La nouvelle loi fédérale sur la protection des données (nLPD) et de l’ordonnance sur la protection des données (OPDo), approuvée le 25 septembre 2020 par le Parlement, renforce les droits des personnes vis-à-vis de leurs données personnelles et accroît la sécurité numérique des citoyens suisses. 

Cette évolution législative majeure impose également des obligations supplémentaires aux entreprises.

Avant son entrée en vigueur, le 1er septembre 2023, l'ensemble des entreprises Suisse doivent être informées des changements majeurs et des actions à mettre en place pour s'y conformer. 

La loi sur la protection des données en Suisse

La loi sur la protection des données établit les responsabilités des individus ou des entités qui manipulent des informations personnelles et garantit les droits des personnes concernées par ces données.

Votre responsabilité, en tant qu'entreprise, est de traiter les données collectées dans le but pour lequel elles l'ont été. Les personnes impliquées doivent avoir été informées du but du traitement en y aillant consenti. Puis, ces données doivent être détruites une fois leur traitement effectué.

2 But et contenu du droit de la protection des données
2.1 Quel est le but du droit de la protection des données ? 
Le droit de la protection des données concrétise le droit fondamental à l’autodétermination informationnelle inscrit à l’art. 13, al. 2, Cst. Il a pour but de protéger la sphère privée des per- sonnes physiques et d’assurer que ce droit fondamental est réalisé non seulement dans la relation à l’État, mais également dans les relations qui lient les particuliers entre eux (art. 35, al. 3, Cst.).

La révision du droit de la protection des données était nécessaire afin de tenir compte des avancées technologiques de notre société et assurer la compatibilité avec le droit européen.

Nouveautés de la NLPD

Principaux changements en vigueur dès le 1er septembre 2023 :

  • Amélioration générale de la transparence sur l'utilisation des données collectées.
  • Renforcement des compétences de surveillance et de l’indépendance du Préposé fédéral à la protection des données et à la transparence (PFPDT).
  • Durcissement des dispositions pénales. (Sanction maximale passe de 10'000 CHF à 250'000 CHF + des amendes contre la personne physique)
  • Prise en compte de la protection des données dès la planification du traitement de données (Privacy by Design « protection des données dès la conception ») et par la définition de règles favorables à la protection des données (Privacy by Default « protection des données par défaut »).
  • Nécessité de mener une évaluation d'impact sur la protection des données.
  • Élargissement de l'obligation d'information et droit à la restitution ou au transfert des informations personnelles.
  • Renforcement de la sécurité des données et signalement à leurs atteintes.

Comparatif entre nLPD et la RGPD

Le tableau suivant met en évidence les principales différences entre la législation suisse sur la protection des données (nLPD) et le règlement général sur la protection des données (RGPD) de l'Union européenne. En comparant ces deux cadres réglementaires, nous pouvons mieux comprendre les quelques divergences et similitudes clés en termes d'obligations, de droits et de normes de protection des données, ce qui est essentiel pour les entreprises et les individus opérant dans ces juridictions.

Quels sont les limites d'applications ?

La portée territoriale de la nLPD repose sur le principe du "lieu du résultat". Cela signifie que la LPD s'applique aux entreprises étrangères qui exercent leurs activités sur le marché suisse ou dont le traitement des données produit des effets en Suisse. De manière similaire, le Règlement général sur la protection des données (RGPD) s'applique également aux entreprises suisses opérant dans l'espace de l'Union européenne (UE).

 

 

nLPD

Veuillez noter que ce tableau est non-exhaustif et simplifié. Les détails spécifiques peuvent varier en fonction des circonstances et des interprétations juridiques. Il est conseillé de se référer aux textes officiels pour obtenir des informations plus détaillées sur chaque loi.

Quels changements majeurs pour votre entreprise ?

Les principaux impactés par la nLPD sont les entreprises. 

Après avoir dressé l’inventaire des activités de traitement des données personnelles, il est temps de mettre en place certaines mesures :

  • Améliorez votre transparence lors du traitement des données en expliquant à quelles fins les informations vont être utilisées. (ex : demande de contact et de la relation commerciale)
  • Évaluez minutieusement les risques, renforcez votre sécurité informatique et améliorez vos procédures internes.
  • Vérifiez si vos contrats nécessitent des adaptations. (ex : accords de confidentialités)
  • Documentez la collecte de données et tenir à jour un registre sur l’ensemble des activités de traitement des données.
  • Mise à jour de votre site internet et intranet. 
  • Formez et sensibilisez vos collaborateurs.

Il est crucial de se demander si votre entreprise possède les compétences nécessaires dans se mettre en conformité, par exemple, en ayant un conseiller interne compétent en protection des données ou en disposant d'un service juridique. Si ce n'est pas le cas, il est fortement recommandé de solliciter une aide externe.