L’essentiel sur la nouvelle loi fédérale sur la protection des données Ce à quoi les annonceurs publicitaires doivent faire attention
Le 1er septembre 2023 a été une date importante, y compris pour les publicitaires: c’était l’entrée en vigueur de la nouvelle loi fédérale suisse sur la protection des données. Quiconque utilise des données personnelles à des fins publicitaires doit respecter de nouvelles obligations d’informer, assumer une plus grande responsabilité dans le traitement des données personnelles et renforcer la sécurité des données. L’essentiel, en bref.
1. Améliorer la transparence
Les entreprises sont tenues d’informer les personnes physiques au sujet de la collecte de données personnelles avec précision et transparence, et de manière aussi claire que possible. Quiconque communique ses données personnelles doit savoir comment et dans quel but elles sont traitées.
Si des données sont partagées avec des prestataires étrangers, l’État par lequel l’accès aux données personnelles peut avoir lieu doit être indiqué. De nombreux publicitaires n’ont pas conscience que, souvent, l’intégration inchangée d’un «plug-in social» transmet déjà les données personnelles de chaque visiteur du site web à des réseaux sociaux aux États-Unis. Il revient aux entreprises d’informer les utilisateurs à ce sujet.
Grâce à une meilleure transparence, les personnes physiques ont la possibilité de faire valoir leurs droits en vertu de la loi fédérale sur la protection des données. Elles ont droit aux informations suivantes:
- Obligation active d’informer: Les entreprises fournissent des informations détaillées sur leurs traitements des données, en particulier sur la finalité du traitement et sur la communication à des tiers. Les données doivent être utilisées exclusivement en vue de la finalité indiquée.
- Obligation d’informer en cas de décision individuelle automatisée: Si l’évaluation du contenu des données (par exemple, vérification de la solvabilité, demande d’assurance) est effectuée par un programme informatique ou un algorithme, les personnes concernées doivent en être activement informées.
- Droit à l’information: Les personnes concernées sont autorisées à demander et à obtenir des informations sur le traitement de leurs données.
Une exception aux obligations d’informer a été créée pour la transmission de données personnelles au sein d’un groupe, par exemple lorsque l’entreprise mère se charge du marketing des sociétés de son groupe. Il n’y a pas d’obligation fondamentale d’informer sur cette transmission interne au groupe.
«Le principe de transparence est sans aucun doute la règle fondamentale la plus importante en matière de protection des données. Les entreprises doivent se poser la question: comment s’assurer que les personnes concernées sont suffisamment informées quant à notre manière de collecter et traiter les données? Les déclarations de protection des données sont adaptées à cet effet. Elles doivent être compréhensibles, actualisées et accessibles. Autrement, la transparence n’est pas garantie. Par ailleurs, les entreprises doivent être conscientes que le traitement des données est toujours lié à un but – plus précisément, au but défini et communiqué lors de la collecte des données. Ainsi, quiconque collecte aujourd’hui une adresse e-mail dans le but de faire du marketing par e-mail ne pourra l’utiliser que dans cet unique but.»
La loi actuelle sur la protection des données (LPD) datant de 1992 ne répond plus aux normes internationales. Dernièrement, l’entrée en vigueur du règlement général sur la protection des données (RGPD) dans l’UE au mois de mai 2018 a donné lieu à une intense réflexion sur la question de la protection des données en Suisse. En effet, le RGPD touche également les entreprises nationales actives sur le marché européen. Avec la révision complète de la LPD et le règlement sur la protection des données qui en découle, la Suisse a désormais aligné sa protection des données sur les normes européennes. À l’ère du numérique, la nouvelle législation améliore la protection de la personnalité et l’autodétermination concernant les données personnelles. Elle reste néanmoins plus libérale que le RGPD, par exemple en ce qui concerne les exigences relatives à la validité du consentement.
