La version révisée de loi suisse sur la protection des données est entrée en vigueur le 1er septembre 2023. Il est donc grand temps, pour les associations et sociétés, de se familiariser avec le sujet. Ci-après les principales informations ainsi que des renvois à des modèles utiles et les réponses aux questions fréquemment posées.
Situation initiale
La version révisée de la loi sur la protection des données oblige à prendre les mesures nécessaires pour garantir la sécurité des données personnelles et empêcher dans toute la mesure du possible leur utilisation abusive. Le non-respect de ces règles peut entraîner des amendes.
Qu’est-ce que la protection des données?
Il existe aujourd’hui déjà des dispositions en matière de protection des données qui s’appliquent également aux associations et aux sociétés. La protection des données vise en premier lieu à protéger la personnalité et les droits fondamentaux des personnes. Elle règle ce dont il faut tenir compte lors du traitement de données personnelles.
Qu’entend-on par «données personnelles»?
Sont considérées comme des données personnelles toutes les indications qui peuvent être attribuées à une personne, telles que coordonnées, lieux de séjour, mais aussi enregistrements vidéo et images.
Qu’est-ce qui est protégé?
La protection des données protège les personnes contre la collecte, le stockage, le traitement et l’utilisation non justifiés de données. Cela signifie que seules peuvent être traitées des données en l’occurrence appropriées et nécessaires. Il est ici essentiel d’informer de manière transparente sur la nature des données collectées et à quelles fins elles le sont, et d’obtenir le consentement des personnes concernées, notamment en cas de transmission de données.
Quand des données peuvent-elles être transmises?
Des données peuvent être transmises si la personne elle-même y consent, si les données sont accessibles publiquement ou si une loi autorise leur transmission.
Sécurité des données
En outre, la sécurité des données est un principe fondamental de la protection des données. Ces dernières doivent être gérées avec soin et de manière sûre.
Les données à caractère personnel doivent en outre être détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires à l’objectif du traitement. Un principe qui s’applique également aux collaboratrices et collaborateurs, actuels et anciens. Toute personne a le droit de demander à n’importe quelle association ou société si des données la concernant sont détenues, et le cas échéant lesquelles.
Les données non personnelles telles que chiffres financiers ou données de produits ne sont pas soumises à la protection des données. Il en va de même des données anonymes des membres évaluées à des fins statistiques.
Qu’est-ce qui change avec la nouvelle loi sur la protection des données?
Peu de chose. Sur le fond, la protection des données ne change pas beaucoup. Les principes restent les mêmes. La transparence gagne, elle, en importance. C’est pourquoi la politique de confidentialité doit figurer sur le site web et préciser ce qu’il advient des données. L’obligation de déclarer les cas d’utilisation abusive des données au Préposé fédéral à la protection des données constitue une nouveauté. De même, la transmission de données aux fournisseurs et aux partenaires doit être nouvellement réglementée.
Déclaration de confidentialité sur le site web
Avec la nouvelle loi, la déclaration de confidentialité sur le site web gagne en importance. Elle est désormais obligatoire pour tous. Il doit y être indiqué quelles données sont collectées et enregistrées, quels programmes sont utilisés et à qui il faut s’adresser pour obtenir des renseignements. Autre nouveauté: les paramètres de base des formulaires, des applications et des sites web doivent être réglés partout au minimum, de sorte que seules les données nécessaires ne doivent être collectées ou communiquées.
Obligation d’informer
De même, l’obligation de fournir des renseignements a été renforcée. Si une personne demande si des données la concernant sont traitées et lesquelles le cas échéant, cette information doit être fournie conformément aux dispositions légales, sauf exceptions.
Des informations détaillées sur ces dispositions figurent ici.
Demandes de renseignements
La même page fournit également un modèle de demande d’information. Les conditions dans lesquelles les données ont été transmises à des tiers doivent également être indiquées.
Les principes essentiels de la protection des données
Proportionnalité
Le principe de proportionnalité constitue le critère essentiel. Il est permis de saisir les données nécessaires à l’exécution d’un mandat.
