En Suisse, une nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023. Cette loi vise avant tout à adapter les conditions juridiques de protection des données en Suisse au RGPD.

Vous trouverez ici tout ce que vous devez savoir sur les nouveautés juridiques.

Pourquoi une nouvelle loi suisse sur la protection des données ?

Pour être précis, il s'agit de trois textes réglementaires que la Suisse a élaborés : La nouvelle loi fédérale suisse sur la protection des données (LPD), la nouvelle ordonnance sur la protection des données (OPD) et la nouvelle ordonnance sur la certification en matière de protection des données (OCPD). Tous trois entreront en vigueur le 1er septembre 2023.

La version actuellement en vigueur de la loi fédérale suisse sur la protection des données date de 1993 et n'offre plus d'équivalence avec le RGPD en vigueur dans l'UE. La décision d'adéquation de la Commission européenne de 2000 est donc en train de vaciller. Si cette situation devait s'aggraver, la Suisse pourrait être considérée comme un pays tiers au sens du RGPD, ce qui entraînerait des problèmes économiques pour la Suisse. Il faudrait alors se prémunir par exemple par le biais de clauses contractuelles standard (art. 46 RGPD).

La Suisse a toutefois cédé à la pression exercée depuis l'introduction du RGPD et a aligné sa propre législation en matière de protection des données sur le RGPD.

Que régit la nouvelle loi suisse sur la protection des données ?

Vous trouverez ici un aperçu des principales dispositions de la nouvelle loi suisse sur la protection des données :

Champ d'application

Le champ d'application matériel de la LPD est élargi. Il englobe tous les traitements de données qui ont des effets en Suisse, même s'ils sont effectués à l'étranger.

Dans le champ d'application personnel, seules les personnes physiques sont encore protégées, ce qui n'est pas le cas des personnes morales.

Obligations d'information étendues pour les responsables

Les obligations d'information pour les responsables de traitement dans la LPD sont également étendues. Elles s'étendent désormais au traitement de toutes les données à caractère personnel. Elles sont comparables aux articles 13 et 14 du RGPD.

Droits des personnes concernées

La nouvelle LPD stipule que les personnes concernées ont un droit à l'information complète, à la portabilité des données et à la restitution des données. Tous ces droits doivent pouvoir être exercés gratuitement.

Les principes de privacy by design et de privacy by default se retrouvent dans la nouvelle LPD comme dans le RGPD.

Obligations en matière de documentation

Selon la nouvelle LPD, les responsables et les sous-traitants sont tenus de documenter chaque traitement de données. Ce recueil de données ne doit toutefois plus être déclaré. La nouvelle LPD énumère les informations que doit contenir le registre.

Prise de décision automatisée et profilage

Si un responsable utilise la prise de décision automatisée, il doit en informer la personne concernée. La personne concernée peut demander que cette décision soit vérifiée par un être humain.

En outre, le consentement n'est en principe pas nécessaire pour le profilage, sauf s'il s'agit de ce que l'on appelle le "profilage à haut risque", qui implique la mise en relation de données permettant d'évaluer la personnalité.

Traitement des commandes

La nouvelle LPD introduit la notion de "sous-traitant", qui correspond à celle de "sous-traitant" dans le RGPD. Il est possible de lui confier des processus de traitement des données s'ils sont exécutés de la même manière que le responsable aurait dû le faire. En outre, en cas d'obligation de confidentialité, il ne peut y avoir de traitement à façon. Le responsable du traitement doit s'assurer que le sous-traitant remplit les exigences correspondantes. Si le sous-traitant souhaite à son tour transmettre le traitement des données, il doit obtenir l'accord du responsable.

Analyse d'impact sur la protection des données

La nouvelle LPD introduit une évaluation d'impact sur la protection des données qui correspond en grande partie à celle prévue par le RGPD.

Sécurité des données

La nouvelle LPD prévoit également l'obligation pour le responsable du traitement et le sous-traitant de mettre en place des mesures techniques et organisationnelles (TOM) appropriées afin de garantir la sécurité des données. La nouvelle LPD utilise ici, comme le RGPD, la notion de risque. Des dispositions plus précises sur les exigences minimales doivent encore être prises par le Conseil fédéral.

Les violations de données doivent également être signalées, comme dans le RGPD. Toutefois, seules celles qui présentent un risque élevé pour les personnes concernées doivent être signalées. Le sous-traitant doit adresser la notification de tels incidents au responsable du traitement qui, à son tour, doit les signaler au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Représentant pour les transformateurs étrangers

Les responsables qui traitent des données en Suisse mais qui n'y sont pas établis doivent avoir un représentant en Suisse dans trois cas. Ces cas désignent l'offre de biens et de services en Suisse ou la surveillance du comportement des personnes en Suisse, le traitement à grande échelle et régulier ou les risques élevés pour la vie privée des personnes concernées. La réglementation est donc similaire à celle du représentant de l'UE dans le RGPD.

Autorités de protection des données et sanctions

L'autorité suisse de protection des données (PFPDT) se voit attribuer des tâches et des compétences élargies par la nouvelle LPD. Elle ressemble ainsi aux autorités européennes de protection des données, mais ne peut pas infliger d'amendes.

Les sanctions possibles sont chiffrées dans la nouvelle LPD à un niveau nettement plus élevé que les amendes prévues par le RGPD. Ce sont les ministères publics cantonaux qui sont compétents. Ce sont les personnes privées qui sont visées et non les entreprises comme sous le RGPD. Toutefois, tous les manquements aux obligations ne sont pas répertoriés dans le catalogue des amendes.

A quoi faut-il faire attention ?

Le droit suisse de la protection des données se rapproche désormais fortement du RGPD.

Les responsables ayant un lien avec la Suisse devraient faire un inventaire de leurs traitements de données afin d'identifier les mesures à prendre. Il convient de définir des processus appropriés, de mettre en place des processus de notification, d'établir un registre, de contrôler les sous-traitants et, le cas échéant, de désigner un représentant.

Vous avez besoin d'aide en matière de protection et de sécurité des données ? Notre équipe d'experts se fera un plaisir de vous aider. Contactez-nous ici.

DSB buchen
fr_FRFrançais