«Nous ne protégeons pas des données, mais des personnes» Conseils sur la nouvelle loi fédérale sur la protection des données par le coach Roger Muffler
La Suisse applique une nouvelle loi fédérale sur la protection des données, ce qui rend la vie dure à certains professionnels du marketing. Quelles sont les difficultés à surmonter? Des campagnes cross-média basées sur les données sont-elles encore possibles? Et que faut-il prendre en compte pour les publipostages physiques? Roger Muffler, coach sur la protection des données, explique comment les annonceurs publicitaires peuvent bien mettre en œuvre la protection des données.
Quelle a été votre impression spontanée lorsque vous vous êtes penché pour la première fois sur la nouvelle loi fédérale sur la protection des données?
Roger Muffler: C’est en 2016 que me suis penché sur l’avant-projet. En le lisant, j’ai eu l’impression que la loi apportait un durcissement significatif vis-à-vis du RGPD dont on voulait réellement se rapprocher. Cela ne présageait donc rien de bon, et je n’étais pas le seul à le penser. Les critiques lors de la procédure de consultation le montraient clairement: beaucoup rejetaient la loi dans son ensemble. Elle n’était tout simplement pas adaptée aux besoins de la pratique sous cette forme.
Après la procédure de consultation, la loi a cependant été fondamentalement remaniée.
C’est exact, et le résultat m’a nettement plus convaincu que l’avant-projet: la loi est maintenant globalement raisonnable, n’entraîne pas de bureaucratie inutile et, surtout, est applicable. Il y a toutefois un point que je continue de critiquer: le système d’amendes. Contrairement à l’UE, la Suisse ne sanctionne pas les entreprises, mais leur personnel, pour les infractions à la protection des données – et le montant peut s’élever à 250 000 francs. On peut supposer que cela affectera principalement les décideurs d’une entreprise. Toutefois, personne ne peut encore l’affirmer avec précision. Cela peut créer un fort sentiment d’insécurité et représente selon moi une particularité suisse inutile dans la protection des données.
Quand une personne peut-elle être sanctionnée?
La nouvelle LPD liste une poignée de faits passibles d’une amende et qui revêtent toujours un caractère intentionnel. Il convient de noter que même une acceptation consciente peut être considérée comme une intention. Les infractions causées par des erreurs ou par une négligence ne sont généralement pas passibles d’une amende.
L’entreprise ne pourrait-elle pas simplement prendre en charge les amendes?
Non, ce n’est pas possible. En effet, les amendes sont traitées par le code pénal, elles ne peuvent pas être répercutées ou reprises. Elles ne peuvent donc être couvertes par aucune assurance. Par conséquent, les entreprises ne peuvent se protéger ou protéger leur personnel contre les amendes qu’en se conformant à la loi fédérale sur la protection des données. Pour cela, il faut une structure opérationnelle pour la protection des données, ainsi que sur la formation et la sensibilisation du personnel.
Collecte de données
La loi établit une distinction entre la collecte directe et indirecte des données. On parle de collecte directe des données lorsque les données personnelles sont recueillies par la personne concernée elle-même, par exemple au moyen de formulaires, d’enregistrements en ligne ou de suivi des activités en ligne. Si les données sont collectées via des tiers (par exemple par location d’adresses), on parle de collecte indirecte.
Traitement de données
Par traitement, on entend toute manipulation de données personnelles, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, la suppression ou la destruction de données personnelles.
Registre des traitements
Dans le registre des traitements, l’entreprise décrit entre autres les données personnelles qu’elle traite, les raisons à cela et les personnes avec lesquelles elle partage les données. Les entreprises de moins de 250 collaboratrices et collaborateurs et présentant peu de risques dans le traitement des données ne sont pas obligées de tenir un registre des traitements.
Sous-traitance
Il s’agit ici de l’externalisation d’un traitement de données. Ainsi, si des données personnelles ne sont pas traitées par l’entreprise responsable elle-même, mais par un tiers suivant ses instructions, il s’agit d’une sous-traitance.
Analyse d’impact relative à la protection des données
L’analyse d’impact relative à la protection des données est une analyse des risques liés au droit de la protection des données lors du traitement des données. Elle contient une description du traitement envisagé des données personnelles, une évaluation des risques pour la personnalité ou pour les droits fondamentaux de la personne concernée, ainsi que les mesures prises pour la protéger.
Sur quels points la loi apporte-t-elle de la clarté pour les annonceurs publicitaires dans la protection des données?
La loi n’apporte pas plus de clarté, mais plutôt de nouvelles règles. Toutefois, on peut l’interpréter comme une invitation à rendre soi-même le processus plus clair – notamment avec le nouveau registre des traitements. Même si de nombreuses entreprises ne sont pas obligées de tenir ce registre du fait de leur taille, je recommande à toutes de le faire. En effet, il s’agit d’un instrument simple pour mettre de l’ordre et obtenir un aperçu sur le traitement de ses données.
Où voyez-vous les difficultés de la nouvelle loi quant à la publicité?
Parmi les difficultés posées, on compte les nouvelles obligations d’informer, en particulier en cas de collecte indirecte des données: lors d’une location d’adresse par exemple, les annonceurs publicitaires doivent entre autres indiquer aux consommatrices et aux consommateurs dans quel but ils traitent les données. La manière la plus simple de s’y prendre est de le faire au premier contact après la collecte des données, par exemple avec une remarque sur la déclaration de protection des données figurant directement sur le publipostage. Un autre défi consiste à obtenir un aperçu de ses propres traitements de données et à vérifier leur conformité. En effet, il y a beaucoup de questions à clarifier à ce sujet, par exemple: où traitons-nous les données au juste? Transférons-nous à notre insu des données à l’étranger, parce que nous utilisons un service de cloud étranger? Nos données sont-elles traitées par des tiers et entraînent-elles une sous-traitance que nous n’avons jusqu’à présent pas identifiée en tant que telle? C’est un sujet épineux. Toute personne tenant un registre des traitements suit un processus clair et se heurte automatiquement aux points critiques dans la protection des données. Grâce à une analyse intégrée de la valeur seuil, le registre aide également les entreprises à évaluer pour quels traitements elles doivent faire une analyse d’impact relative à la protection des données.