2. Assurer la protection des données sur le plan technique et organisationnel
Les entreprises doivent concevoir le traitement de leurs données sur le plan technique et organisationnel de manière à respecter les prescriptions en matière de protection des données et à limiter l’utilisation des données en vue de la finalité définie. Deux mesures permettent d’y parvenir:
- Conception technique (Privacy by Design): La protection des données est prise en compte dès le début du développement de logiciels et de matériel informatique, dès lors que des données personnelles doivent être traitées. Pour les publicitaires, cela signifie par exemple qu’ils doivent veiller, lors de l’achat de logiciels, à ce que les données puissent être supprimées de manière granulaire – c’est-à-dire par séquences individuelles et non par ensembles complets. Si une personne demande la suppression de ses données, l’entreprise peut s’épargner des ennuis et des frais en appliquant systématiquement le principe de «Privacy by Design».
- Paramètres prédéfinis (Privacy by Default): La protection des données doit être garantie par des paramètres par défaut favorables à la protection des données. Ainsi, les utilisatrices et utilisateurs peu technophiles et qui ne sont pas en mesure d’adapter les paramètres de protection des données à leurs préférences sont également protégés. Les entreprises peuvent par exemple suivre ce principe lors de la conception de leur bannière relative aux cookies, qui fait la distinction entre les cookies techniquement nécessaires et les cookies d’analyse web. Les cookies d’analyse web doivent être désactivés par défaut et activés uniquement après consentement explicite.
La nouvelle loi fédérale sur la protection des données confère aux personnes physiques des droits étendus:
- Droit à l’information: les personnes concernées sont autorisées à demander quelles données les concernant sont enregistrées et à obtenir des informations sur le traitement de leurs données.
- Droit de contestation: les personnes ont le droit de s’opposer au traitement de leurs données personnelles.
- Droit à la remise et à la transmission des données: les personnes ont le droit de demander aux entreprises la transmission de leurs données personnelles à elles-mêmes ou à d’autres entreprises.
- Droit de rectification: les personnes ont le droit de faire corriger leurs données personnelles lorsque celles-ci comportent des erreurs.
- Droit à l’oubli: les personnes ont le droit de demander à ce que leurs données personnelles soient supprimées.
3. Garantir la sécurité des données
Les entreprises doivent sécuriser leurs données par des mesures techniques et organisationnelles appropriées. L’objectif est de protéger suffisamment les données de tout type – y compris les données personnelles – contre la manipulation, la perte, la prise de connaissance non autorisée par des tiers, ou d’autres menaces. Les mesures possibles comprennent notamment:
- Restriction d’accès: seules les personnes disposant d’une autorisation d’accès peuvent accéder aux données personnelles.
- Contrôle d’accès: empêche les personnes non autorisées d’utiliser les systèmes de traitement des données.
- Transmission des données plus sécurisée: les entreprises s’assurent que les données ne peuvent pas être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission.
- Sauvegarde des données: les sauvegardes multiples protègent les entreprises contre les pertes de données.
- Directives et sensibilisation: les règlements, les directives et les formations permettent de veiller à ce que les collaboratrices et collaborateurs soient conscients des risques liés à l’utilisation et au traitement des données et qu’ils les manipulent en toute sécurité.
En tant qu’autorité suprême en matière de protection des données, le PFPDT se voit attribuer davantage de compétences et de responsabilités, là où il ne pouvait auparavant qu’émettre des recommandations en cas d’atteinte à la protection des données. En tant qu’autorité de surveillance, le PFPDT peut désormais ouvrir directement des enquêtes et les mener lui-même. En outre, il peut rendre des décisions juridiquement contraignantes pendant la procédure et après le jugement.
Le PFPDT peut être considéré comme une police des données: il reçoit des plaintes, mène des investigations, et peut également coopérer avec des autorités étrangères. Il ne faut pas s’attendre à ce que le PFPDT lance des enquêtes systématiques à grande échelle avec l’entrée en vigueur de la nouvelle loi sur la protection des données. Il se concentrera sur les cas présentant un risque particulier de violation de la protection des données.
4. Tenir un registre des activités de traitement
En vertu de la nouvelle législation, chaque entreprise doit tenir un registre des activités de traitement dans lequel elle décrit les données qu’elle relève, les raisons à cela, les personnes avec lesquelles elle les partage et la manière dont elle les protège. Le registre des activités de traitement est en quelque sorte une cartographie de l’entreprise en matière de protection des données. Selon la loi, les entreprises de moins de 250 collaboratrices et collaborateurs, dont le traitement de données comporte de faibles risques, font exception à cette règle.
