Protection des données
Un an de loi sur la protection des données et ses conséquences dans la branche automobile suisse
9 août 2024 agvs-upsa.ch - La nouvelle loi sur la protection des données a été introduite il y a environ douze mois. Celle-ci était devenue nécessaire car la loi en vigueur jusqu'alors datait de 1992 et ne pouvait plus suivre les changements actuels. Les nouveaux paragraphes ont toutefois entraîné des changements de grande ampleur, y compris pour les membres de l'UPSA. Mirco Baumann
Photo : iStock
Depuis l'introduction de la nouvelle loi sur la protection des données (LPD) en septembre 2023, beaucoup de choses ont changé dans la branche automobile suisse. La protection des données personnelles a gagné en importance et tant les importateurs, les garagistes que les fournisseurs doivent s'adapter aux nouvelles réglementations. L'amende désormais beaucoup plus élevée, pouvant aller jusqu'à 250 000 CHF, a eu un impact - la loi sur la protection des données, qui existe depuis des décennies, est désormais prise au sérieux. Cet article jette un coup d'œil sur les principaux développements et changements de la première année de la LPD.
Les clients critiques veulent des informations et exigent la suppression des données
L'un des changements les plus remarquables depuis l'introduction de la LPD est l'augmentation des demandes de clients auprès des garagistes concernant leurs droits à la protection des données. De nombreux clients demandent des informations sur les données enregistrées ou demandent la suppression de leurs données. Cette évolution montre que les clients sont de plus en plus conscients de la protection des données et qu'ils font de plus en plus valoir leurs droits. Par rapport à la période antérieure à septembre 2023, ces demandes sont devenues nettement plus fréquentes. Mais dans la plupart des cas, les clients n'ont toujours pas le droit de demander l'effacement, comme le montre l'exemple ci-dessous.
Les clients peuvent demander la suppression des données qui les concernent. En tant que garagiste, vous n'êtes toutefois tenu d'accéder à la demande du client que si aucun délai de conservation légal n'interdit l'effacement, s'il n'existe pas d'intérêts prépondérants ou si la demande d'effacement est manifestement infondée.
Mise en œuvre de la LPD et sécurité des données
La mise en œuvre de la LPD s'accompagne également d'une obligation de renforcer la sécurité des données. Depuis l'introduction de la nouvelle LPD, la violation ou l'omission intentionnelle de mesures de sécurité des données appropriées est également punissable. Outre la protection des données, une sécurité des données appropriée sert en particulier aussi l'entreprise, dans la mesure où les données des clients sont protégées contre les cyberattaques en tant que secret commercial. En outre, il est très important pour les PME de veiller à ce que les sauvegardes fonctionnent et de les vérifier régulièrement par des tests de restauration.
Début juillet 2024 a eu lieu le webinaire Impunix Live sur le thème "Sécurité de l'information - 10 mesures immédiates pour les garages", en collaboration avec l'UPSA. Lors de ce webinaire, Felix Wyss, président de carrosserie suisse et directeur et président du conseil d'administration de Aarauer Carrosserie Werke, a fait part de manière impressionnante de son expérience lors d'une attaque de pirates informatiques, au cours de laquelle des données ont été cryptées et une rançon a été demandée. Il a notamment souligné l'importance de s'occuper soi-même de la cybersécurité. En outre, Micha Strässler et Leo Krähenbühl ont présenté dix mesures immédiates pour renforcer la cybersécurité (pour le lien vers le webinaire, voir l'encadré).
IA - Attention à ce que vous écrivez dans le prompt
L'influence de l'intelligence artificielle (IA) a également fait son entrée dans les garages. L'IA va changer notre vie à tous. Les systèmes d'IA comme ChatGPT, en particulier, disposent d'un énorme potentiel d'amélioration de l'efficacité. Pour notre pays, dont la part de valeur ajoutée basée sur le savoir est élevée, le cabinet de conseil PwC prévoit que l'IA peut augmenter le produit intérieur brut (PIB) de 0,5 à 0,8 %, soit 50 milliards de francs par an. La Suisse fait ainsi partie des pays qui peuvent le plus profiter au monde d'une utilisation accrue de l'intelligence artificielle.
