La révLPD ne modifie pas les principes de base de la protection des données en Suisse. Le traitement de données reste admis dans l’économie privée. Contrairement au règlement général sur la protection des données (RGPD) de l’Union Européenne, une justification n’est toujours nécessaire que dans certaines situations.
La révLPD entraîne néanmoins quelques modifications de taille pour les entreprises: d’une part, le devoir d’informer les personnes dont les données sont utilisées a été renforcé et d’autre part, de nouvelles obligations de gouvernance et de documentation ont été introduites.
Se préparer à temps
Les services industriels qui ont déjà adapté leur traitement de données au RGPD seront aussi majoritairement conformes à la révLPD. Pour les autres, la révision entraîne une nécessité d’agir sur plusieurs points. Dans le cadre des efforts d’innovation de Swisspower, douze services industriels se sont donc regroupés pour former la coopération LPD. Avec un cabinet d’avocat·e·s spécialisé, Swisspower a élaboré des bases permettant de montrer aux services industriels les implications de la révLPD qui les concernent. Ils peuvent ainsi se préparer à temps et de manière ciblée.
Outre des considérations générales concernant la protection des données et le maniement de données personnelles, la situation a été analysée plus spécifiquement pour les marchés de l’électricité et du gaz. Les douze services industriels participant à la coopération ont tout d’abord reçu une documentation écrite. Swisspower a ensuite procédé à des auditions afin de traiter leurs questions spécifiques.
La coopération est maintenue
En mars, la plupart des services industriels participant ont décidé de maintenir et de poursuivre la coopération. Il s’agira de traiter de manière approfondie de points importants relatifs au marché de l’électricité et du gaz – par exemple la séparation («unbundling») au niveau des informations et le traitement de données recueillies au moyen de systèmes intelligents.
Réponse à 5 questions fréquentes concernant la révLPD
La LPD s’applique-t-elle aux services industriels?
Cela dépend du canton. Avec l’approvisionnement de base en électricité et en télécommunications, les services industriels accomplissent des missions publiques de la Confédération. La LPD s’applique à ces activités pour autant que le droit cantonal ne désigne pas les services industriels comme des organismes soumis à la législation cantonale en matière de protection des données. Pour l’approvisionnement en eau, tâche cantonale, c’est la législation cantonale en matière de protection des données qui s’applique. Cela vaut également pour l’approvisionnement en gaz s’il relève d’une tâche communale ou cantonale. La LPD s’applique aux prestations du marché de la libre concurrence – sauf disposition contraire de la législation cantonale.
Quelles modifications entraîne la révLPD pour les collaborateurs·rices des services industriels?
Le devoir de confidentialité professionnelle est fortement renforcé. La protection s’étend désormais à toutes les données personnelles que les collaborateurs·rices sont amené·e·s à utiliser dans l’exercice de leur profession et qui leur ont été confiées par les client·e·s. Si les collaborateurs·rices transmettent de telles informations confidentielles sans le consentement des personnes concernées, ils·elles encourent des sanctions.
Un service industriel doit-il divulguer qu’il achète des fichiers d’adresses à des fins de marketing?
Oui, il doit informer les client·e·s dans sa déclaration de politique de confidentialité qu’il acquiert des données auprès de sociétés de marketing. Il peut par exemple publier sa politique de confidentialité sur son site web.
La révLPD autorise-t-elle les services industriels à conserver les données personnelles de client·e·s qui déménagent – par exemple des dates de naissance?
Si les services industriels souhaitent rester en contact avec ces client·e·s un certain temps à des fins de marketing et ont raisonnablement encore besoin de certaines données, ils peuvent continuer à les utiliser jusqu’à ce que les personnes concernées s’y opposent.
Que signifie le principe du «privacy by default» de la révLPD?
Ce principe stipule qu’un système doit être paramétré de manière standard au niveau le plus élevé possible de protection des données. Les utilisateurs·rices peuvent ensuite décider d’assouplir ou non leurs paramètres de confidentialité. Le principe ne s’applique donc que là où existent des paramétrages de confidentialité, p.ex. les sites web et les applications.