Elisabeth Illiano-Demacon exerce sa fonction de déléguée à la protection des données pour des organisations publiques (en France) et privées (en Suisse). En vigueur dès 2022, quels changements la nouvelle Loi sur la Protection des Données (LPD) induira-t-elle pour les entreprises suisses ?

1. Protection des données personnelles:
quels changements
pour les entreprises en Suisse ?

2. Une économie numérique au risque de
l’insécurité et de la perte de confiance du
client/citoyen
Raison sécuritaire?
Trois milliards de photos de visages postées sur les
réseaux sociaux, sur des sites d'entreprises ou
d'universités ont été téléchargées par une start-up
américaine nommée ClearView, c’est sept fois et
demie plus de données que la base de
reconnaissance faciale du FBI qui est l’une des plus
fournies !
Raison sanitaire?
La société américaine Palantir a profité de la
pandémie pour offrir gratuitement ses outils
de gestion de santé aux États européens en
échange de pouvoir utiliser les données
personnelles des populations récoltées.
Cloud act (Clarifying Lawful Overseas Use of
data Act). Cette loi oblige désormais les
entreprises américaines à fournir leurs
données à l’administration américaine… y
compris en dehors du territoire américain.
Raison de sécurité publique?

3. En Suisse...
en 2019 : Meier Tobler SA 5 mio de perte et 2 mio de frais
en 2019 : Faillite de SwissWindows suite à cyberattaque
05/2020 : cyberattaque contre les supercalculateurs
EPFZ, EPFL, Université de Bâle,
Centre de calcul scientifique
08/2021 : Cliniques Pallas
encore : Huber+Suhner, Stadler Rail, Swatch Group…
Communes… structures publiques… entreprises privées

4. Merci COVID!
Une révolution numérique…
- Solutionnisme technologique?
- Place des droits fondamentaux et
libertés publiques?
- L’Homme au service du
numérique?
On devient la matière première utilisée pour prédire nos
comportements, anticiper ce que l'on va faire, modeler
nos désirs et nous faire répondre à une série d'attendus
sociaux.
‘Plaidoyer pour une révolution humaniste’ par Alexis
Roussel & Grégoire Barbey – Éditions Slatkine

5. Personnes
physiques
 DCP
 Données sensibles
 Biométrique et
génétique
 QR code

6. PROTECTION DE LA
PERSONNE… ET DE
SES DONNEES
 Constitution
 Convention 108
 RGPD (adéquation)
 Nouvelle LPD

7. DE NOUVELLES
OBLIGATIONS
POUR LES
ENTREPRISES
 Respect du privacy by
design/default
 Registre des traitements de
données personnelles
 Analyse d’impact-Etude d’Impact
sur la Vie Privée
 Justifier le traitement
 Respecter les exigences
minimales en matière de sécurité
des données

8. Documenter sa conformité
 Mise à jour des contrats de sous-traitance
 Contrôle/audit des sous-traitants
 Mise à jour ou élaboration de politiques,
chartes de protection des
données/confidentialité/informatiques
 Certifications et codes de conduite
Désigner un data protection officer
/conseiller indépendant à la
protection des données
 chargé de mettre en œuvre la conformité
d’une entreprise ou administration à la
législation sur la protection des données
 … mutualisation
ACTIONS DE CONFORMITE LPD

9. Relations avec le
préposé à la
protection des
données et à la
transparence
 Annoncer les violations de DCP
 Communiquer les garanties de
protection des données
préalablement à un transfert de
données à l’étranger

10. Relations avec les
personnes
concernées
 Devoir d’information renforcé
 Procédure « droit d'accès » et exercice
des droits
 Communiquer la violation de DCP à la
personne concernée lorsque :
 cela est nécessaire à sa protection
 le PFPDT l’exige

11. Merci de votre attention!
Elisabeth.Illiano@calyps.ch