La nouvelle LPD : les points clés à considérer pour les CEO et responsables marketing

La « Loi sur la protection des données » (LPD) en Suisse est un cadre juridique important qui régit la manière dont les données personnelles doivent être traitées, de même que le règlement RGPD en Europe. Cette nouvelle loi est entrée en vigueur définitivement en septembre 2023.

Dans le secteur du marketing et en tant que professionnel, vous avez tout intérêt à vous assurer que le traitement des données personnelles respecte la vie privée des personnes avec qui vous êtes en contact.

Pour cela, il est important de connaître les bases de vos droits, de vos obligations et des mesures à prendre pour ne pas rencontrer d’éventuels problèmes. Nous vous proposons ici un état des lieux succinct, sans jargon.

LPD en suisse pour les professionnels du marketing

 

Qui est concerné par la LPD en Suisse ?

La Loi sur la protection des données (LPD) en Suisse concerne un large éventail d’entités et d’individus. Voici les principaux concernés :

Entreprises et organisations basées en Suisse

Toutes les entreprises et organisations situées en Suisse qui traitent des données personnelles sont soumises à la LPD. Cela inclut les entreprises de toutes tailles et de tous secteurs, des petites entreprises aux grandes multinationales.

Entreprises étrangères opérant en Suisse

Les entreprises qui ne sont pas basées en Suisse, mais qui traitent des données personnelles de personnes se trouvant en Suisse, sont également concernées par la LPD. Cela s’applique notamment aux entreprises qui offrent des biens ou des services aux personnes en Suisse ou qui surveillent leur comportement.

Administrations publiques et autorités

Les administrations publiques et les autorités suisses, à tous les niveaux (fédéral, cantonal, communal), doivent également se conformer à la LPD lorsqu’elles traitent des données personnelles.

Individus

Les particuliers agissant dans un cadre professionnel ou commercial, y compris les travailleurs indépendants et les freelances, sont concernés par la LPD lorsqu’ils traitent des données personnelles dans le cadre de leurs activités.

Associations et organisations à but non lucratif

Les associations, fondations et autres organisations à but non lucratif traitant des données personnelles doivent également respecter les dispositions de la LPD.

Il est important de noter que la LPD s’applique à la fois au traitement manuel et automatisé des données personnelles. De plus, avec l’évolution constante de la législation en matière de protection des données, il est crucial pour toutes les entités concernées de rester informées des dernières mises à jour et exigences légales pour assurer une conformité continue.

Les droits de la personne concernée : vos prospects et clients

✔ Le droit d’information

La personne concernée a le droit de savoir si et comment ses données seront traitées, dans quel but, si elles seront transmises ou pas à des tiers, comment ces tiers traiteront ces données.

✔ Le droit d’accès

La personne concernée a le droit de savoir si ses données sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès à ces données et de demander une copie de ces données.

✔ Le droit de rectification

La personne concernée a le droit de demander que ces données soient rectifiées/modifiées/complétées.

✔ Le droit à l’oubli ou le droit d’effacement

La personne concernée a le droit de demander que ses données à caractère personnel soient effacées. Retenons quand même que la demande d’effacement ne protège pas contre l’intérêt légitime de se rappeler qu’on a banni un utilisateur car il a eu un comportement inadapté, ni contre les obligations légales de conservation des données… Si ces données ont été transmises à d’autres entités (réseaux sociaux, par exemple), le responsable doit prendre toutes les mesures nécessaires pour demander à ces entités d’effacer les données de la personne concernée.

✔ Le droit à la limitation du traitement

La personne concernée a le droit, dans certains cas prévus par la loi, de demander au responsable du traitement la limitation de ses données, cas dans lequel le responsable n’aura que le droit de stocker ces données.

✔ L’obligation de notification du responsable

La personne concernée a l’obligation de notifier le responsable du traitement si elle souhaite la rectification, la limitation ou l’effacement de ses données à caractère personnel.

✔ Le droit à la portabilité des données

La personne concernée a le droit de demander au responsable du traitement de lui fournir « dans un format structuré, couramment utilisé et lisible par machine » l’ensemble de ses données à caractère personnel afin de pouvoir les transmettre à un autre responsable du traitement.

✔ Le droit d’opposition

La personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel.

✔ Le droit de ne pas être soumis à une décision individuelle automatisée

Les individus ont le droit de ne pas être soumis à une décision ayant des effets juridiques ou affectant significativement, basée uniquement sur un traitement automatisé de données, y compris le profilage.

Droit de retirer le consentement

Le responsable du traitement est obligé de notifier la personne concernée lorsqu’il constate une violation des données à caractère personnel la concernant.

Droit de déposer une plainte

Les personnes concernées ont le droit de déposer une plainte auprès de l’autorité de protection des données si elles estiment que le traitement de leurs données personnelles viole la LPD.

