Retour

Digital

Nouvelle loi sur la protection des données pour la Suisse: le secteur du bâtiment et de l’immobilier est mis au défi!

Simon Caspar 01.09.2021

La Suisse se dote d’une nouvelle Loi sur la protection des données (nLPD). Le Parlement a validé la version entièrement révisée en septembre 2020, permettant ainsi la révocation de la loi encore en vigueur datant de 1992. L’évolution rapide de la société et des technologies a rendu cette étape nécessaire. Ainsi, la Suisse suit la démarche de l’Union européenne et de son Règlement général sur la protection des données (RGPD). La loi, qui entrera bientôt en vigueur, place le secteur du bâtiment et de l’immobilier devant des défis de taille tout en lui offrant des opportunités intéressantes.  

Les nouveautés de la nLPD ont une portée considérable. Toutes les entreprises sont concernées, quelles que soient leur taille et leur activité. En effet, toute entreprise possède une multitude de données sur ses clients, ses partenaires, ses fournisseurs et ses collaborateurs. Et cette somme de données ne cesse de croître, y compris dans le bâtiment et l’immobilier. Avec la numérisation galopante des constructions et la collecte croissante de données personnelles sur les propriétaires professionnels, les gestionnaires d’actifs ou les sociétés de gérance immobilière, la branche assume une lourde responsabilité en matière de protection de ces données. La nouvelle loi sur la protection des données s’aligne sur cette réalité: les sociétés de construction et immobilières ne doivent plus seulement assurer la sécurité de leurs données, mais aussi savoir dans le détail et pouvoir indiquer comment et quelles données sont recueillies ou traitées, et quels risques encourent les personnes concernées.

La protection des données, une thématique dans la gestion d’entreprise

La protection des données n’est donc plus une thématique qui occupe uniquement les juristes, mais fait partie intégrante de la gestion d’entreprise moderne. Dans les sociétés immobilières, les processus, flux de données et procédures doivent être consignés de manière transparente et compréhensible. La collaboration numérique d’aujourd’hui et de demain nécessite une gestion des données tous systèmes confondus. Considérons les nombreuses données sensibles qui circulent à l’achat ou à la vente de biens immobiliers. Ou tous les noms qui composent les listes des projets de construction en cours. La nouvelle loi sur la protection des données a précisément pour ambition centrale de protéger ces données à caractère personnel, car elles arborent le plus haut niveau de confidentialité et doivent être traitées en conséquence. 

Gouverner, c’est prévoir

C’est pourquoi les entreprises doivent se tenir prêtes à l’entrée en vigueur de la nouvelle loi. Il est nécessaire de recenser les données à caractère personnel et d’évaluer les risques associés pour déterminer les exigences de conformité. En analysant les lacunes, c’est-à-dire en comparant la situation réelle à la situation théorique, il est possible d’identifier les mesures qui s’imposent. Des exigences de conformité plus poussées s’appliquent p. ex. lorsque l’entreprise traite une grande quantité de données personnelles ou doit gérer des données particulièrement confidentielles. Le développement ou le recours à un savoir-faire en matière de protection des données sont alors essentiels. Qui plus est, il convient de mettre en place des processus internes conformes aux exigences de la nouvelle loi, sans sous-estimer les ressources matérielles et humaines et le temps nécessaires.

Des adaptations bien planifiées

pom+ Consulting vous propose son aide avec son approche globale essentiellement basée sur le business engineering. Nous analysons d’abord les flux de données, identifions et évaluons les lacunes existantes afin d’en déduire les mesures nécessaires. Ces mesures ne se limitent pas à des interventions techniques, elles relèvent aussi de la stratégie, des processus et de l’organisation.  Le résultat: des éclairages pragmatiques et concluants sous forme de feu tricolore, qui montre ce qui doit être fait, quand et comment, afin que vous puissiez vous conformer à la loi sur la protection des données. 

Reconnaître les opportunités

Bien comprendre tous les enjeux des nouveautés de la loi peut mobiliser des ressources considérables, à différents niveaux. Toutefois, il ne faut pas considérer la nLPD comme un risque, mais comme une opportunité. En effet, une réflexion sérieuse a un impact sur les flux de travail, les processus internes et externes ainsi que la culture d’entreprise dans son ensemble. Vues sous cet angle, les adaptations à opérer pour se conformer à la nLPD sont un investissement dans le futur. Les expériences vécues lors de processus de transformation similaires montrent qu’il existe un potentiel pour les activités vraiment importantes: moins de stockage et d’archivage, plus de contact avec les clients, plus de création de valeur. Et c’est ce à quoi nous aspirons tous!


Vue d’ensemble des principales nouveautés

Données à caractère personnel: désormais, seules les données des personnes physiques seront protégées, les personnes morales ne pourront plus invoquer la nLPD pour la protection de leurs données. 

Données personnelles sensibles: cette catégorie englobe désormais également les données génétiques et biométriques (permettant une identification univoque) telles que les empreintes digitales et le scan rétinien.

Protection des données dès la conception et par défaut: dans la nLPD, l’obligation de diligence est plus strictement encadrée. D’une part, l’ensemble des prescriptions et principes doit être respecté, d’autre part, les données personnelles ne peuvent être traitées qu’à des fins spécifiques. 

Obligation d’informer: il convient d’informer les personnes concernées en cas de collecte de données, y compris automatisée. D’autre part, l’État de destination doit être désigné en cas de transfert de données à l’étranger.

Obligation de déclarer: toute violation de données susceptible d’engendrer un risque accru pour les droits individuels des personnes concernées doit être signalée au préposé fédéral à la protection des données et à la transparence (PFPDT). 

Analyse de l’impact de la protection des données: le traitement des données peut représenter un risque important pour les droits individuels et fondamentaux des personnes concernées. Dans ce cas, une analyse de l’impact est obligatoire. Celle-ci doit exposer les tâches prévues, les éventuels risques et les mesures pour y remédier.

Sanctions: la nLPD prévoit essentiellement un durcissement des sanctions pénales: en cas de violation délibérée des droits d’information, de renseignement et de diligence, les personnes physiques encourent désormais une amende pouvant atteindre CHF 250 000. Les responsables tels que les CEO, CIO, etc. peuvent aussi être directement sanctionnés.