité électronique.
Adoptée à l’automne dernier, la révision de la loi sur la protection des données vise à adapter la loi de 1992 aux récents développements technologiques, tout en rehaussant le niveau de protection des individus. Le principe: tout traitement de données relatives à une personne identifiée ou qui peut être identifiée, directement ou indirectement, doit l’être de manière proportionnée et non abusive.
Dans certains cas, la loi exigera des entreprises, une analyse d’impact ou la mise en place d’un registre des activités de traitement des données. Les PME se doivent donc d’adopter une approche globale consistant à :
Évaluer les risques. Les entreprises traitant un grand volume de données sont plus à risque de violer la loi. Il est essentiel de recenser et cartographier toutes les données personnelles (clients, fournisseurs, etc.) ou données dites « sensibles » (santé, etc.) dans les systèmes informatiques, bases de données et dossiers partagés.
Organiser et sécuriser. Une mise à niveau de la sécurité informatique et l’élaboration de procédures internes sont autant de mesures permettant d’agir en cas de violation, perte, fuite de données ou requêtes émanant d’individus. Afin d’améliorer leur gouvernance, les entreprises peuvent se référer à la charte de l’économie suisse pour une gestion responsable des données.
Sensibiliser. Tous les échelons d’une entreprise, de l’apprenti au chef d’entreprise, doivent être impliqués. En tenant un registre des visiteurs, un réceptionniste effectue déjà un traitement de données. Cependant, ce sont bel et bien les chefs d’entreprise qui s’exposent, en cas de non-respect de la loi, à des amendes allant jusqu’à 250.000 francs.
Anticiper. Bien que la loi n’entre en vigueur qu’en 2022, les prestataires exigeront dans les mois à venir des contrats incluant des clauses conformes à la nouvelle loi. Au risque de perdre des clients, les entreprises sont incitées à se mettre en conformité, et au besoin en recourant à des experts. Le plus tôt sera le mieux!