Révision totale de la Loi sur la protection des données
La nouvelle Loi fédérale sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023. Les établissements financiers sont concernés par les changements introduits par cette révision totale de la loi. Grâce à notre expertise combinée du droit bancaire et du droit européen de la protection des données (RGPD), nous accompagnons les entreprises et les établissements financiers en particulier dans la mise en œuvre des nouvelles exigences instaurées par la LPD. Nous sommes ainsi en mesure de proposer une mise en conformité et un suivi spécifiquement adaptés au secteur de la finance, compte tenu de ses besoins et de ses contraintes. Notre partenariat avec Me Aurore Chasseloup Léauté, cofondatrice du cabinet EMROADS à Paris et spécialiste du droit européen de la protection des données (RGPD), nous permet d’appréhender de manière efficiente la protection des données dans une perspective internationale.
Impacts de la nouvelle LPD pour les établissements financiers
La nouvelle LPD prévoit l’obligation d’établir et de tenir un inventaire des activités de traitement. Les PME, ayant moins de 250 employés, sont au bénéfice d’une exception, à moins qu’elles ne traitent des données sensibles à grande échelle ou qu’elles n’effectuent des profilages à risque élevé.
Lorsqu’un cas de violation de la sécurité des données est vraisemblablement de nature à entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement doit annoncer ce cas sans délai au Préposé fédéral à la protection des données et à la transparence (PFPDT). Un devoir spécifique d’annonce à la personne concernée est prévu dans certains cas. Ces obligations d’annonce s’ajoutent à l’obligation des établissements financiers d’annoncer les cyberattaques à la FINMA.
Le responsable de traitement est tenu de fournir des informations aux clients concernant les destinataires des données sous-traitées. En cas de sous-traitance ultérieure à un tiers, l’autorisation préalable du responsable de traitement est requise.
La loi introduit un nouveau devoir d’information en cas d’exportation de données à l’étranger, portant sur (i) le nom de l’Etat ou de l’organisme international auquel elles sont communiquées, ainsi que, le cas échéant, (ii) les garanties applicables ou (iii) l’application d’une des exceptions prévues par la loi. De plus, une liste des pays offrant un niveau de protection adéquat se trouve désormais en annexe de l’Ordonnance d’application à la LPD (« OPDo »).
La nouvelle LPD élargit considérablement le devoir d’information du responsable du traitement à l’égard des personnes dont les données sont collectées. Par conséquent, ces personnes sont mises au bénéfice d’un droit d’accès élargi à leurs données, sous réserve de nouvelles exceptions que les entreprises peuvent invoquer, notamment pour éviter les abus.
Un devoir d’information spécifique accru est en outre prévu pour les décisions automatisées, lorsque celles-ci produisent des effets juridiques ou affectent le client de manière significative.
La loi instaure par ailleurs un nouveau droit à la portabilité des données, permettant à la personne concernée de se voir remettre ses données personnelles ou de les faire transmettre à un autre responsable du traitement.
Lorsque le traitement de données présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, une analyse d’impact doit obligatoirement être conduite, à moins que le traitement ne soit exigé en vertu d’une obligation légale, à l’instar de celles découlant de la législation anti-blanchiment. Cette analyse d’impact doit notamment contenir une description du traitement envisagé, une évaluation des risques engendrés, ainsi que les mesures prises afin de réduire ces risques.
Les établissements financiers sont soumis à une obligation de documenter leur processus de traitement de données. Ils doivent établir une politique de protection des données (« Privacy Policy »), et mettre en place des directives internes relatives à la confidentialité et la sécurité des données, ainsi qu’au traitement des données par les employés (e-mails, etc.). En outre, un Règlement de traitement doit être mis en place, en cas de traitement de données sensibles à grande échelle ou de profilage à risque élevé.
Pierre-Olivier Etique
Pierre-Olivier Etique conseille des établissements bancaires et financiers depuis plus de 15 ans. Il a en particulier mis en œuvre au sein de banques plusieurs projets réglementaires d’envergure. Pierre-Olivier traite régulièrement de problématiques relevant de la protection des données, que ce soit sous un angle réglementaire ou contractuel (par exemple : mise en place de projets d’outsourcing, revue de contrats en cas de transfert de données à l’étranger, analyse de problématiques de transfert de données au sein de groupes financiers, revue de Conditions générales sous l’angle du secret bancaire et de la protection des données, Cloud Banking).
Aurore Chasseloup Léauté
Aurore est avocate depuis plus de 15 ans et accompagne des entreprises, tout secteur confondu, dans la mise en place de leur traitement de données à caractère personnel au regard des obligations imposées par le RGPD : intégration des clauses contractuelles relatives au traitement de données personnelles, cartographie des flux de données, établissement de registre de traitements, charte de protection des données, charte informatique, registre des failles de sécurité, accompagnement à la réalisation d’analyse d’impact, sensibilisation et formation du personnel sur le traitement des données personnelles.