Dans son fasci­cule 10 de l’an­née 2020, la Revue de l’avo­cat a publié un article de Me Deborah Lechtman sur l’obli­ga­tion de « privacy by design » en Suisse et son implé­men­ta­tion dans les études d’avo­cats (Revue de l’avo­cat 2020, p. 403 ss).

Cette nouvelle obli­ga­tion, prévue à l’art. 7 al. 1 nLPD, impose aux respon­sables du trai­te­ment de mettre en place, dès la concep­tion du trai­te­ment, des mesures tech­niques et orga­ni­sa­tion­nelles afin que le trai­te­ment respecte les pres­crip­tions de protec­tion des données, en parti­cu­lier les prin­cipes fixés à l’art. 6 nLPD.

En pratique, Me Lechtman consi­dère notam­ment que l’avo­cat doit sensi­bi­li­ser son client à la sécu­rité des moyens de commu­ni­ca­tion. En parti­cu­lier, « corres­pondre avec un client qui utilise une messa­ge­rie de type « Gmail » (Google) n’est pas propre à assu­rer la sécu­rité des données » (p. 406). Elle souligne par ailleurs que les études d’avo­cats doivent mettre en place une direc­tive interne fixant la marche à suivre en cas de viola­tion de la sécu­rité des données (data breach).

Concernant les consé­quences en cas de viola­tion, l’au­teure souligne l’exis­tence d’amende pénale de CHF 250’000.- en cas d’in­frac­tions inten­tion­nelles, notam­ment si le respon­sable du trai­te­ment viole son obli­ga­tion d’in­for­mer la personne concer­née (art. 60 nLPD).

Elle en conclut que les études d’avo­cats doivent en parti­cu­lier revoir leurs proces­sus et orga­ni­sa­tions internes afin que des solu­tions tech­niques conformes au droit de la protec­tion des données soient adop­tées. Ainsi, le trai­te­ment de données pourra être licite du début à la fin du traitement.