La nouvelle loi sur la protection des données en 6 questions : ce qui change pour les entreprises

La nouvelle loi suisse sur la protection des données (nLPD) entre en vigueur le 1^er septembre 2023 sans période de transition. Les nouveautés sont globales et concernent par principe toutes les entreprises suisses. Les entreprises qui dérogeraient à cette nouvelle loi sur la protection des données devront s’attendre à de lourdes amendes : les infractions seront sanctionnées jusqu’à 250’000 francs – un montant non négligeable.

Afin que votre entreprise ne soit pas prise de court par cette modification de la loi, il convient d’observer quelques points et de s’adapter dès maintenant. Notre expert en sécurité et protection des données, Umut Yilmaz, répond dans cet article aux 6 questions les plus fréquentes concernant cette nouvelle loi.

1. Pourquoi cette révision de la loi sur la protection des données était-elle nécessaire ?

La prédécesseuse de la nouvelle loi suisse sur la protection des données date de 1992. Depuis, tant la technologie que la société ont subi des mutations de grande ampleur, la LPD n’était donc plus adaptée aux préoccupations actuelles. De plus, une compatibilité souhaitée avec le Règlement général européen sur la protection des données (RGPD) ouvrant la voie à un échange de données simplifié avec l’Europe a exercé une pression supplémentaire sur la très archaïque loi suisse sur la protection des données.

2. Quelles entreprises sont concernées ?

En principe, toutes les entreprises suisses qui traitent des données personnelles sont concernées. On parle ici en particulier des entreprises qui collectent et traitent une grande quantité d’informations personnelles ou de données personnelles sensibles, qui effectuent du profilage ou qui possèdent une boutique en ligne.

3. Quels sont les thèmes prédominants de cette nouvelle loi sur la protection des données ?

• Augmentation de la transparence
• Renforcement de la prévention et de la responsabilité du fournisseur de données
• Amélioration du contrôle de la protection des données
• Consolidation des dispositions pénales

4. Quelles sont les principales nouveautés de la nouvelle loi sur la protection des données ?

• Dorénavant, ce sont les personnes physiques qui sont protégées ; la protection des personnes morales (SA, Sàrl, etc.) est abandonnée.
• Les données biométriques et génétiques (p. ex. empreinte digitale, scan de la rétine) sont dorénavant des données personnelles dites sensibles qui demandent une protection particulière.
• Le profilage (le traitement automatisé des données) est maintenant ancré dans la nLPD.
• Sous-traitance : les sous-traitants tels que les prestataires de services externalisés doivent traiter des données de la même manière que le responsable (conclusion d’un contrat de sous-traitance des données)
• La protection des données doit être observée dès la conception et par défaut. Les principes « Privacy by Design » (la protection des données intégrée) et « Privacy by Default » (les paramètres par défaut respectent la protection des données) sont à respecter pour être conforme à la nouvelle loi.
• Obligation d’établir un registre des activités de traitement des données contenant des informations minimales conformément à la nLPD. Des exceptions sont possibles pour les PME si le traitement des données ne présente qu’un faible risque d’atteinte à la personne pour les personnes concernées.
• Extension des droits des personnes : sur demande des personnes concernées, certaines informations sur le traitement des données personnelles doivent être communiquées ou mises à disposition sous forme électronique.
• L’obligation d’information est étendue : lors de la collecte de données personnelles, les responsables doivent annoncer leur identité et leurs coordonnées, le but du traitement des données ainsi que les éventuels destinataires et pays en cas de transmission de données à l’étranger.
• Une analyse d’impact relative à la protection des données personnelles est obligatoire lors de processus de traitement présentant des risques élevés (description du traitement envisagé, évaluation des risques et mesures de protection prévues).
• Annonce des violations de la sécurité des données : les cas de violation de la sécurité des données doivent être annoncés dans les meilleurs délais au PFPDT.
• Le non-respect de la nLPD est sanctionné d’une amende de 250’000 francs (responsabilité pénale individuelle).

5. Que doivent faire les entreprises ?

La première étape est de faire l’inventaire des différents traitements de données (inventaire des données personnelles). Si vous savez quelles données personnelles sont traitées où et comment, il vous sera plus facile de respecter la loi sur la protection des données.

Une fois cet état des lieux réalisé, procédez à une analyse des écarts. Vous constaterez alors à quel niveau et dans quels domaines vous devez encore agir. Si nécessaire, vous devez également vérifier quelles sont les données que vous devez impérativement collecter et quelles sont les données dont vous n’avez pas besoin.

Il est recommandé de nommer une conseillère ou un conseiller à la protection des données (DPO), préposé(e) aux questions de protection des données dans l’entreprise et personne de contact pour les individus concernés et les autorités.

6. Qu’est-ce que les entreprises doivent dès maintenant changer ?

• Les entreprises doivent donner des informations sur le traitement global des données, et plus seulement sur le traitement des données sur le site web.
• La déclaration de confidentialité doit être facilement accessible à partir de toutes les pages.
• Réduisez au minimum les données de clients requises.
• Limitez l’accès aux données au sein même de votre entreprise.
• Supprimez ou anonymisez les données à caractère personnel dès que celles-ci ne sont plus nécessaires au traitement.
• Adaptez votre déclaration de confidentialité à la nLPD.
• Formez et sensibilisez vos collaboratrices et collaborateurs aux questions de protection des données.

À noter que les entreprises qui se sont déjà conformées au RGPD européen partent déjà sur de très bonnes bases et n’auront à entreprendre que des ajustements sur certains points.