Les campagnes cross-média d’aujourd’hui se basent fortement sur les données. Que pourrons-nous encore faire à l’avenir?
Tout ou presque, cela n’a pas changé. Je n’identifie aucune restriction notable imposée par la nouvelle loi fédérale sur la protection des données. Les annonceurs publicitaires doivent cependant réfléchir davantage à la manière de créer de la transparence, de remplir leurs obligations d’informer et de mettre de l’ordre dans leurs traitements de données. C’est comme cela qu’ils se conformeront aux nouvelles règles du jeu.
Quelles sont les conséquences de la loi pour le marketing de dialogue et en particulier pour l’utilisation de publipostages physiques?
C’est justement pour les publipostages avec adresses externes que l’obligation d’informer est importante. Dans la loi, cela est adressé dans le mot-clé «collecte indirecte». Ainsi, dès que j’envoie un publipostage à des adresses qui ne proviennent pas de ma propre base de données, je dois les informer de leur collecte. C’est pour cela que je recommande à tous les annonceurs publicitaires de tester dès maintenant la réaction qu’une telle information cause chez les consommatrices et les consommateurs et la meilleure façon de la présenter et de la formuler.
Quelle est la meilleure façon de procéder à cet égard pour les annonceurs publicitaires?
Mon conseil pour les annonceurs publicitaires est le suivant: adressez-vous directement aux destinataires dans le publipostage. Expliquez-leur que vous aimeriez les acquérir en tant que clientes et clients et que vous avez collecté leurs données à cette fin auprès du prestataire XY. Placez ensuite le lien vers votre déclaration de protection des données et, le cas échéant, aussi vers celle du prestataire. Vous respectez ainsi l’obligation d’informer. Point important dans ce contexte: à compter de la collecte des données, les entreprises disposent d’un délai de seulement 30 jours pour informer les destinataires de la collecte. C’est un délai très serré et cela montrera s’il peut être respecté.
La protection des données est aussi toujours une évaluation des risques. Que recommandez-vous aux annonceurs publicitaires afin de gérer les risques?
Tout d’abord, il faut avoir conscience de qui est concerné par les risques: il existe ainsi des risques pour les personnes concernées, pour les entreprises et aussi, avec le nouveau système d’amendes, pour le personnel. Ensuite, les annonceurs publicitaires doivent se confronter eux-mêmes aux risques. C’est justement du point de vue du personnel qu’il est judicieux de s’occuper également des faits qui peuvent conduire à des amendes.
Quels sont ces faits?
Les trois plus importants sont les suivants: des informations volontairement fausses ou incomplètes, une sous-traitance mal réglée et la communication de données vers l’étranger sans base légale. Cependant, les questions concernant la protection des données trouvent rarement des réponses claires se limitant à «Oui» ou «Non». C’est pour cela que beaucoup de décisions comportent des risques. Pour prendre de telles décisions, il est possible de faire appel à une experte ou un expert si besoin. Pourtant, les annonceurs publicitaires peuvent souvent gérer le risque en se focalisant sur les principes prévus par la loi et en se mettant à la place de la personne concernée. Ils doivent se poser la question suivante: le traitement des données est-il vraiment dans l’intérêt de la personne concernée? En effet, même si nous parlons toujours de protection des données, il faut prendre conscience d’une chose: au fond, il ne s’agit pas de protéger des données, mais plutôt des personnes. C’est pour cela que l’empathie et le bon sens aident aussi pour l’évaluation des risques.
Comment une entreprise peut-elle bien mettre en place la protection des données? Roger Muffler présente cinq facteurs de réussite pour une structure de protection des données efficace:
- La direction doit comprendre le thème de la protection des données et être à 100% derrière la gestion de sa propre protection des données. Le succès de cette dernière dépend en effet de l’engagement de la gestion d’entreprise et des ressources qu’elle met à sa disposition. Le personnel doit sentir que la protection des données est importante aux yeux de la direction et qu’il est soutenu à ce sujet.
- L’ensemble du personnel doit être sensibilisé à la protection des données. C’est plus efficace que de créer de longs règlements que personne ne lit. Dans un même temps, le personnel informé est la meilleure «assurance» contre les infractions en matière de protection des données, car il dispose des outils nécessaires pour les identifier à l’avance.
- Il faut un responsable interne de la protection des données pour contrôler cette tâche. Pour cela, un sens de l’organisation est au moins tout aussi important qu’une compréhension fondamentale de la protection des données et un intérêt pour le sujet. Cette personne est celle à contacter pour les questions sur la protection des données et organise la structure de protection des données, y compris la documentation.
- Tous les documents pertinents doivent être archivés dans un cockpit central de protection des données. Parmi eux, on trouve au moins le registre des traitements, les contrats de traitement des mandats, les évaluations des impacts de la protection des données et le concept de sécurité.
- Au besoin, les entreprises doivent miser sur le soutien et le savoir-faire de spécialistes externes: un juriste spécialisé dans la protection des données est idéal pour des conseils juridiques détaillés et des évaluations. Un coach sur la protection des données assiste dans la mise en place de la structure et pour les différents processus et documents, comme le registre des traitements.
