Portrait
Nicola Benz est d’origine écossaise. Elle a suivi une formation d’avocate dans son pays natal et travaille en Suisse depuis 2022. Elle est associée au sein du cabinet MLL Legal à Zurich et ses spécialités sont le droit TI et la protection des données. Nicola Benz est maman de deux enfants, se rend au travail à vélo et aime la randonnée. Avant, elle était membre d’une société de gymnastique, mais aujourd’hui sa famille et son travail lui prennent tout son temps.
Madame Benz, la nouvelle loi sur la protection des données est entrée en vigueur le 1er septembre – pourquoi cette loi est-elle nécessaire ?
Nicola Benz : C’est en partie lié à l’UE. En 2018, l'UE a introduit le règlement général sur la protection des données (RGPD). L’UE considère la Suisse comme un pays avec un niveau de protection des données adéquat. Afin de pouvoir conserver ce statut, nous devons adapter notre loi sur la protection des données.
À cela s'ajoute le fait que les volumes de données sont de plus en plus importants et qu'il devient de plus en plus difficile d’en garder le contrôle. Les données sont très précieuses et la loi révisée devrait tenir compte de ces circonstances.
Quels sont les plus grands changements apportés par cette loi ?
L’adaptation la plus importante est l’obligation d’information. Les entreprises et les sociétés doivent notamment indiquer à leurs collaboratrices et collaborateurs, clientes et clients et membres quelles données sont stockées où et à quelles fins elles sont utilisées et si elles sont transmises à des tiers. Pour que cela soit possible, il faut naturellement que chacun sache quelles données sont collectées et à quelles fins elles seront utilisées.
En cas de non-respect de ces directives, les sanctions prévues sont désormais plus sévères.
C’est vrai. Les sanctions ont été fortement développées. Il se trouve que les personnes ayant une responsabilité dans ce domaine - donc en particulier les membres de direction ou de comité - peuvent se voir infliger une amende pouvant aller jusqu'à 250'000 francs en cas de non-respect de certaines dispositions de la loi sur la protection des données. Ce n’est pas la société ou l’entreprise qui est amendée, mais la personne responsable.
La lecture de la nouvelle loi sur la protection des données est très technique, avec de nombreux termes spécialisés. Lesquels faut-il impérativement connaître pour pouvoir travailler avec cette loi ?
Les données personnelles sont un concept central. Toutes les informations qui permettent de tirer des conclusions sur une personne identifiable en font partie. Il s’agit des noms, adresses, adresses électroniques, dates de naissance, disciplines sportives et ainsi de suite. Un deuxième terme important est celui de responsable. Généralement on n’entend pas par-là la personne responsable, mais l’entreprise, la société ou l’organisateur qui est responsable des données. Le responsable des données détermine dans quel but les données sont traitées et par quel moyen. Et en troisième lieu, il y a les sous-traitants. Ce sont des tiers qui travaillent avec les données pour le compte d'un responsable des données. Par exemple, les fournisseurs de logiciels, les agences de publicité ou les centres d'appels.
Afin de rapprocher la loi sur la protection des données de la théorie à la pratique, nous avons rassemblé plusieurs situations tirées du quotidien des sociétés et souhaitons en discuter avec vous.
Volontiers.
Pratiquement chaque société dispose d’une gestion numérique des membres. De quoi une société doit-elle tenir compte à partir du 1er septembre ?
Le principe suivant s’applique : on a le droit d’enregistrer uniquement ce dont on a besoin et seulement aussi longtemps qu’on en a besoin. Cela signifie qu’en tant que société, il est judicieux de passer en revue les données de ses membres et de se demander, par exemple, pour tous les jeux de données des anciens membres, s'ils sont effectivement encore nécessaires à des fins concrètes ou s'ils doivent être supprimés. Il est également important d’enregistrer les données selon des normes techniques de sécurité adaptées. Pour ce faire il faut conclure un contrat correspondant avec le fournisseur du logiciel de gestion des membres. Celui-ci est généralement présenté par le fournisseur. La société doit toutefois tenir compte d'autres éléments.
À savoir ?
L’obligation d’information est très importante. Il ne suffit pas d'informer une seule fois les membres sur le traitement des données au sein de la société. La société doit veiller à ce que les personnes qui deviendront membres à l'avenir soient activement informées de l'endroit où les données sont stockées, de leur nature et de leur utilisation. Le plus simple est de régler cela dans la déclaration de protection des données publiée sur le site Internet et d'y faire référence dans les informations aux nouveaux membres. Il est en outre important que la société garantisse que seules les personnes qui en ont réellement besoin aient accès aux données personnelles. Donc pas les anciens membres du comité ou les membres de la société qui n’assument pas de fonction particulière.
La société doit veiller à ce que les personnes qui deviendront membres à l'avenir soient activement informées de l'endroit où les données sont stockées, de leur nature et de leur utilisation.
Qu'est-ce que cela signifie pour la société qui a envoyé ou mis à disposition sur son site Internet des listes de membres avec leurs coordonnées afin qu’ils puissent entrer en contact entre eux ?