Principe d’adéquation
Parallèlement, le principe d’adéquation s’applique. Les données ne peuvent être utilisées que pour l’objectif pour lequel elles ont été obtenues. Lorsque l’on communique par exemple ses données à un garage automobile, il est logique de lui fournir son nom, son prénom, son adresse, sa plaque d’immatriculation, le type de véhicule et son kilométrage. La question est de savoir si le garagiste peut transmettre ces données à son association afin que celle-ci puisse procéder à un publipostage. Le garagiste doit demander au client s’il l’y autorise.
Transparence
La transparence est également cruciale. Chaque client peut demander à une entreprise quelles données le concernant sont traitées. Légalement, il dispose d’un droit d’accès à ses données.
Principe de la bonne foi
La loi exige en outre que les données soient traitées selon les règles de la bonne foi, ce qui signifie que seules les données nécessaires à l’activité concrète sont saisies et traitées, et qu’elles ne le sont qu’à cet endroit. Dans le cas d’une société de musique, il s’agit notamment des données de contact d’un membre (nom, prénom, adresse postale, adresse e-mail, numéro de téléphone), de l’instrument, de la durée de l’appartenance ou des charges exercées.
Que faut-il vérifier ou modifier pour être conforme à la LPD?
Données générales des membres
- Former le comité et les collaborateurs>> voir recommandation n°1
- Etablir une déclaration de confidentialité >> voir recommandation n° 2
- Etablir volontairement un répertoire de traitement>> voir recommandation n° 3
- Vérifier les délais de conservation >> voir recommandation n° 4
Site Internet
- VEtablir une déclaration de confidentialité >> voir recommandation n° 2
- Vérifier quels outils sont utilisés>> voir recommandation n° 5
- Orienter l’offre en Suisse >> voir recommandation n° 6
- Vérifier le transfert de données à l’étranger>> voir recommandation n° 7
Canaux sur les réseaux sociaux
- Insérer la remarque dans la déclaration de confidentialité >> voir recommandation n° 2
- Demander l’autorisation de publier, le cas échéant >> voir «Qu’est-ce que la protection des données?»
- Vérifier le transfert de données à l’étranger>> voir recommandation n° 7
Hitobito
- VEtablir une déclaration de confidentialité >> voir recommandation n° 2
- Vérifier les délais de conservation >> voir recommandation n° 4
Dans quel délai doit-on se mettre en conformité avec la LPD?
La LPD s’applique sans période de transition à compter du 1er septembre 2023. Le plus important consiste à élaborer et publier une déclaration de confidentialité afin de satisfaire à l’obligation d’information.
Recommandations
1 Formations
- Les comités et les personnes qui travaillent avec les données des membres doivent être sensibilisés au sujet de la protection des données.
- Mise en œuvre: participation à des formations ou informations sur Internet.
2 Déclaration de confidentialité
- Toute société qui traite des données personnelles a besoin d’une déclaration de confidentialité qui devrait porter sur le traitement des données via le site web ainsi que sur le travail de la société.
- Mise en œuvre: utilisation d’une déclaration de confidentialité, modèle disponible p. ex. sur datenschutzmuster.ch
3 Répertoire de traitement
- La société n’est pas tenue d’établir un registre des procédures de traitement des données (si elle emploie moins de 250 personnes). Mais il est judicieux de savoir quelles données sont collectées, stockées et supprimées – le cas échéant de quelle manière –, afin que le comité puisse agir en conformité avec les dispositions en vigueur en matière de protection des données
- Mise en œuvre: créer un répertoire simple.
4 Suppressions
- Le comité devrait vérifier quelles données des membres sont traitées et quelles données ne sont plus nécessaires ou ne doivent pas obligatoirement être conservées, par exemple parce que les membres ont quitté la société. Ces données doivent être supprimées.
- Mise en œuvre: les répertoires de traitement indiquent quelles données sont collectées, ce qui constitue la base pour introduire des routines de suppression des données.
5 Bannière de Cookie
- La nouvelle LPD n’instaure pas d’obligation relative à une bannière de Cookie. Dans certains cas, cela peut toutefois se révéler nécessaire, par exemple en cas de transfert de données à l’étranger. En cas d’utilisation d’outils d’analyse (p. ex. Google-Analytics) ou de plugins de réseaux sociaux, il convient d’informer et, pour tout transfert à l’étranger vers les Etats-Unis, d’obtenir un consentement.