De quoi faut-il tenir compte en matière de protection des données et de secrets commerciaux ? Les messages-guides sont les commandes saisies lors de l'utilisation d'un système d'IA, comparables au masque de recherche de Google. Faites attention à ce que vous saisissez, car le texte des messages-guides est partagé dans la plupart des versions gratuites ou payantes et utilisé pour entraîner l'IA. La saisie de données personnelles constitue un traitement de données personnelles (art. 5 let. d LPD). Lorsque des données de clients ou de collaborateurs sont saisies dans ChatGPT, les entreprises sont donc tenues de respecter les dispositions de la LPD. Cela signifie que l'IA doit être qualifiée de sous-traitant ; toute omission est punissable.
Exigences des importateurs pour les garages - souvent unilatérales et généralement RGPD de l'UE
Avec l'introduction de la LPD, les exigences des importateurs envers les garages ont certes augmenté. Mais souvent, les importateurs reproduisent une à une les prescriptions de l'UE en matière de protection des données (RGPD UE), ce qui ne serait pas entièrement nécessaire pour la Suisse. Même des mois après l'introduction de la LPD en Suisse, de nombreux importateurs ont encore des prescriptions de l'UE qu'ils imposent à leurs concessionnaires suisses. Cette pratique entraîne un surcroît de travail et de l'insécurité pour les garagistes, qui doivent se conformer aux prescriptions suisses spécifiques. L'harmonisation des exigences en matière de protection des données au niveau national et la prévention de la bureaucratie inutile sont donc des thèmes importants qui doivent continuer à être abordés de préférence avec les associations de concessionnaires.
Conclusion et perspectives
La première année d'application de la nouvelle loi sur la protection des données a entraîné de nombreux changements dans la branche automobile suisse. La sensibilité accrue aux questions de protection des données, la reconnaissance de la LPD par l'UE, la collaboration renforcée avec les fournisseurs de protection et de sécurité des données sont des signes clairs que la branche est sur la bonne voie. Les garagistes doivent continuer à être vigilants et à relever les défis de la protection des données afin de conserver la confiance de leurs clients et d'éviter les amendes.
Les années à venir montreront comment la LPD continuera à influencer la branche automobile et quelles autres mesures seront nécessaires pour améliorer la protection des données. Du côté des constructeurs et des importateurs, il faut s'attendre à ce que les exigences en matière de protection des données chez les concessionnaires soient plus élevées à l'avenir en raison de la structure globale de leur groupe. La formation continue des collaborateurs, l'adaptation des processus internes et l'étroite collaboration avec des experts en protection des données sont des facteurs importants pour une gestion réussie des données au sein de la branche.
Photo : iStock
Depuis l'introduction de la nouvelle loi sur la protection des données (LPD) en septembre 2023, beaucoup de choses ont changé dans la branche automobile suisse. La protection des données personnelles a gagné en importance et tant les importateurs, les garagistes que les fournisseurs doivent s'adapter aux nouvelles réglementations. L'amende désormais beaucoup plus élevée, pouvant aller jusqu'à 250 000 CHF, a eu un impact - la loi sur la protection des données, qui existe depuis des décennies, est désormais prise au sérieux. Cet article jette un coup d'œil sur les principaux développements et changements de la première année de la LPD.
Les clients critiques veulent des informations et exigent la suppression des données
L'un des changements les plus remarquables depuis l'introduction de la LPD est l'augmentation des demandes de clients auprès des garagistes concernant leurs droits à la protection des données. De nombreux clients demandent des informations sur les données enregistrées ou demandent la suppression de leurs données. Cette évolution montre que les clients sont de plus en plus conscients de la protection des données et qu'ils font de plus en plus valoir leurs droits. Par rapport à la période antérieure à septembre 2023, ces demandes sont devenues nettement plus fréquentes. Mais dans la plupart des cas, les clients n'ont toujours pas le droit de demander l'effacement, comme le montre l'exemple ci-dessous.
