Nouvelle loi sur la protection des données Suisse

Switzerland has a new federal act on data protection. Die Schweiz hat ein neues Datenschutzgesetz. La Svizzera ha una nuova legge sulla protezione dei dati. La Suisse a une nouvelle loi sur la protection des données.

C’est enfin arrivé : Adoptée en septembre 2020, la loi sur la protection des données nouvellement révisée est entrée en vigueur. Qu’est-ce qui a changé exactement ? Pourquoi cela a-t-il changé ? Et qu’est-ce que cela signifie concrètement pour ton entreprise ? 

Le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) ainsi que les nouvelles ordonnances sur la protection des données (OPDo) et les certifications en matière de protection des données (OCPD) entreront en vigueur. Les entrepreneurs doivent maintenant se pencher sur ces changements et les mettre en œuvre. Comme toujours, Atlanto souhaite te soutenir dans ces changements. Cet article de blog a pour but de t’aider à traverser la confusion et de te guider dans la mise en œuvre.

Pourquoi une nouvelle loi sur la protection des données est-elle nécessaire ?

Savais-tu que la première loi sur la protection des données en Suisse a été adoptée en 1992 ? Revenons en arrière : En 92, le World Wide Web avait à peine trois ans, le smartphone venait d’être inventé, encore sans connexion Internet. Il s’écoulerait près de 20 ans avant que les iPhones et les smartphones Android ne soient vendus. Le terme “médias sociaux” était alors à peine connu.

Aujourd’hui, le monde est très différent : Tout le monde a un téléphone portable et un accès à Internet. Même les enfants utilisent les reseaux sociaux de nos jours ! Il est donc évident qu’une révision de la LPD serait nécessaire.

Une autre raison de ce changement est l’UE. Ces adaptations font en sorte que la Suisse puisse être reconnue par l’UE comme un pays tiers offrant un niveau de protection des données adéquat. Ainsi, les données peuvent continuer à être transmises sans problème entre les entreprises des pays de l’UE et les entreprises en Suisse. Les entrepreneurs suisses restent ainsi compétitifs à l’étranger.

Il ne s’agit donc pas de rendre la vie des entrepreneurs difficile. Bien au contraire, l’objectif est de protéger les données personnelles de manière plus complète.

Comment la loi sur la protection des données change-t-elle concrètement ?

  • La loi sur la protection des données se limite désormais à la protection des personnes physiques – au lieu de s’appliquer également aux personnes morales, comme c’était le cas auparavant.
  • Désormais, les données génétiques et biométriques sont également considérées comme des données sensibles.
  • Les entreprises doivent informer les personnes concernées de manière adéquate pour chaque collecte de données, et non plus seulement pour les données sensibles comme c’était le cas auparavant.
  • Les entreprises sont tenues de tenir un registre des activités de traitement. Tous les flux de données et la finalité de leur traitement doivent être documentés. Les PME qui ne courent que peu de risques pour les données personnelles à cette occasion sont exclues de cette obligation.
  • Les entreprises sont tenues d’effectuer une analyse d’impact sur la protection des données lorsque le traitement des données présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
  • Désormais, le traitement automatique des données est également réglementé (profilage). À cet égard, le consentement de la personne physique doit être obtenu si le profilage présente un risque élevé.
  • Les violations de la sécurité des données doivent être immédiatement signalées au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Tout ne change pas pour autant. Les considérations et conditions de base pour un traitement autorisé des données restent les mêmes que dans l’ancienne loi sur la protection des données.

  • Les données personnelles doivent être traitées conformément à la loi.
  • Le traitement doit être effectué de bonne foi et être proportionné.
  • Les données personnelles ne peuvent être collectées que dans un but précis et identifiable par la personne concernée.
  • Elles sont détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires au but du traitement.
  • Quiconque traite des données personnelles doit s’assurer de leur exactitude.
  • Pour le traitement de données personnelles sensibles, le consentement explicite est nécessaire.

Comment mettre en œuvre la loi sur la protection des données à présent ?

Si tu gères un site web, il est obligatoire, selon l’article 19 de la nouvelle loi sur la protection des données, d’informer les clients de la collecte de données. Cela se fait généralement par le biais d’une déclaration de confidentialité. En d’autres termes, une déclaration de confidentialité sera désormais obligatoire pour ton site web.

C’est d’autant plus important que les entrepreneurs s’exposent à de lourdes sanctions en cas de non-respect, ainsi qu’à une atteinte probable à leur réputation. En outre, une forte protection des données et une communication ouverte favorisent la fidélisation des clients.

Comment les entrepreneurs peuvent-ils mettre en œuvre la nouvelle LPD ? Dans tous les cas, la priorité devrait être donnée à la protection des données. Mais pas de soucis : Tu n’as pas besoin de partir de zéro. Le mieux est de commencer par analyser la situation actuelle. Où y a-t-il encore des risques ? Comment peux-tu t’améliorer ?

De nombreux entrepreneurs trouvent utile de nommer un délégué à la protection des données (“Data Proection Officer”) qui s’occupe de la protection des données dans l’entreprise.

Il est également recommandé de tenir un registre des activités de traitement (voir à ce sujet l’article 12 de la LPD). Ce registre devrait notamment énumérer les personnes concernées et les données personnelles, ainsi que leurs destinataires et la durée de conservation.

En outre, il convient de préciser la manière dont le droit d’accès et les évaluations d’impact sur la protection des données seront traités à l’avenir. Tous les collaborateurs, mais en particulier ceux qui travaillent avec des sites web ou des données personnelles, devraient être informés de ces processus.

Tout cela semble être beaucoup de travail. Mais chez Atlanto, aucune entreprise n’est livrée à elle-même. Dans notre blog, tu trouveras un soutien supplémentaire pour tout ce qui concerne les entreprises et le droit. Dans tous les cas, nous te recommandons de consulter le site web de la Confédération suisse. Tu y trouveras de plus amples informations sur la loi révisée sur la protection des données.

Tu as d’autres questions sur la nouvelle loi sur la protection des données ? Nous te recommandons de chercher de l’aide auprès d’YLEX. Ils se feront un plaisir de t’aider à rédiger une déclaration de protection des données conforme à la législation.

BLOGS SIMILAIRES