- Mise en œuvre: vérifier quels outils d’analyse sont utilisés et en informer dans la déclaration de confidentialité. La plupart du temps, les bannières de Cookie ne sont pas nécessaires.
6 Eviter le RGPD
- L’orientation de la société (p. ex. par la présentation sur le site web) ne devrait être identifiable qu’en Suisse, ce qui évite, le cas échéant, d’être soumis au RGPD – plus strict –, même si certains membres sont des citoyens de l’UE.
- Mise en œuvre: indiquer sur le site web que la société oriente son offre à l’intérieur de la Suisse.
7 Transfert de données à l’étranger
- Le transfert de données vers les Etats-Unis (p. ex. en cas d’utilisation de MS365) ou via le site web n’est actuellement pas considéré comme sûr tant que le Conseil fédéral n’a pas pris de décision en matière d’adéquation concernant ce type d’opération.
- Mise en œuvre: MS365 permet de paramétrer un emplacement de serveur en Suisse ou au sein de l’UE. S’agissant des transferts de données vers les Etats-Unis, il reste à espérer que le Conseil fédéral prenne la décision nécessaire en matière d’adéquation en septembre ou en octobre. Dès lors, le transfert de données sera autorisé sans consentement préalable.
Protection des données au sein de l’ASM
L’Association suisse des musiques (ASM) ne saisit et ne traite que des données en lien avec les objectifs de l’association. Ainsi, l’ASM ne saisit et ne traite notamment pas de données personnelles sensibles telles que la confession, l’orientation politique ou similaires, car la collecte ou le traitement de telles données seraient soumis à des exigences plus strictes.
L’ASM ne transmet pas non plus à des tiers sans autorisation, p. ex. à des fins publicitaires, de données personnelles enregistrées chez elle ou dans des systèmes qu’elle utilise (p. ex. Hitobito).
Nous prenons des mesures techniques et organisationnelles appropriées afin de garantir une sécurité des données adaptée à tout risque. L’accès à notre site web s’effectue via un cryptage de transport (notamment par le biais du protocole Hypertext Transfer Protocol Secure, en abrégé HTTPS). La plupart des navigateurs signalent le cryptage de transport par un cadenas dans la barre d’adresse.
FAQ et modèles
Les réponses à diverses questions reçues sur la protection des données sont consignées dans une FAQ. De même, il est possible, sur la page d’accueil de l’étude d’avocats Wicki Partners SA (www.datenschutzmuster.ch), de se procurer des informations complémentaires ainsi que des liens vers des modèles et une déclaration de confidentialité standard: datenschutzmuster.ch
Loi sur la protection des données dans les sociétés
La nouvelle loi sur la protection des données ne contient pas de dispositions spécifiques aux sociétés. Elle n’exige pas non plus d’en informer les membres de manière proactive au 1er septembre 2023. Toutefois, chaque société saisit, traite et/ou dispose de données personnelles qu’elle doit gérer conformément à la loi.
Le comité de la société est responsable de l’utilisation de ces données conforme aux dispositions en vigueur en matière de protection des données et dans le respect de la LPD. La société ne peut collecter et traiter que des données personnelles en lien direct avec ses objectifs. Si la société souhaite collecter d’autres données ou les utiliser à d’autres fins que celles qui lui sont propres, elle doit en informer préalablement les personnes concernées et leur faire savoir qu’elles sont en droit de refuser que ces données soient communiquées.
Déclaration de confidentialité
Une déclaration de confidentialité est en général mise en œuvre pour être en phase avec l’obligation d’information. Elle ne nécessite pas de consentement, mais il doit être possible d’en prendre connaissance. Le plus simple consiste en l’occurrence à placer la déclaration de confidentialité sur le site web d’une société, souvent dans le pied de page de ce dernier (footer).
Informations obligatoires d’une déclaration de confidentialité
Les informations obligatoires d’une déclaration de confidentialité découlent de l’article 19 LPD. L’étendue dépend par exemple des données personnelles traitées, du transfert à l’étranger et de l’intégration des réseaux sociaux. Vous trouverez sur datenschutzmuster.ch l’ébauche d’une déclaration de confidentialité simple.
