Rencontre entre CIO romands et avocats experts du Cloud Act et de la nouvelle LPD
Les avocats David Rosenthal et David Raedler ont donné une conférence exclusive aux responsables IT du Digital Circle. L’analyse des risques cloud et la nouvelle LPD ont désormais moins de secrets pour eux.
Le 19 octobre 2022, à l’occasion d’une conférence exclusive mise sur pied par ICTjournal, les CIO du Digital Circle ont assisté à deux présentations et pu poser des questions sur deux sujets légaux au cœur de l’actualité. Venu de Zurich, Me David Rosenthal (étude d’avocat Vischer) a détaillé les enjeux légaux d’une migration de données vers le cloud avant d’expliquer son approche basée sur les risques. Me David Raedler, avocat romand de l’étude HDC, s’est quant à lui plongé dans la nouvelle Loi suisse sur la protection des données (LPD), en vigueur dès septembre 2023.
David Rosenthal a fait remarquer que, dans un contexte légal devenu flou depuis l’invalidation du Privacy Shield, la menace du Cloud Act est souvent brandie sans toutefois que l’on ne s’intéresse plus en détail aux mécanismes de cette loi et de son application concrète par la justice américaine. Son approche de calcul du risque (qui repose sur un tableau Excel disponible publiquement), utilisée entre autres par l’Etat de Zurich et la Suva, a pour objectif d’évaluer le risque résiduel consécutif à la prise de différentes mesures prises par les entreprises pour se protéger contre l’accès à leurs données par les autorités US. L’avocat a appelé les organisations à se livrer à l’exercice de l’analyse et à ne pas négliger d’autres risques, comme d’éventuelles sanctions ou encore la dépendance au fournisseur cloud.
David Rosenthal a en outre souligné qu’il est crucial de ne pas se contenter de contrats cloud standards mais de négocier les conditions avec le fournisseur, notamment pour s’assurer que celui-ci fera son possible pour s’opposer à une demande des autorités US. D’autant plus que la loi américaine ne prévoit pas d’informer le client d’une procédure le concernant.
La nouvelle LPD décortiquée
Dans son exposé de la nouvelle LPD, David Raedler a commencé par préciser que les modalités cantonales de l’application de cette loi ne sont pas encore connues (les cantons étant assez dispersés dans leur avancée sur la question…). Par rapport à la LPD actuelle, la future loi reprend dans les grandes lignes les mêmes principes (dont la licéité, la proportionnalité, la transparence et la sécurité) et introduit de nouvelles obligations. A commencer par celle de devoir tenir un registre des activités de traitement (sauf exception, notamment pour les firmes de moins de 250 employés). Les entreprises seront en outre tenues d’annoncer les violations de sécurité et de se conformer au principe de privacy-by-design en mettant en place des mesures techniques et organisationnelles pour respecter la LPD.
David Raedler a aussi évoqué les nouveaux droits introduits avec la nouvelle LPD – portabilité par exemple – et la hausse des pénalités (jusqu’à 250’000 francs d’amende). L’avocat lausannois a aussi mentionné plusieurs différences notables par rapport au RGPD. Dont le fait que la loi suisse relève du droit pénal, contrairement à son pendant européen qui relève du droit administratif. Mais aussi le fait que selon la nouvelle LPD, il n’est pas systématiquement obligatoire d’informer d’un motif justifiant du traitement des données (typiquement concernant les cookies).
Comme de coutume lors des Digital Meet-up, la soirée s’est poursuivie par un repas dans une humeur détendue propice aux échanges entre les CIO du Digital Circle et les intervenants.