La protec­tion des données telle que nous la connais­sons aujourd’hui trouve son fonde­ment dans des textes juri­diques, en parti­cu­lier la Convention 108 du Conseil de l’Europe et bien­tôt la nouvelle loi fédé­rale sur la protec­tion des données dont l’entrée en vigueur se fera le 1^er septembre 2023.

Technologiquement neutre, adop­tant une approche fondée sur le risque, débor­dant de prin­cipes et d’abstraction, la nouvelle LPD n’est pas facile à appré­hen­der et encore moins à mettre en œuvre. Si la réponse à la ques­tion « que faire ? » est géné­ra­le­ment aisée à trou­ver, il n’en est pas de même lorsqu’on demande « comment faire ? », « à quel moment ? », « de quoi ai-je besoin ? ».

Ces ques­tions, les diri­geants d’entreprises, membres de direc­tion ou de conseil d’administration, conseillers à la protec­tion des données, chefs de projets, juristes et spécia­listes en sécu­rité notam­ment se les posent lorsqu’ils sont confron­tés à l’obligation de réali­ser une analyse de risques, une décla­ra­tion de protec­tion des données, un registre des trai­te­ments, ou de mettre en œuvre des mesures de sécu­rité « appropriées ».

La situa­tion géogra­phique et écono­mique de la Suisse impose souvent aux entre­prises de contrac­ter avec des socié­tés basées dans l’Union euro­péenne. Comment conci­lier alors les exigences du droit suisse avec celles issues du droit euro­péen que ces socié­tés veulent impo­ser aux entre­prises suisses ? Comment ces dernières doivent-elles gérer deux cadres juri­diques portant sur la même matière mais impo­sant parfois des obli­ga­tions diffé­rentes, ou simi­laire mais avec un niveau de contrôle ou de docu­men­ta­tion plus impor­tant du côté européen ?

Avec le renfor­ce­ment des règles de protec­tion des données en Suisse et dans le monde, le besoin s’est accru pour les entre­prises (mais pas que) de trou­ver des réponses aux ques­tions pratiques qu’elles se posent ou que leurs clients, parte­naires et four­nis­seurs leur adressent. Ne préten­dant pas à l’exhaustivité, l’ouvrage recensé cherche néan­moins à offrir un condensé acces­sible des droits suisse et européen.

Rappelant tout d’abord des concepts théo­riques néces­saires à une solide compré­hen­sion du sujet (défi­ni­tions, prin­cipes et bases juri­diques), l’ouvrage détaille ensuite les aspects pratiques de nombreux trai­te­ments de données person­nelles (profi­lage, services cloud, marke­ting numé­rique, cookies, effa­ce­ment des données, anony­mi­sa­tion, etc.). Il traite ensuite des diffé­rents outils et méca­nismes qui permettent à une entre­prise de gérer la protec­tion des données (programme, conseiller-ère à la protec­tion des données, aspects contrac­tuels, analyses de risques, etc.). Il termine enfin sur les aspects rela­tifs à la sécu­rité́, aux droits des personnes et aux mesures et sanc­tions des autorités.

Ce guide pratique doit ainsi permettre aux entre­prises de mieux appré­hen­der la matière pluri­dis­ci­pli­naire et complexe. Grâce à un langage clair et compré­hen­sible par tout un chacun, à des exemples, des tableaux, des sché­mas, des réfé­rences juri­diques ainsi qu’à des modèles de docu­ments dispo­nibles sur www​.protec​tion​des​don​nees​.guide, il sera d’une grande aide aux personnes voulant ou devant prendre des mesures pour respec­ter le droit de la protec­tion des données.