Après trois trois bonnes années de débats, le parlement suisse a adopté le 25 septembre 2020 la nouvelle loi fédérale sur la protection des données (LPD). L’acceptation de cette loi était loin d’être acquise ; si la pertinence de cette nouvelle loi est élevée, la complexité des questions qui en découlent l’est aussi. L’UE a fait un travail colossal en 2018 avec le Règlement Général la Protection des Données (RGPD), mais, aujourd’hui encore, expérimente de grandes difficultés de mise en œuvre. Le RGPD était/est également valable pour les entreprises suisses qui proposent leurs produits et leurs services au sein de l’UE. Il est prévu que le nouveau droit de la protection des données entre en vigueur le 1er septembre 2023 et le Conseil fédéral doit encore prendre la décision nécessaire à cet effet.
La loi actuelle sur la protection des données (LPD) datant de 1992 s’est vue dépassée par différents développements technologiques (par ex. Google depuis 1998, Facebook depuis 2004 et l’implantation des smartphones à partir de 2007), et s’est vue mise de plus en plus sous pression avec le RGPD autant politiquement que légalement. Depuis 2018, avec la mise en place du RGPD, des obligations plus strictes concernant les exigences du consentement préalable à la protection des données (Compliance) sont valables dans l’Union Européenne. Sans adaptation de la LPD, l’UE n’aurait plus attesté un niveau de protection de données adapté à la Suisse, ce qui aurait entraîné un surcroît de travail et des coûts supplémentaires lors des échanges avec l’UE.
Qu’implique le RGPD pour les entreprises suisses ?
Vous trouverez ici un aperçu détaillé :
Le règlement général de la protection des données (RGPD) de l’UE a permis une unification de la protection des données lors du traitement de données personnelles à l’échelle européenne. Il est valable depuis le 25 mai 2018 pour tous les États membres. Le RGPD consolide les droits des citoyen(ne)s de l’UE en ce qui concerne leurs données. Les entreprises doivent être plus prudentes avec les données personnelles afin d’empêcher d’éventuels abus. Les directives de la loi sur la protection des données de l’UE sont valables pour les entreprises suisses, car celles-ci proposent leurs marchandises ou leurs services également à des clients au sein de l’UE et, par conséquent, enregistrent et traitent des données personnelles.
Qu’est-ce qui va changer pour la Suisse ?
« Le plus important à retenir est que la LPD révisée n’est ni une ébauche ni une copie du règlement général de la protection des données (RGDP) de l’UE. Les particularités helvétiques ont été conservées ou ré-introduites. Un certain équilibre, ou du moins un transfert des règles par rapport au RGPD était cependant incontournable. » selon SwissBanking.
Parmi les nouveautés importantes de la révision de la LPD, on trouve notamment des sanctions considérablement plus sévères, des obligations d’information étendues, le devoir de créer un répertoire de traitement ainsi que l’élargissement des droits des personnes concernées. La nLPD prévoit des amendes pouvant aller jusqu’à 250’000 CHF. Le champ d’application est désormais étendu à l’étranger. Le principe du lieu où se tient le marché s’applique désormais, de manière similaire au RGPD européen. Pour le traitement des données, le principe de la Privacy-by-Design (protection des données dès la conception) et de la Privacy-by-Defaut (protection des données par défaut) s’applique. De plus, un droit à la communication des données ou leur transmission (portabilité des données) a été créé.
Les avocats Meyerlustenberger Lachenal ont soigneusement comparé ici la LPD (1992), la nLPD (2020) et le RGPD (2018).
Le journal Netzwoche a résumé les nouveautés les plus importantes de la révision ci-dessous :
- Aucune protection pour les données à caractère personnel
- Données à caractère personnel nécessitant une protection particulière
- Profiling et profiling à haut risque
- Processeur d’ordres
- Protection des données dès la conception et protection des données par défaut
- Élargissement des obligations d’information
- Aménagement des obligations de communication
- Droit à la portabilité des données
- Décisions au cas par cas automatisées
- Analyse de l’impact de la protection des données
- Signalement des violations de protection des données
- Sanctions
La société de conseil BDO propose un test en ligne sur la protection des données afin d’évaluer si une entreprise est prête pour la nouvelle LPD.
Pour plus d’informations, vous pouvez consulter cet article de l’Office fédéral de la Justice concernant le renforcement de la protection des données.
Nous continuerons de faire des rapports et des analyses concernant la nLPD, pour savoir ce que la nouvelle loi signifie exactement pour chaque application de Swiss21.