Dès qu’une entreprise traite des données sensibles, elle doit tenir un registre des traitements. Cela est également valable pour les entreprises de moins de 250 collaboratrices et collaborateurs, telles que les cabinets médicaux. De même, les agences de publicité ne pourront pas se passer d’un registre de traitement si elles pratiquent le profilage à risque élevé, ou si elles traitent des données sur mandat ou des données sensibles. Toutefois, il est également dans l’intérêt des entreprises de tenir un registre des traitements: elles gagnent ainsi en clarté sur leurs traitements de données et peuvent anticiper les écueils.
Lukas Bühlmann, avocat et expert en protection des données
Les aspects suivants devraient au moins figurer dans l’inventaire du traitement des données:
- La personne en charge de la protection des données
- Finalité du traitement des données personnelles collectées
- Description des catégories de personnes concernées
- Description des catégories de personnes concernées
- Catégories des destinataires des données personnelles
- Si possible: durée de conservation des données personnelles ou critères de détermination de cette durée
- Si possible: description générale des mesures prises pour garantir la sécurité des données (mesures techniques et organisationnelles)
- Si des données sont communiquées à l’étranger: indication de l’État concerné et des garanties exigées par l’article 16, alinéa 2, LPD
Les personnes qui souhaitent volontairement tenir un registre des traitements et se familiariser avec le sujet peuvent créer ce registre dans un tableau Excel. En revanche, celles qui doivent tenir un registre et traiter des données complexes devraient utiliser un logiciel adapté à cet effet. Il ne faut pas oublier que le registre des activités de traitement nécessite un soin continu: il doit être complété, modifié et saisi à nouveau.
Lukas Bühlmann, avocat et expert en protection des données
5. Effectuer une analyse d’impact relative à la protection des données
L’analyse d’impact relative à la protection des données est une estimation des risques en matière de protection des données lors de leur traitement. Elle contient une description du traitement envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée, ainsi que les mesures prises pour la protéger. Dès lors que des publicitaires souhaitent utiliser des données particulièrement sensibles ou pourraient créer d’une autre manière un risque élevé pour les droits ou la personnalité des personnes concernées, ils doivent effectuer une analyse d’impact relative à la protection des données. Elle doit être conservée au moins deux ans après la fin du traitement des données.
Quiconque utilise de nouvelles technologies telles que l’intelligence artificielle ou pratique un profilage à forte intensité de données (voir point suivant) ne peut guère faire l’économie d’une analyse d’impact relative à la protection des données. Dans l’UE, les autorités de surveillance publient des whitelists (pas d’analyse d’impact nécessaire) et des blacklists (analyse d’impact nécessaire). Les publicitaires peuvent également s’orienter vers ces listes en Suisse jusqu’à ce que le préposé fédéral à la protection des données et à la transparence ait établi ses propres lignes directrices.
Certaines données particulièrement délicates en raison de leur contenu sont réputées sensibles par la loi sur la protection des données.
- Les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
- Les données sur la santé, la sphère intime ou encore les origines culturelles ou ethniques,
- Les données génétiques,
- Les données biométriques identifiant une personne physique de manière univoque,
- Les données sur des poursuites ou sanctions pénales et administratives,
- Les données sur des mesures d’aide sociale.
Lorsque des données personnelles sensibles sont utilisées dans un cadre publicitaire, il est recommandé d’obtenir le consentement explicite des personnes concernées, même si celui-ci n’est pas toujours nécessaire.
Les publicitaires doivent prendre en compte les risques liés au traitement des données. Pour simplifier, ils devraient se poser les questions suivantes: qu’est-ce qui peut aller de travers? Quel est le risque que cela se passe mal? Et quelle est l’ampleur des dégâts si cela se passe mal? L’analyse d’impact relative à la protection des données est un outil qui permet d’évaluer les risques de manière un peu plus complète. Les personnes qui doivent effectuer une analyse d’impact peuvent s’inspirer de modèles, utiliser des outils tels que «One Trust» ou faire appel à un expert en protection des données.
