Le 1er septembre 2023, la nouvelle loi sur la protection des données (LPD) est entré en vigueur, ce qui entraînera les changements importants suivants pour les entreprises et autres organisations de droit privé (y compris les associations):
1. Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
2. Les données génétiques et biométriques (art. 5 lit. c LPD) entrent dans la définition des données sensibles.
3. Les principes de "Privacy by Design" et de "Privacy by Default" (art. 7 LPD) sont introduits. Comme son noml’indique, le principe de "Privacy by Design" (protection des données dès la conception) implique, pour les développeurs,d’intégrer la protection et le respect de la vie privé des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de "Privacy by Default" (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-diresans aucune intervention des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leurutilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger lesdonnées et à respecter la vie privée des utilisateurs. POLARIS est configuré de manière à pouvoir respecter ces principes.
4. Des analyses d’impacts (art. 22 LPD) doivent être effectuées par le responsable du traitement, c'est- à-dire la personne qui, seule ou avec d'autres, décide des finalités et des moyens d'un traitement de données, dans la mesure où, par exemple, desdonnées personnelles sont traitées lors de l'utilisation de nouveaux processus ou de nouvelles technologies et où il existe un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Du point de vue des clubs, il n'est pas nécessaire d'agir dans ce domaine.
5. Le devoir d’informer est étendu (art. 19 LPD): lors de chaque collecte de données personnelles - et non plus seulement de données dites sensibles - la personne concernée doit être informée au préalable. Au Rotary, les nouveaux membres sont informés de manière appropriée sur l'enregistrement de leurs données personnelles dans POLARIS, en particulier à travers ladéclaration de protection des données accessible sur rotary.ch ou à travers le site Internet du club.
6. La tenue d’un registre des activités de traitement devient obligatoire (art. 12 LPD) : L'ordonnance d’application prévoittoutefois une exception pour les entreprises et autres organisations de droit privé qui emploient moins de 250 personnes etdont le traitement des données n'entraîne qu'un faible risque d'atteinte à la personnalité des personnes concernées. Enconséquence, les Rotary Clubs CH/FL n'ont en général pas l'obligation d'établir un tel registre.
7. Une annonce rapide est requise (art. 24 LPD) en cas de violation de la sécurité des données entraînant un risque élevépour la personnalité ou les droits fondamentaux de la personne concernée. Elle doit être adressée au Préposé fédéral à laprotection des données et à la transparence (PFPDT). Pour les clubs individuels, il est recommandé, en cas de violationprésumée ou effective de la sécurité des données ("data leak"), que le CICO prenne immédiatement contact avec le DICO, quicoordonnera alors les autres mesures (y compris celle d'une annonce au PFPDT (le PFPDT a mis en ligne une plateforme d'annonce correspondante) avec l'équipe POLARIS.
8. La notion de profilage (art. 5 let. f LPD) ; le traitement automatisé de données à caractère personnel) a été introduit dans la loi. Un tel traitement automatisé des données n'a pas lieu dans le cadre de POLARIS.
9. Les dispositions pénales ont été renforcées (art. 60 et suivants LPD) : en particulier, la violation du devoir d'information ou de diligence (p. ex. en relation avec la communication de données personnelles à l'étranger, le recours à des sous-traitants ou les questions de sécurité des données) peut entraîner une amende pouvant aller jusqu'à CHF 250'000 (la violationdes principes de protection des données n'est en revanche pas punissable). C'est la personne physique qui a commis laviolation qui est punie.
Pour le reste, les principes de protection des données ont été repris tels quels et la LPD ne prévoit que des adaptations mineuresconcernant les thèmes de la communication de données à l'étranger, de l'implication de sous-traitants et des droits des personnes concernées. Contrairement au RGPD de l'UE, la LPD ne prévoit pas la fonction de délégué à la protection des données (DPO).
Que signifie la nouvelle LPD en particulier pour l'utilisation des données des membres sur POLARIS ? Comme indiqué dans la déclaration de protection des données (https://polaris.rotary.ch/de/privacy-policy), chaque district/club Rotary est responsable dutraitement des données personnelles dans le cadre de sa propre zone d'accès à POLARIS et détermine quelles données personnelles sont collectées.
Lors du développement de POLARIS, le VRM a pris des mesures techniques (p. ex. limitation de l'accès, sauvegarde des données, etc.) et organisationnelles (p. ex. instructions aux administrateurs, accords de confidentialité, monitoring, etc.) appropriées afin de garantir la sécurité des données collectées et traitées et de les protéger contre tout accès non autorisé, abus, perte, falsification ou destruction. L'accès aux données n'est autorisé qu'aux personnes (par ex. CICO/DICO) qui en ont besoin pour l'accomplissement de leurs tâches.
Si vous avez des questions concernant la protection des données, nous vous prions de transmettre votre demande au service central suivant: dataprotection@rotary.ch
Télécharger cette lettre au format PDF
