nLPD et RH : on fait le point !

La nouvelle loi suisse sur la protection des données (nLPD) entre en vigueur le 1^er septembre 2023 sans période de transition. Le service des ressources humaines traite au quotidien de nombreuses informations et données personnelles sur les collaborateurs. Adresses postales, éléments d’identité, coordonnées bancaires ou encore informations sur la carrière sont autant de données personnelles, plus ou moins sensibles, qui sont collectées, utilisées et stockées côté RH. Profitons de cette nouvelle loi pour faire le point sur les obligations et changements.

La nouvelle Loi sur la Protection des Données en bref

• La nLPD entre en vigueur au 1^er septembre 2023. Elle remplace la précédente loi de 1992. A noter qu’il n’y a pas de délai de grâce ou de période de transition pour respecter la protection des données.
• Le consentement n’est pas requis pour la collecte/le traitement des données en toutes circonstances.
• Les personnes physique (en place des personnes morales dans la version de 1992) et les entités commerciales et non commerciales qui gèrent des données de citoyens suisses sont concernées par cette loi.
• Les organisations doivent veiller au respect de la nouvelle loi même si elles font appel à des sous-traitants.
• L’ensemble des données physiques et numériques sont concernées par cette loi.
• L’application de la nouvelle loi est extraterritoriale. Les organisations traitant de données sur les citoyens suisses n’ont pas besoin d’être en suisse pour être concernées.
• Les transferts de données personnelles depuis la Suisse vers un pays tiers sans accord d’adéquation sont interdits, sauf dans le cas d’un consentement explicite de la part des personnes concernées.

Quelles sont les entreprises concernées par la nouvelle loi ?

La nouvelle loi sur la protection des données s’applique à toutes les entreprises qui traitent de données de citoyens suisses. On parle ici en particulier des organisations qui collectent et traitent d’informations personnelles, qui effectuent du profilage ou qui font de la vente en ligne.

Qu’est-ce que la nLPD ?

La nouvelle loi sur la protection des données (nLPD) est la nouvelle règlementation suisse sur la protection des données. Elle a été adoptée en 2020 et remplacera dès le 1^er septembre 2023 la loi de 1992. Les nouveautés sont globales et concernent toutes les entreprises suisses.

La précédente loi sur la protection des données remontait à 1992. Entre temps internet, les smartphones, les applications connectés ou encore le stockage des données personnelles se sont fortement développés. Dans ce contexte et à la suite des modifications partielles de 2009 et 2019, un remaniement complet de la loi semblait impératif. La nouvelle loi sur la protection des données vise à protéger les données des citoyens suisses.

Les différences entre nLPD et RGPD

Le RGPD ou Règlement Général sur la Protection des Données est le cadre européen sur protection des données. Les entreprises qui se conforment déjà au RGPD ont peu de changement à entreprendre. L’association SwissPrivacy a publié un tableau de comparaison entre les obligations de la nLPD et celles induites par le RGPD.

Quels sont les changements entre LPD et nLPD ?

Cette nouvelle version inclue d’importantes modifications de la loi sur la protection des données. Voici les principaux changements majeurs entre LPD et nLPD :

1. Seules les données des personnes physiques sont dès à présent couvertes par la loi et non plus celles des personnes morales.
2. Les données sensibles incluent les données génétiques et biométriques.
3. Les principes de « Privacy by Design » et de « Privacy by Default » sont introduits dans la loi. Le premier point implique pour les créateurs et développeurs d’intégrer la protection des données dès la conception de l’outil ou du service amené à collecté des informations personnelles. Dans le second cas, le standard doit assurer le niveau maximum de sécurité dès le lancement du produit ou de l’application.
4. Des analyses d’impacts doivent être réalisées dans le cas ou il y a un risque élevé pour la personnalité ou les droits fondamentaux des personnes.
5. Toute collecte de données doit donner lieu à une information préalable de la personne concernée et non plus uniquement dans le cas des données dites sensibles.
6. Toutes les organisations doivent tenir un registre des activités de traitement. Les PME dont le traitement des données présente un risque limité peuvent être exemptées.
7. Dans le cas ou il y a une violation de la sécurité des données ou une fuite de données, une annonce rapide est requise et à adresser au Préposé fédéral à la protection des données (PFPDT).
8. La notion de profilage fait son entrée dans la loi.

Les étapes pour être conforme à la nLPD

Dès le 1^er septembre 2023, la nouvelle loi sur la protection des données entre en vigueur. Voici les principales étapes à suivre pour respecter les nouvelles obligations :

• Procéder à un inventaire des informations et données personnelles et évaluer les risques associés pour définir les besoins de conformité ;
• Intégrer ou réviser les clauses de protection des données pour vos logiciels (dont le SIRH), votre site internet ou tout autre espace de collecte de données ;
• Mettre en place des mécanismes internes pour pouvoir répondre de manière efficace aux requêtes de personnes concernées ;
• Créer un registre de gestion des données personnelles ;
• Implémenter un processus pour les études d’impact liées à la protection des données ;
• Faire le tour des contrats en cours avec les sous-traitants ou éditeurs de logiciels pour valider avec eux leur respect des obligations de la nLPD ;
• Désigner un responsable de la protection des données personnelles (DPO), que ce soit au sein de votre organisation ou via un prestataire externe.

Quelles sanctions en cas de non-respect de la nLPD ?

La nouvelle loi sur la protection des données s’applique dès le 1^er septembre et sans période de transition à ce jour. Cela signifie que les organisations doivent être en conformité dès le mois de septembre. Dans le cas contraire, le Préposé Fédéral à la protection des données et à la transparence pourra ouvrir une enquête et mettre en place des mesures strictes telles que la modification ou l’interruption du traitement des données.

Dans un premier temps les procédures de voie de recours pour les particuliers seront gratuites. Et dans les cas les plus déraisonnables, une amende peut être infligée aux collecteurs de données ne respectant par la loi.

SIRH et nouvelle loi sur la protection des données

Sans un logiciel SIRH adapté, respecter la nouvelle loi sur la protection des données est très compliqué, voir impossible. Que ce soit pour restreindre les droits d’accès à l’information aux personnes habilitées ou pour effacer rapidement les données dans le cadre du droit à l’oubli, le logiciel est un allié indispensable. Adequasys SIRH vous accompagne dans la mise en place de la conformité à la nLPD :

• Gérer efficacement le droit d’accès ;
• Suivre, contrôler et limiter l’accès aux données personnelles et sensibles ;
• Piloter simplement l’établissement du registre des traitements RH

Le SIRH comme tout logiciel RH est amené à traiter des données plus ou moins sensibles sur les collaborateurs. Il est donc pleinement concerné par la nLPD. Que ce soit pour un logiciel déjà installé ou dans le cadre de la mise en place d’un outil, la protection des données doit être un point à ne pas négliger. Que ce soit une solution interne ou mise en place par un prestataire, il faudra s’assurer que ce développement se fait en tenant compte des exigences de la conformité.

Les avantages du SIRH pour piloter les données ?

Un logiciel de gestion des ressources humaines peut offrir de nombreux avantages pour aider au respect de la nouvelle loi sur la protection des données. Voici quelques exemples :

• Gestion centralisée des données
• Contrôles d’accès
• Traçabilité
• Conservation et suppression des données
• Sécurité et fiabilité du stockage
• Respect du droit à l’oubli
• Formation et sensibilisation