De quoi il est question: la protection des données du futur
Avec la numérisation, non seulement la quantité de données augmente, mais les possibilités technologiques permettant l’analyse et le traitement des données disponibles, comme le Big Data, l’apprentissage automatique et l’intelligence artificielle, se font également de plus en plus nombreuses. La nouvelle loi fédérale sur la protection des données, adoptée à l’automne 2020 par le Parlement, tient compte de ces évolutions. Elle remplace une loi qui remonte à 1992, une époque où l’Internet n’en était alors qu’à ses balbutiements. «La nouvelle loi sur la protection des données intervient désormais partout où des données personnelles sont traitées. Pour une banque dont l’activité est basée sur les données et pilotée par l’informatique, cette loi a un impact significatif dans de nombreux secteurs», confie Jürg Frei, qui dirige chez PostFinance le projet cadre sur la protection des données. Les points centraux de la nouvelle loi sur la protection des données sont notamment les suivants:
- La nouvelle loi fédérale sur la protection des données porte désormais uniquement sur la protection des personnes physiques et s’aligne donc sur les normes internationales, pertinentes.
- Le devoir d’informer les personnes concernées est largement étendu et inclut des exigences minimales.
- Davantage de données personnelles sont considérées comme des données sensibles: c’est notamment le cas des données génétiques et des données biométriques identifiant une personne physique de manière univoque.
- Toute entreprise comptant au moins 250 collaborateurs doit tenir un registre des activités de traitement.
- Le traitement de données personnelles doit être planifié et mis en œuvre de sorte qu’il puisse être effectué conformément aux dispositions de la protection des données dès la conception (privacy by design).
- Un droit à la transmissibilité des données est instauré: toute personne peut demander à ce que ses données personnelles lui soient remises sous un format électronique couramment utilisé.
- Des sanctions claires sont définies. Ces sanctions prévoient d’engager la responsabilité pénale individuelle des responsables de traitement. Il faut considérer que ce sont avant tout les organes de direction tels que les membres du Conseil d’administration ou du comité directeur qui pourraient être concernés, voire le conseiller à la protection des données (nouveau nom du responsable de la protection des données) en cas d’agissement inapproprié.