Le 1er
septembre 2023, la nouvelle loi sur la protection des données (LPD)
est entrée en vigueur, entraînant, pour les entreprises et autres organisations
de droit privé (associations comprises), les changements majeurs suivants :
- Seules les données des personnes
physiques seront dorénavant couvertes par la loi sur la protection des
données, celles des personnes morales n’entrant plus dans son champ
d’application.
- Les données génétiques et biométriques
(art. 5 let. c LPD) entrent dans la définition des
données sensibles.
- Les principes de protection des
données dès la conception (privacy by design) et de protection des données
par défaut (privacy by default) (art. 7 LPD) sont introduits.
Comme son nom l’indique, le principe de protection des données dès la
conception implique, pour les développeurs, d’intégrer la protection et le
respect de la vie privée des utilisatrices et des utilisateurs dans la
structure même du produit ou du service amené à collecter des données
personnelles. Le principe de protection des données par défaut assure,
quant à lui, le niveau de sécurité le plus élevé dès la mise en
circulation du produit ou du service, en activant par défaut, c’est-à-dire
sans aucune intervention des utilisatrices et des utilisateurs, toutes les
mesures nécessaires à la protection des données et à la limitation de leur
utilisation. Autrement dit, tous les logiciels, le matériel et les
services doivent être configurés de manière à protéger les données et à
respecter la vie privée des utilisatrices et des utilisateurs. La
configuration de POLARIS a été pensée dans le respect de ces principes.
- Des analyses d’impact relatives à la
protection des données personnelles (art. 22 LPD) doivent
être menées par la personne responsable, c’est-à-dire celle qui décide
seule ou avec d’autres de la finalité du traitement des données
personnelles ainsi que des outils mis en œuvre à cet effet, en particulier
lors du recours à de nouveaux processus ou à de nouvelles technologies
susceptibles de présenter un risque élevé pour la personnalité ou les
droits fondamentaux des personnes concernées. Du point de vue des clubs,
aucune intervention n’est nécessaire à ce niveau-là.
- Le devoir d’informer est étendu
(art. 19 LPD): la personne concernée doit être informée en amont
de chaque collecte de données personnelles, et non plus exclusivement lors
de la collecte de données dites sensibles. Au Rotary, cette démarche
s’opère par une information adéquate des nouveaux membres quant à
l’enregistrement de leurs données personnelles dans POLARIS. La
déclaration sur la protection des données disponible sur rotary.ch et sur
le site internet du club va également dans ce sens.
- La tenue
d’un registre des activités de
traitement (art. 12 LPD) devient obligatoire. L’ordonnance
relative à la loi prévoit toutefois des exceptions pour les entreprises et
autres organisations de droit privé qui emploient moins de
250 personnes et dont le traitement des données présente un risque
limité d’atteinte à la personnalité des personnes concernées. En principe,
les Rotary clubs de Suisse et du Liechtenstein ne sont donc pas dans
l’obligation de tenir un tel registre.
- Il est obligatoire d’annoncer dans les
meilleurs délais (art. 24 LPD) les cas de violation de la
sécurité des données entraînant un risque élevé pour la personnalité ou
les droits fondamentaux de la personne concernée. Ils doivent être
signalés au Préposé fédéral à la protection des données et à la
transparence (PFPDT). À l’échelle des clubs individuels, il est recommandé
que, dans le cas d’une violation présumée ou effective de la sécurité des
données («data leak»), le CICO prenne contact sans délai avec
le DICO, qui coordonnera les mesures consécutives avec l’équipe
POLARIS, y compris la notification du PFPDT (qui a mis en ligne un portail
de notification correspondant).
- Le terme de «profilage»
(art. 5 let. f LPD; le traitement automatisé de
données personnelles) a été intégré dans la loi. En principe, POLARIS ne
procède pas à un tel traitement automatisé des données.
- Les dispositions pénales ont été
renforcées (art. 60 ss LPD): en particulier, la violation de
l’obligation d’informer ou des devoirs de diligence (p. ex. dans un
contexte de communication des données personnelles à l’étranger, de
recours à un sous-traitant ou de questions relatives à la sécurité des
données) peut donner lieu à une amende pouvant atteindre
CHF 250 000.–, la violation des principes de protection des
données n’étant, elle, pas punissable. C’est la personne physique ayant
commis la violation qui sera punie.
Pour le reste, les principes de protection des données ont été repris à
l’identique, et la LPD ne comporte que de petits ajustements concernant la
communication de données à l’étranger, le recours à un sous-traitant et les
droits des personnes concernées. Contrairement au RGPD de l’UE, la LPD ne
prévoit pas la fonction de délégué à la protection des données (DPO).
Que signifie la nouvelle LPD, notamment concernant l’utilisation des données
des membres sur POLARIS? Comme le stipule la déclaration de protection des
données (https://polaris.rotary.ch/fr/privacy-policy),
chaque district et/ou Rotary club est responsable du traitement dans le cadre
de son propre domaine d'accès à POLARIS et détermine les données à caractère
personnel collectées.
Lors du développement de POLARIS, l’ARM a pris des mesures techniques
(p. ex. restrictions d’accès, sauvegardes de données, etc.) et
organisationnelles (p. ex. consignes aux administrateurs, accords de
confidentialité, monitoring, etc.) adéquates afin de garantir la sécurité des
données collectées et traitées et de protéger ces dernières de tout accès non
autorisé et de toute utilisation abusive, perte, falsification ou destruction.
L’accès aux données est réservé aux personnes (p. ex. CICO/DICO) qui en
ont besoin pour s’acquitter de leurs tâches.
Pour toute question relative à la protection des données, veuillez adresser
votre demande à l’office central suivant: dataprotection@rotary.ch.
