Face à la nouvelle LPD, l’administration fédérale n’est pas en phase avec la réalité des PME
Enfin! C’est le mot. Après des années de tergiversations et cinq ans après l’Union européenne, la Suisse muscle sa loi sur la protection des données (LPD). Elle entrera en vigueur le 1er septembre prochain,… trois ans après son adoption par le Parlement. Trente ans après sa création en 1992, la LPD avait urgemment besoin d’un lifting pour coller aux enjeux de numérisation actuels. Une profonde réforme qui se révèle cosmétique dans les faits, selon plusieurs experts. D’autant plus que la nouvelle loi sur la protection des données se montre beaucoup moins contraignante que son grand frère européen, le RGPD.
Pour rappel, depuis le mois de mai 2018, les pays de l’UE appliquent le règlement européen sur la protection des données personnelles (RGPD). Celui-ci accorde davantage de droits au citoyen puisque chaque Européen peut désormais exiger de connaître quelles entreprises collectent ses données, dans quel cadre et à quelles fins. Il peut aussi décider de transférer ses informations personnelles (portabilité) à la plateforme ou l’entreprise de son choix. Ou d’exiger leur suppression (droit à l’oubli). Le RGPD est donc plus contraignant que la loi suisse sur la protection des données. Une large majorité d’entreprises suisses se sont donc depuis mis en conformité avec le règlement européen.
Que va donc changer la nouvelle LPD? Pas grand chose à vrai dire pour les entreprises déjà en conformité avec le RGPD. Mais pour la Suisse, elle lui permettra de se doter d’un niveau de protection des données suffisamment élevé pour que le transfert de données entre Etats membres de l’Union européenne et la Suisse ne fasse pas l’objet de mesures d’accompagnement spécifiques. En résumé, la Suisse s’inspire grandement du RGPD, mais l’allège. Mais détrompez-vous, la LPD mouture 2023 propose des changements. Parmi eux, une mise à jour des données personnelles considérées comme sensibles; un droit d’opposition au traitement automatisé des données personnelles; de même que de nouvelles sanctions pénales en cas d’infraction.
La liste est longue. Elle a surtout le mérite de semer le trouble dans la tête des PME romandes qui s’interrogent sur les implications concrètes de ces changements. Preuve en est le dernier événement organisé fin novembre 2022 par l’association suisse de la sécurité de l’information (Clusis) en partenariat avec la Fédération des entreprises romandes (FER). Le thème de cette rencontre dans les locaux de la FER portait bien évidemment sur la nouvelle loi sur la protection des données, avec l’objectif d’éclairer et de renseigner le parterre d’entrepreneur.e.s sur les principaux changements et les mesures à prendre pour s’y confirmer.
Dans cet exercice de vulgarisation et de communication, la Fribourgeoise Caroline Gloor Scheidegger, cheffe du domaine de direction Relations internationales au sein du Préposé fédéral à la protection des données et à la transparence a fait le déplacement depuis Berne. Malgré ses efforts et un jargon technique, sa présentation n’a pas su répondre aux questions concrètes des TPE et PME présentes. Le panel d’entrepreneurs et d’experts invités plus tard sur scène s’est montré plus concret. Tous enjoignent leurs confrères et consœurs chef.fe.s d’entreprise à regagner de la visibilité sur les données sensibles en leur possession. Et, le cas échéant, faire cet exercice d’introspection de leur modèle d’affaires.
Le débat n’est donc pas clos. Mais cet événement aura souligné une chose: Après des années d’attente à réformer cette loi si importante, c’est à se demander si l’administration fédérale est aux faits de la réalité du tissu économique Suisse romand, composé à plus de 90% de TPE et de PME. Dans sa difficulté à vulgariser et expliquer les impacts concrets d’une loi complexe à des entreprises désireuses de se mettre en conformité, elle montre un très mauvais signal tout en se coupant du quotidien des principales intéressées.