Les clients peuvent demander la suppression des données qui les concernent. En tant que garagiste, vous n'êtes toutefois tenu d'accéder à la demande du client que si aucun délai de conservation légal n'interdit l'effacement, s'il n'existe pas d'intérêts prépondérants ou si la demande d'effacement est manifestement infondée.
Exemple : le client demande la suppression de toutes ses données parce qu'il n'est pas satisfait de la prestation du garage. Vous ne pouvez supprimer les factures qu'après 11 ans (10 ans après la conclusion du contrat), car l'obligation de tenir une comptabilité et de présenter des comptes (art. 957 CO) s'y oppose. Vous pouvez toutefois 1. rendre le client inactif dans le CRM, 2. désactiver la publicité comme les newsletters et 3. supprimer les éventuelles informations marketing déposées sur les intérêts.
Mise en œuvre de la LPD et sécurité des données
La mise en œuvre de la LPD s'accompagne également d'une obligation de renforcer la sécurité des données. Depuis l'introduction de la nouvelle LPD, la violation ou l'omission intentionnelle de mesures de sécurité des données appropriées est également punissable. Outre la protection des données, une sécurité des données appropriée sert en particulier aussi l'entreprise, dans la mesure où les données des clients sont protégées contre les cyberattaques en tant que secret commercial. En outre, il est très important pour les PME de veiller à ce que les sauvegardes fonctionnent et de les vérifier régulièrement par des tests de restauration.
Début juillet 2024 a eu lieu le webinaire Impunix Live sur le thème "Sécurité de l'information - 10 mesures immédiates pour les garages", en collaboration avec l'UPSA. Lors de ce webinaire, Felix Wyss, président de carrosserie suisse et directeur et président du conseil d'administration de Aarauer Carrosserie Werke, a fait part de manière impressionnante de son expérience lors d'une attaque de pirates informatiques, au cours de laquelle des données ont été cryptées et une rançon a été demandée. Il a notamment souligné l'importance de s'occuper soi-même de la cybersécurité. En outre, Micha Strässler et Leo Krähenbühl ont présenté dix mesures immédiates pour renforcer la cybersécurité (pour le lien vers le webinaire, voir l'encadré).
Vérifier les 5 principaux thèmes relatifs à la protection des données : 1. attribuer correctement les accès et les authentifications, 2. établir et respecter des politiques et des protocoles de sécurité, 3. protéger la sécurité du réseau avec des pare-feu et des réseaux privés virtuels (VPN), 4. effectuer régulièrement des mises à jour de logiciels, 5. définir des stratégies de récupération d'urgence et de sauvegarde. (Une liste détaillée est disponible sur le site web, voir encadré)
IA - Attention à ce que vous écrivez dans le prompt
L'influence de l'intelligence artificielle (IA) a également fait son entrée dans les garages. L'IA va changer notre vie à tous. Les systèmes d'IA comme ChatGPT, en particulier, disposent d'un énorme potentiel d'amélioration de l'efficacité. Pour notre pays, dont la part de valeur ajoutée basée sur le savoir est élevée, le cabinet de conseil PwC prévoit que l'IA peut augmenter le produit intérieur brut (PIB) de 0,5 à 0,8 %, soit 50 milliards de francs par an. La Suisse fait ainsi partie des pays qui peuvent le plus profiter au monde d'une utilisation accrue de l'intelligence artificielle.
De quoi faut-il tenir compte en matière de protection des données et de secrets commerciaux ? Les messages-guides sont les commandes saisies lors de l'utilisation d'un système d'IA, comparables au masque de recherche de Google. Faites attention à ce que vous saisissez, car le texte des messages-guides est partagé dans la plupart des versions gratuites ou payantes et utilisé pour entraîner l'IA. La saisie de données personnelles constitue un traitement de données personnelles (art. 5 let. d LPD). Lorsque des données de clients ou de collaborateurs sont saisies dans ChatGPT, les entreprises sont donc tenues de respecter les dispositions de la LPD. Cela signifie que l'IA doit être qualifiée de sous-traitant ; toute omission est punissable.
