La nouvelle loi suisse sur la protection des données, ou nLPD, est entrée en vigueur le 1^er septembre 2023. Depuis lors, les entreprises suisses et les sociétés opérant en Suisse doivent se conformer à des changements importants.

Cette loi s’aligne sur les directives du RGPD et s’inspire de la version modernisée de la Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel du Conseil de l’Europe (Convention 108+), bien qu’indépendante de l’un comme de l’autre.

Les PME financières, gestionnaires de fortune ou family offices, traitent régulièrement les données personnelles courantes de leurs clients, prestataires de services et employés. Cela peut inclure, mais sans s’y limiter, leurs noms, adresses postales et adresses e-mail. Voici désormais les règles concernant leur stockage et leur utilisation.

Afin d’éclaircir et d’attirer l’attention sur ces changements clés, le fournisseur de services informatiques Penta a élaboré la liste de contrôle de conformité suivante.

• Stockez uniquement les données dont vous avez réellement besoin pour votre activité commerciale. Il faut éviter de collecter des données «sensibles» (telles que l’orientation sexuelle ou la religion), à moins que cela ne soit absolument nécessaire ou exigé par la loi.
• Informez les personnes concernées des raisons pour lesquelles leurs données sont collectées, utilisées et stockées. Cela implique de savoir exactement quelles données vous avez en votre possession et pourquoi.
• Si vous détenez les données d’une personne et qu’elle demande à les consulter, vous êtes tenu de répondre dans les 30 jours et de lui transmettre une copie des documents qui contiennent ces données. Si le nom d’une autre personne apparaît dans ces documents, en dehors de celui de la personne concernée, vous devez le supprimer.  
• Dès que les données à caractère personnel ne sont plus nécessaires, il faut les supprimer. Il existe une exception à cette règle dans le cas où la loi impose une période de conservation spécifique (par exemple, 10 ans pour les contrats ou 10 ans pour la comptabilité).
• Les données à caractère personnel ne doivent être transmises à aucun tiers, sauf si cela est nécessaire pour la prestation des services.
• Il est de votre responsabilité de conserver les données de manière sécurisée, afin qu’aucune tierce partie ne puisse y accéder. Cela peut impliquer, par exemple, l’utilisation de mots de passe, de méthodes d’authentification, de logiciels antivirus et du chiffrement. Il est nécessaire d’évaluer tous les risques en matière de sécurité des données, puis de les éliminer ou de les minimiser autant que possible.
• Toute personne impliquée dans la gestion de l’entreprise à quelque titre que ce soit (y compris les hébergeurs de systèmes informatiques dans le cloud) est soumise aux mêmes normes de protection des données que l’entreprise elle-même.
• Lorsqu’ils traitent des données «sensibles», les employés doivent être informés des lois et des implications liées à leur utilisation.
• En cas de transfert de données d’un pays vers un autre, toutes les parties doivent fournir un niveau adéquat de protection (par exemple, le RGPD dans l’UE).
• Indiquez une adresse afin que les personnes dont vous traitez les données puissent vous contacter.
• Assurez-vous que toutes les données à caractère personnel utilisées et stockées sont exactes.

Si certaines (ou l’ensemble) de ces mesures vous paraissent complexes ou déconcertantes, rassurez-vous: la grande majorité d’entre elles seront déjà en place et nécessiteront de simples ajustements, ou seront relativement faciles à mettre en œuvre.

Toutefois, si vous souhaitez obtenir plus d’informations ou si vous avez d’autres questions à ce sujet, n’hésitez pas à contacter Penta. Nous serons ravis de vous aider.