La nouvelle mouture de la loi fédérale sur la protection des données devrait entrer en vigueur en 2022. Les modifications apportées auront des répercussions sur le contenu et l’examen de la norme 19 de la Zewo. Les principales nouveautés, les éléments à intégrer par la Zewo dans la norme 19 afin de se conformer à la version révisée de la loi et les futures modalités d’examen ont été discutés le 8 novembre 2021 dans le cadre d’un groupe d’approfondissement.
Qu’est-ce qui va changer?
Devant une soixantaine de représentant·es d’OBNL certifiées, l’expert en protection des données Nicolas Mosimann, associé du cabinet d’avocats Kellerhals Carrard, a dressé les grandes lignes de cette révision de la loi. La nouvelle législation augmentera la transparence, renforcera les droits des particuliers et favorisera la prévention, la responsabilité des entités procédant au traitement de données et le contrôle. Les dispositions pénales en cas d’infraction seront également étoffées. Les OBNL seront donc soumises à des règles plus strictes concernant le traitement de données à caractère personnel. Dans ce contexte, il leur est conseillé de vérifier leur politique de protection des données et de l’ajuster, si nécessaire, avant l’entrée en vigueur de la loi révisée. Elles devront, par exemple, créer une politique de confidentialité et dresser la liste de leurs activités de traitement, adapter leurs processus de traitement des données, désigner une personne déléguée à la protection des données, conclure des contrats de sous-traitance pour le traitement des données, etc.
Inutile de repenser de fond en comble la norme 19
Dans le cadre du groupe d’approfondissement, les personnes participantes ont pu discuter des différents aspects de la nouvelle loi sur la protection des données et donner leur avis à la Zewo. Les débats ont notamment porté sur l’ampleur de l’examen par la Zewo, les délais de conservation, le profilage et la nécessité d’émettre des recommandations ou des directives plus poussées. Il en est ressorti que la norme Zewo sur la protection des données ne devait pas être plus stricte que la loi, mais pas plus souple qu’auparavant non plus. L’objectif de l’examen mené par la Zewo est que les OBNL s’emparent comme il se doit de la nouvelle législation sur la protection des données. En revanche, il ne faut pas s’attendre à ce que la Zewo réalise une évaluation juridique attestant que l’OBNL respecte la loi sur la protection des données. En outre, il serait bienvenu que la Zewo propose des exemples de politiques de confidentialité, des guides, des bonnes pratiques, etc. Il convient toutefois de garder à l’esprit qu’il n’existe pas de solution unique et universelle. Chaque organisation doit adapter ses règles internes de protection des données en fonction de sa situation.
Prochaines étapes
Une consultation écrite sera menée avant l’adaptation de la norme sur la protection des données. Différentes parties prenantes auront la possibilité de prendre position. Ce processus débutera dès que la version définitive de l’ordonnance relative à révision de la loi sur la protection des données aura été adoptée et que la loi sera entrée en vigueur. N’hésitez pas à nous contacter si vous avez déjà des suggestions concernant le remaniement de la norme 19 de la Zewo.