Lukas Bühlmann, avocat et expert en protection des données
6. Obtenir un consentement explicite pour le profilage
Le profilage consiste à traiter et à évaluer automatiquement des données à caractère personnel afin d’évaluer, d’analyser ou de prédire certains aspects personnels, tels que la situation économique, la santé, les préférences, les intérêts et le comportement. Une telle analyse des données personnelles est donc assistée par ordinateur, par exemple à l’aide d’un algorithme. S’il s’agit de données à haut risque, le consentement explicite de la personne concernée est désormais nécessaire. La mention «En visitant ce site, vous acceptez le profilage à des fins publicitaires» ne suffit plus.
La loi fédérale sur la protection des données parle d’un risque élevé lorsque le profilage conduit «à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique». Le législateur n’a donc pas clarifié la question de savoir ce qui constitue un risque élevé nécessitant un consentement explicite. Les publicitaires devraient s’inspirer des pratiques de l’UE, car la Suisse s’aligne sur les normes européennes avec sa nouvelle loi fédérale sur la protection des données. Dans l’UE, la tendance est à l’obtention générale du consentement pour le profilage à des fins publicitaires. Les personnes qui peuvent documenter dès aujourd’hui le consentement explicite des consommatrices et consommateurs au profilage à des fins publicitaires – par exemple en cochant une case – sont du bon côté de la barrière. En l’absence de consentement explicite au profilage, il convient de l’obtenir ultérieurement, en fonction du risque.
Le consentement n’est pas nécessaire pour le profilage normal en Suisse. Cependant, si les publicitaires effectuent un profilage à haut risque, ils doivent obtenir le consentement explicite de la personne concernée. Cela peut par exemple être effectué en cochant une case. Cependant, en l’absence de valeur seuil bien définie, il n’est pas toujours facile de déterminer à partir de quand un profilage peut être considéré comme à haut risque. Chaque cas doit donc être considéré à sa juste valeur.
Lukas Bühlmann, avocat et expert en protection des données
7. Signaler les violations de la protection des données
En cas de violation de la protection des données, il existe un risque d’atteinte à la protection de la personnalité ou aux droits fondamentaux des personnes concernées. Pareil constat doit dorénavant être signalé au préposé fédéral à la protection et à la transparence (PFPDT). Si nécessaire pour leur protection, les personnes concernées doivent également être informées de la violation de la protection des données.
Les personnes qui ne respectent pas l’obligation de communiquer ne sont pas soumises aux sanctions pénales prévues par la loi. Toutefois, une violation de la protection des données peut également avoir des conséquences sur le plan du droit civil si elle n’est pas signalée au PFPDT ou aux personnes concernées. Par exemple, si une entreprise ne signale pas un vol de données personnelles parce qu’elle ne veut pas admettre avoir été piratée, les personnes concernées sont inutilement lésées. Ces personnes peuvent alors éventuellement intenter une action civile contre la violation de l’obligation de communiquer.
Lukas Bühlmann, avocat et expert en protection des données
8. Sanctions
La nouvelle loi sur la protection des données permet à la Suisse de renforcer ses sanctions en cas de violation de la protection des données. Contrairement à l’UE, ce ne sont pas les entreprises qui sont sanctionnées en premier lieu, mais les particuliers – par exemple, les collaboratrices et collaborateurs et les cadres responsables du traitement des données. Le montant des amendes peut s’élever à 250 000 francs. Sont sanctionnés les manquements intentionnels ou éventuellement intentionnels à différentes obligations prévues par la nouvelle loi, notamment le non-respect des obligations d’information, de renseignement, de coopération ou de diligence.
Les entreprises ont une obligation de prévoyance envers leurs collaborateurs. Afin de les protéger de toute accusation de comportement répréhensible, il leur faut se conformer autant que possible à la protection des données, tout en sensibilisant les collaboratrices et collaborateurs à cette dernière. Concrètement, les entreprises devraient se demander quels aspects de leurs traitements de données sont punis par la loi fédérale sur la protection des données. Il convient d’accorder une attention particulière à ces aspects.
Lukas Bühlmann, avocat et expert en protection des données