Que faut-il faire : Former les collaborateurs à ne pas saisir de données personnelles et de secrets commerciaux dans Prompt, passer si nécessaire à la version Team ou Enterprise, qui garantit la protection des données, avec la possibilité de conclure un accord de traitement des commandes.
Exigences des importateurs pour les garages - souvent unilatérales et généralement RGPD de l'UE
Avec l'introduction de la LPD, les exigences des importateurs envers les garages ont certes augmenté. Mais souvent, les importateurs reproduisent une à une les prescriptions de l'UE en matière de protection des données (RGPD UE), ce qui ne serait pas entièrement nécessaire pour la Suisse. Même des mois après l'introduction de la LPD en Suisse, de nombreux importateurs ont encore des prescriptions de l'UE qu'ils imposent à leurs concessionnaires suisses. Cette pratique entraîne un surcroît de travail et de l'insécurité pour les garagistes, qui doivent se conformer aux prescriptions suisses spécifiques. L'harmonisation des exigences en matière de protection des données au niveau national et la prévention de la bureaucratie inutile sont donc des thèmes importants qui doivent continuer à être abordés de préférence avec les associations de concessionnaires.
Conclusion et perspectives
La première année d'application de la nouvelle loi sur la protection des données a entraîné de nombreux changements dans la branche automobile suisse. La sensibilité accrue aux questions de protection des données, la reconnaissance de la LPD par l'UE, la collaboration renforcée avec les fournisseurs de protection et de sécurité des données sont des signes clairs que la branche est sur la bonne voie. Les garagistes doivent continuer à être vigilants et à relever les défis de la protection des données afin de conserver la confiance de leurs clients et d'éviter les amendes.
Les années à venir montreront comment la LPD continuera à influencer la branche automobile et quelles autres mesures seront nécessaires pour améliorer la protection des données. Du côté des constructeurs et des importateurs, il faut s'attendre à ce que les exigences en matière de protection des données chez les concessionnaires soient plus élevées à l'avenir en raison de la structure globale de leur groupe. La formation continue des collaborateurs, l'adaptation des processus internes et l'étroite collaboration avec des experts en protection des données sont des facteurs importants pour une gestion réussie des données au sein de la branche.
Matériel d'information sur la loi sur la protection des données
Modèles et exemples à mettre en œuvre et à adapter de manière autonome au sein de sa propre organisation
10 étapes vers la loi sur la protection des données révisée
10 Mesures d'urgence pour la protection des données
Impunix-Live, webinaires mensuels avec le partenaire de l'UPSA pour les thèmes de la protection des données, vous trouverez ici (y compris les archives)
Podcast (n° 6) sur la protection des données dans la branche automobile suisse
Documentation sur la protection des données de l'AUTOINSIDE de juin 2023
Liste de contrôle de protection des données pour l'utilisation de l'intelligence artificielle (IA) dans l'entreprise
Pour en savoir plus sur le service complet de protection des données d'Impunix et sur les entretiens de conseil gratuits, cliquez ici.
Modèles et exemples à mettre en œuvre et à adapter de manière autonome au sein de sa propre organisation
10 étapes vers la loi sur la protection des données révisée
10 Mesures d'urgence pour la protection des données
Impunix-Live, webinaires mensuels avec le partenaire de l'UPSA pour les thèmes de la protection des données, vous trouverez ici (y compris les archives)
Podcast (n° 6) sur la protection des données dans la branche automobile suisse
Documentation sur la protection des données de l'AUTOINSIDE de juin 2023
Liste de contrôle de protection des données pour l'utilisation de l'intelligence artificielle (IA) dans l'entreprise
Pour en savoir plus sur le service complet de protection des données d'Impunix et sur les entretiens de conseil gratuits, cliquez ici.
Ajouter un commentaire
Commentaires