Les informations à fournir dans une déclaration de confidentialité comprennent:
- l’identité et les coordonnées de la société et du comité,
- l’énumération des données collectées et traitées,
- la description des finalités pour lesquelles les données sont traitées,
- la mention des destinataires ou des catégories de destinataires auxquels les données sont transmises (p. ex. tracking, plugins de réseaux sociaux et autres technologies en rapport avec l’utilisation du site web ou également p. ex. fiduciaires, fournisseurs et autres tiers en rapport avec l’activité de la société),
- le cas échéant, la transmission de données à l’étranger,
- la personne de contact interne,
- toute modification de la déclaration de confidentialité (possible à tout moment et unilatéralement).
La nouvelle loi sur la protection des données n’instaure pas d’obligation relative à une bannière de Cookie. Dans certains cas, cela peut toutefois se révéler nécessaire, par exemple en cas de transfert de données à l’étranger. En cas d’utilisation d’outils d’analyse (p. ex. Google-Analytics) ou de plugins de réseaux sociaux, il convient d’informer et, pour tout transfert à l’étranger vers les Etats-Unis, d’obtenir un consentement.
Transmission de données personnelles
Le Préposé fédéral à la protection des données et à l’information (PFPDT1) indique sur son site Internet que le comité de l’association examinera l’opportunité de publier des données personnelles, que cela soit dans une revue ou sur le site web. Il convient de restreindre l’accès aux données des membres à un cercle restreint de personnes défini.
La communication de données de membres (p.ex. remise de la liste des membres avec les adresses) aux autres membres n’est en principe autorisée que si le consentement de chaque membre a été requis au préalable et la finalité de l’utilisation des données transmises devra être clairement définie (p. ex. pour la prise de contact entre les membres, pour des activités en lien avec l’association, mais pas pour de la prospection commerciale). Si celle-ci a lieu par voie électronique, on utilisera la fonction «copie cachée» afin d’éviter que les données ne soient communiquées aux autres membres sans consentement.
La communication de données de membres à des tiers n’est autorisée que si les membres ont été informés des finalités de la communication de ces données et qu’ils y ont expressément consenti ou qu’ils ont la possibilité de s’y opposer préalablement. L’information doit préciser quelles données (adresse, date de naissance, numéro de téléphone, etc.) sont transmises, à quelle finalité (p. ex. publicité, octroi d’une licence) et à quels tiers (sponsors, fédération, etc.). Les statuts ou un règlement spécifique peut prévoir le cas échéant cette communication. La communication des données à des tiers est également envisageable lorsque la loi le prévoit ou le prescrit (p. ex. la communication des données dans une procédure pénale).
1 Source de ce paragraphe: https://www.edoeb.admin.ch/edoeb/fr/home/datenschutz/freizeit_sport/datenbearbeitung_vereine.html
Conclusion
«La concrétisation et le respect de la LPD révisée s’imposent non seulement pour se conformer aux lois en vigueur, mais aussi pour ne pas nuire à sa propre réputation et traiter les données des membres dans le respect des dispositions légales en vigueur. La mise en œuvre et l’adaptation à la nouvelle situation juridique peuvent nécessiter un , après quoi l’association ou les associations membres membres seront au clair», a déclaré Sven Kohlmeier, avocat et expert en protection des données, par rapport à l’ASM.
Compte tenu de la menace accrue d’amende en cas d’infraction imputable à la personne privée, nous recommandons de respecter impérativement les obligations cardinales de la nouvelle LPD révisée, en particulier la concrétisation des obligations d’information ainsi que le respect des exigences en cas de transmission de données à l’étranger vers des Etats ne disposant pas d’un niveau de protection des données adéquat; notamment, actuellement encore, les Etats-Unis; voir l’article: https://www.wickipartners.ch/news/eu-erlsst-angemessenheitsbeschluss-fr-us-datentransfer
Sources:
https://www.kmu.admin.ch; https://www.windband.ch; avocat et avocat spécialisé en droit de l’informatique (DE);
(Wicki Partners AG, Zurich); Dr. Roman Baumann Lorant, avocat (ALTENBACH BAUMANN BLOCH, Dornach SO)