Il faudrait faire cela uniquement si chaque membre concerné a autorisé par écrit que ses données peuvent être mises à disposition à cette fin. Et comme cette fin n'exige pas que les coordonnées soient publiées de manière générale, la liste devrait seulement être mise à disposition d'un cercle fermé - par exemple dans la zone des membres du site Internet.
Du moment que nous parlons listes et documents. Qu'en est-il des fiches d'athlètes, des palmarès, des classements et des statistiques ? On y trouve des données personnelles. N’a-t-on plus le droit de les publier ?
Si, on peut continuer à les publier, car ces informations ont un intérêt supérieur. Il faut toutefois tenir compte de trois choses : les personnes concernées doivent au préalable en être informées, par exemple dans la déclaration de confidentialité de la société ou dans les conditions de participation à un événement. Deuxièmement il ne faut présenter que les informations absolument nécessaires. Par exemple seulement l’année de naissance, mais pas la date de naissance précise. Et certainement pas d’adresses ou d’adresses électroniques. Troisièmement, les sous-pages correspondantes sur le site Internet ou les documents PDF doivent être mis au statu « no-index », afin que les machines de recherche ne puissent pas trouver ces contenus.
L’envoi de newsletters est un autre sujet. De quoi doit tenir compte la société ?
Ici aussi la règle suivante s’applique : il faut conclure un contrat avec le fournisseur du logiciel de la newsletter pour garantir le respect des normes de protection des données. Cela vaut d’ailleurs pour tous les fournisseurs externes – par exemple aussi pour aussi pour les fournisseurs de Cloud comme Dropbox, Sharepoint ou GoogleDrive. En outre, chaque destinataire de la newsletter doit avoir la possibilité de se désabonner à tout moment. Le moyen le plus simple de le faire est d'insérer un lien correspondant à la fin de chaque newsletter.
Est-ce qu’une société a le droit de transmettre les données des membres aux sponsors de la société ?
Non, en aucun cas. Ici aussi il faudrait au préalable demander une autorisation écrite aux membres pour pouvoir transmettre leurs données à un sponsor précis dans un but prédéfini.
Les photos et les vidées sont également un sujet important. De quoi doit tenir compte la société, si elle prend des photos et des vidéos lors d’un événement de société et veut par la suite les utiliser dans un but associatif ?
Le principe suivant s’applique : toutes les personnes doivent savoir au préalable que des photos et des vidéos seront prises lors de la manifestation et quel usage en sera fait. Et elles doivent avoir la possibilité de ne pas être photographiées ou filmées. En pratique cela signifie que l'on intègre par exemple dans les conditions de participation un paragraphe qui stipule que des photos et des vidéos des participants seront prises, puis enregistrées et utilisées à des fins de communication autour de l'événement. Dans l’idéal on indique aussi où seront publiées les images et un endroit où l'on peut trouver des informations supplémentaires ou indiquer que l'on ne souhaite pas apparaître sur les images. Le public de l’événement peut par exemple en être informé à l’entrée et un secteur peut être installé dans la salle pour les personnes qui ne souhaitent pas être filmées ou photographiées.
Le principe suivant s’applique : toutes les personnes doivent savoir au préalable que des photos et des vidéos seront prises lors de la manifestation et quel usage en sera fait.
Qui est responsable du respect de ces directives ?
La société ou l’organisateur est responsable. La personne qui filme ou photographie est uniquement un exécutant et doit suivre les instructions du client.
À quoi faut-il faire attention lorsqu'on utilise des images et des vidéos sur les médias sociaux ?
Le plus simple est d’utiliser uniquement des images et des vidéos prises lors d’un événement où les directives décrites ci-dessus ont été respectées. Ainsi on se met à l’abri. Sinon il est préférable de demander aux personnes présentes sur les photos, si elles peuvent être utilisées. Attention : ce n'est pas parce qu'une image a déjà été publiée ailleurs sur Internet qu'on a le droit de l'utiliser aussi.
Que faire si un compte de société est piraté ?
Il convient de faire appel le plus rapidement possible à un expert en informatique pour évaluer l'ampleur du problème et déterminer quelles données sont concernées et, en particulier, si des données personnelles de membres en font partie. i c'est le cas, il faut souvent informer l'autorité de protection des données et, le cas échéant, les membres concernés. Quand une obligation d’informer existe, il faut le faire aussi rapidement que possible. En tant que société il vaut donc la peine de se préparer à ce scénario.
La loi sur la protection des données octroie à chaque membre de la société le droit de demander des renseignements sur les données personnelles enregistrées. Que doit faire la société, si une telle demande est faite ?
La société doit pouvoir dire dans les 30 jours où et quelles données de cette personne sont enregistrées et à quels tiers elles ont été transmises. Il est toutefois très important que la société identifie de manière adéquate la personne qui a fait la demande avant de fournir les informations - par exemple au moyen d'une copie de son passeport.
Pour en savoir plus