Vos obligations en tant que professionnel

Que vous soyez professionnel dans le domaine du marketing ou que vous soyez gérant de votre propre entreprise, vos obligations en matière de traitement des données sont les suivantes :

Politique de confidentialité

Mettre en place une politique de confidentialité claire et détaillée qui explique comment les données personnelles sont collectées, utilisées, stockées et protégées.

Consentement explicite

Obtenir le consentement explicite des individus avant de collecter, utiliser ou partager leurs données personnelles. Le consentement doit être libre, spécifique, éclairé et univoque.

Gestion des données

Assurer une gestion appropriée des données personnelles, y compris leur collecte, leur traitement, leur stockage et leur destruction. Il faut également s’assurer que les données sont exactes et à jour.

Sécurité des données

Mettre en œuvre des mesures de sécurité techniques et organisationnelles pour protéger les données personnelles contre les accès non autorisés, les pertes, les altérations ou les divulgations.

Formation et sensibilisation

Former et sensibiliser les employés aux principes de la protection des données et aux procédures à suivre pour garantir la conformité avec la LPD.

Droits des personnes concernées

Mettre en place des procédures pour répondre aux demandes des individus concernant l’accès, la rectification, la suppression ou la portabilité de leurs données personnelles.

Notification de violation de données

Établir un plan d’action en cas de violation de données personnelles, incluant la notification aux autorités de contrôle et aux personnes concernées dans les délais prescrits.

Évaluation d’impact sur la protection des données (EIPD)

Réaliser une EIPD pour les traitements susceptibles de présenter des risques élevés pour les droits et libertés des personnes.

Registre des activités de traitement

Tenir un registre détaillé des activités de traitement des données, y compris la nature des données, les finalités du traitement, les catégories de destinataires, etc.

Contrats avec les sous-traitants

S’assurer que les sous-traitants (comme les fournisseurs de services Cloud) respectent également la LPD et inclure des clauses de protection des données dans les contrats.

En respectant ces obligations, les professionnels du marketing en Suisse peuvent non seulement se conformer à la législation, mais aussi renforcer la confiance de leurs clients et partenaires en matière de gestion des données personnelles.

Les mesures à prendre

Pour être en adéquation avec la Loi sur la protection des données (LPD) en Suisse, vous devez prendre plusieurs mesures importantes. Voici les principales à considérer :

Évaluation de la conformité

Effectuer une évaluation initiale pour déterminer comment les données personnelles sont traitées et si ces processus sont conformes à la LPD.

Politique de confidentialité

Mettre en place ou mettre à jour une politique de confidentialité claire, détaillant comment les données personnelles sont collectées, utilisées, stockées et protégées.

Consentement

S’assurer que le consentement pour la collecte et le traitement des données personnelles est obtenu de manière conforme, c’est-à-dire qu’il est libre, éclairé, spécifique et univoque. Vous pouvez envoyer des emails pour faire valider le consentement à vos contacts.

Minimisation des données

Collecter uniquement les données strictement nécessaires à l’objectif poursuivi et ne pas conserver les données plus longtemps que nécessaire.

Sécurité des données

Mettre en place des mesures de sécurité adéquates pour protéger les données personnelles contre les accès non autorisés, les pertes ou les destructions.

Formation du personnel

Former les employés sur les principes de la protection des données et les sensibiliser aux procédures à suivre pour garantir la conformité.

Gestion des droits des personnes concernées

Mettre en place des procédures pour répondre efficacement aux demandes des personnes concernées (accès, rectification, suppression, etc.).

Notification de violation de données

Établir un plan pour répondre aux violations de données, y compris la notification aux autorités et aux personnes concernées, le cas échéant.

Évaluation d’impact sur la protection des données (EIPD)

Réaliser des EIPD pour les traitements susceptibles de présenter des risques élevés pour les droits et libertés des personnes.

Registre des activités de traitement

Tenir un registre des activités de traitement des données, documentant la nature des données, les finalités du traitement, les catégories de destinataires, etc.

Vérification des sous-traitants

S’assurer que les sous-traitants (comme les fournisseurs de services cloud) respectent également la LPD et inclure des clauses de protection des données dans les contrats.

Révision périodique

Effectuer des audits et des révisions périodiques pour s’assurer que les pratiques de traitement des données restent conformes à la LPD et aux évolutions législatives.

Ce que vous devez retenir de la LPD pour votre activité en Suisse

En mettant en œuvre ces mesures, vous êtes en mesure de non seulement se conformer à la législation suisse en matière de protection des données, mais aussi renforcer la confiance de vos prospects, clients et partenaires en démontrant leur engagement envers la protection de la vie privée.

Si vous souhaité être accompagné ou formé le sujet de la LPD en Suisse, nous vous invitions à vous tourner vers notre partenaire IT Infologo. Il propose des formations LPD pour les entreprises.

Sinon, découvrez les basiques de LPD en 1 minute 30.

Si ce contenu vous a plu, abonnez-vous à notre newsletter !

Recevez chaque trimestre nos meilleures astuces et une sélection de
nouveautés digitales en avant-première, directement dans votre boite mail

A découvrir sur notre blog

Voir tous les posts