Depuis septembre 2023, la nouvelle loi suisse sur la protection des donnees (nLPD) est en vigueur. De nombreuses PME sont dans l’incertitude : que devons-nous mettre en oeuvre techniquement ? Une declaration de confidentialite suffit-elle ? Avons-nous besoin d’un conseiller en protection des donnees ?
Cet article explique les exigences techniques de la nLPD — sans jargon juridique, avec des mesures concretes.
Ce que la nLPD exige sur le plan technique
L’article 8 de la nLPD parle de « mesures techniques et organisationnelles appropriees » pour proteger les donnees personnelles. Le Conseil federal les a precisees dans l’Ordonnance sur la protection des donnees (OPDo) :
- Controle d’acces : Qui a acces a quelles donnees ?
- Chiffrement : Les donnees sont-elles protegees lors de la transmission et du stockage ?
- Journalisation : Les acces et modifications sont-ils consignes de maniere tracable ?
- Disponibilite : Existe-t-il des sauvegardes et des plans de restauration ?
- Verification reguliere : Les mesures sont-elles controlees periodiquement ?
Le dernier point est decisif — et le plus souvent neglige.
« Appropriees » — qu’est-ce que cela signifie concretement ?
La loi n’exige pas de produits ou de certifications specifiques. « Appropriees » signifie : proportionnees au risque et a la taille de l’entreprise.
Une PME de 20 collaborateurs n’est pas tenue aux memes exigences qu’une banque. Mais : « nous sommes trop petits, cela ne nous concerne pas » ne tient pas. La nLPD s’applique a toute entreprise qui traite des donnees personnelles — et c’est le cas de pratiquement toute PME (donnees clients, donnees des collaborateurs, adresses e-mail).
7 mesures concretes que chaque PME devrait mettre en oeuvre
1. Imposer le chiffrement
Tous les services accessibles de l’exterieur doivent utiliser TLS 1.2 ou superieur. TLS 1.0 et 1.1 sont depasses et consideres comme non securises.
2. Verifier les droits d’acces
Qui dispose d’un acces administrateur ? Qui peut acceder aux donnees personnelles ? Appliquer le principe du moindre privilege.
3. Maintenir les logiciels a jour
Des logiciels obsoletes avec des vulnerabilites connues representent un risque difficile a justifier en cas d’incident.
4. Scans de vulnerabilites reguliers
L’OPDo exige une « verification reguliere » des mesures de protection. Un scan de vulnerabilites automatise est le moyen le plus efficace de satisfaire a cette exigence.
5. Documenter la strategie de sauvegarde
Sauvegardes regulieres avec restauration testee. Protection contre les ransomwares : au moins une sauvegarde hors ligne ou immuable.
6. Planifier la reaction aux incidents
La nLPD exige une notification au PFPDT dans les 72 heures en cas de violation de la protection des donnees. Un processus documente est obligatoire.
7. Mettre a jour la declaration de confidentialite
Obligation d’informer les personnes concernees. Doit etre accessible sur le site web et lors de la collecte de donnees.
Que se passe-t-il en cas d’infraction ?
La nLPD prevoit des amendes pouvant atteindre CHF 250’000 — et celles-ci visent la personne physique responsable, pas l’entreprise. Cela signifie : les directeurs et les responsables informatiques sont personnellement responsables.
En pratique, le PFPDT (Prepose federal a la protection des donnees et a la transparence) misera probablement d’abord sur la cooperation et l’amelioration. Mais : en cas d’incident, il sera verifie si des mesures de protection appropriees etaient en place. Ceux qui ne peuvent rien demontrer auront un probleme.
La documentation est la cle
La nLPD n’exige pas de certification. Mais elle exige que vous puissiez demontrer que vous avez pris des mesures appropriees.
Concretement, cela signifie :
- Mesures de securite informatique documentees
- Rapports de verification reguliers (p. ex. rapports de scan de vulnerabilites)
- Ameliorations documentees
- Droits d’acces tracables
Un rapport de scan professionnel dans votre langue est exactement le type de preuve qu’un auditeur ou le PFPDT souhaite voir.
Conclusion
La nLPD n’est pas une loi sur la securite informatique au sens strict. Mais elle exige des mesures techniques qui correspondent aux standards de securite informatique. Ceux qui verifient regulierement leurs systemes et documentent les resultats remplissent la majeure partie des exigences techniques.
ExposIQ genere automatiquement des rapports de verification conformes a la nLPD en allemand, francais, italien et anglais. Les rapports documentent les systemes verifies, les vulnerabilites identifiees et les mesures recommandees — exactement ce que les auditeurs et les regulateurs veulent voir.
