nLPD : Vos nouvelles obligations et responsabilités en tant que dirigeant de PME

La nouvelle Loi sur la Protection des Données (nLPD) est entrée en vigueur en septembre 2023. Elle ne concerne pas que les géants de la tech : chaque PME suisse doit adapter ses processus, sous peine d'amendes pénales ciblant directement les dirigeants.

Tu gères une petite structure et tu penses peut-être que la protection des données est une affaire de juristes ou de multinationales. Pourtant, si tu collectes des adresses clients, si tu as des employés ou si tu utilises un logiciel Cloud, tu es concerné. Le changement majeur de cette nouvelle loi, c'est la cible de la sanction. En cas de violation intentionnelle, ce n'est plus seulement l'entreprise qui risque une amende, mais toi, la personne physique (le dirigeant). Le montant peut atteindre 250'000 CHF. La négligence n'est plus une excuse, et dire "je ne savais pas" ne suffira pas à te protéger face à un juge.

La nLPD introduit un changement de culture basé sur la transparence. Voici les 3 points critiques que tu dois maîtriser pour ta PME :

1. Le Devoir d'Information étendu : Fini le temps où l'on informait seulement pour les données sensibles. Désormais, tu dois informer les personnes pour toute collecte de données personnelles. Cela se matérialise par une Déclaration de protection des données (Privacy Policy) qui doit être claire, accessible et à jour sur ton site internet. Elle doit dire qui collecte, pourquoi, et à qui les données sont transmises (y compris tes sous-traitants informatiques).

2. Privacy by Design & by Default :

   • By Design : Si tu crées un nouveau service ou une boutique en ligne, la protection des données doit être intégrée dès la conception du projet, pas ajoutée à la fin.

   • By Default : Les réglages de tes outils doivent être configurés par défaut au niveau de protection le plus élevé (ex: ne pas cocher la case "newsletter" par défaut). C'est à l'utilisateur de choisir de baisser sa garde, pas l'inverse.

3. La sécurité de tes sous-traitants : Tu es responsable des données que tu confies à d'autres. Si tu utilises une fiduciaire, un hébergeur web ou un CRM externe, tu dois t'assurer (par contrat) qu'ils respectent la nLPD. Si ton sous-traitant a une fuite et que tu n'as rien vérifié, ça peut retomber sur toi.

L'avis de Klear Conseils :

Ne cède pas à la panique, mais formalise tes processus. Notre méthode "pas à pas" :

1. L'Inventaire : Tu ne peux pas protéger ce que tu ignores. Liste tes logiciels (CRM, Salaires, Cloud) et tes fichiers Excel.

2. Le Site Web : Mets à jour ta déclaration de confidentialité. C'est la partie visible de l'iceberg et la première chose que n'importe qui peut vérifier. (Nous avons des modèles conformes).

3. Les Contrats : Vérifie que tes prestataires informatiques ont signé une clause de sécurité des données. Si ce n'est pas le cas, un avenant est nécessaire.

Ta déclaration de confidentialité date-t-elle d'avant 2023 ? Sais-tu comment réagir si un client exige l'effacement de ses données demain matin ("Droit à l'oubli") ? Ne prends pas le risque d'une amende personnelle. Contacte-nous pour un audit flash de ta conformité nLPD. Nous mettrons tes documents à jour.