La nouvelle LPD (nLPD) suisse

Mettez-vous en conformité avec la nouvelle Loi sur la Protection des Données (nLPD) en vigueur en Suisse depuis septembre 2023.

Comme indiqué dans notre précédent article sur ce sujet, le 25 septembre 2020, le gouvernement suisse a approuvé la loi fédérale sur la protection des données (LPD) en remplacement de la précédente loi de 1992. Cette nouvelle loi sur la protection des données ou nLPD est également nommée selon les sources «Federal Act on Data Protection;» ou FADP selon les sources.

Nous le savons maintenant depuis août 2022, La nouvelle LPD suisse (nLPD) est entrée en vigueur le 01.09.2023 et la Confédération a souhaité informer les parties prenantes suffisamment en amont pour que chacun ait le temps de se mettre en conformité. Cependant, lorsque l’on prend conscience de l’ampleur de la tâche, de nombreux mois sont parfois nécessaires pour mettre en œuvre ce projet, notamment dans les structures qui gèrent un volume important de données sur leurs clients.

Quelle est l’autorité de régulation ?

Le Préposé Fédéral à la Protection des Données et à la Transparence ou PFPDT - ou bien Federal Data Protection and Information Commissionner (FDPIC) – en anglais, est l'autorité de régulation qui fera appliquer les dispositions de la LPD.

Le PFPDT dispose de pouvoirs étendus puisqu'il peut exiger des entreprises ou des organisations :

1. De corriger les données personnelles d'une personne concerné.
   
2. De Suspendre le traitement des données personnelles d'une personne concernée.
   
3. De Supprimer entièrement ou partiellement les données personnelles des personnes concernées.

Il dispose en outre de pouvoirs d’investigation. Vous devrez non seulement revoir la manière dont vous traitez les données personnelles mais aussi documenter les mesures mises en place. Il s’agira de pouvoir démontrer votre conformité en cas de contrôle. Le PFPDT bénéficie désormais de pouvoirs de sanctions renforcés.

Les sanctions encourues

Le PFPDT enquête sur d'éventuelles violations et s'il constate qu'un responsable du traitement des données a enfreint la loi, il peut émettre des injonctions contraignantes à l'encontre du contrevenant lui demandant de faire ou de cesser de faire quelque chose. Si le responsable du traitement des données remédie à la violation, il peut renoncer aux sanctions. En cas de non-conformité prolongée et après sommation de la part du PFPDT, celui-ci peut choisir de transmettre le dossier au Tribunal Fédéral dans le cadre d’une procédure pénale. Les sanctions prévues peuvent aller jusqu'à 250’000 CHF pour l'individu qui a causé l'infraction. La personne est pénalement responsable même si elle a violé la loi dans le cadre de son travail pour son entreprise. Les sanctions pénales visent non plus le «maître du fichier», mais le «responsable du traitement». Les employés peuvent donc être personnellement condamnés, en lieu et place de la société, à payer cette amende, dont le montant maximal apparaît alors tout de suite exorbitant.

Qui doit se conformer à la loi ?

La nLPD s'applique aux entreprises et aux organisations qui traitent les données personnelles des personnes concernées.

Périmètre matériel

La nLPD régit le traitement des données personnelles. Cela comprend la collecte, le stockage, la modification, la divulgation, l'archivage, la suppression ou toute autre utilisation des données personnelles des personnes concernées. Dans le même temps, le traitement des données personnelles des personnes concernées à des fins domestiques personnelles est exempté par la loi. La nouvelle LPD a également des exigences sectorielles pour les entreprises opérant dans divers secteurs.

Portée territoriale

La portée territoriale de la nLPD s'étend à la fois à l'intérieur et à l'extérieur de la Suisse, où des entités traitent les données personnelles des personnes concernées en Suisse.

Définitions des termes clés

Données personnelles

La nLPD définit les données personnelles comme toute information permettant d'identifier une personne. Ces informations incluent, mais ne sont pas limitées à :

• Le nom complet d'une personne
  
• Image montrant le visage d'une personne
  
• Adresse e-mail
  
• Numéro de téléphone
  
• Numéro d'AVS
  
• Numéro de client
  

Données sensibles

• La nouvelle LPD définit comme données personnelles sensibles :
  
• Données religieuses
  
• Données idéologiques
  
• Données politiques
  
• Opinions ou activités liées aux syndicats
  
• Données de santé
  
• Origine raciale d'un individu
  
• Mesures de sécurité sociale
  
• Données administratives ou pénales
  
• Données génétiques
  
• Données biométriques
  

Obligations des organisations dans le cadre de la LPD

Exigences relatives au fondement légal

La nLPD permet aux entreprises, organisations ou personnes physiques de traiter les données personnelles des personnes concernées. Cependant, les autorités publiques doivent se conformer à la réglementation et à la loi lors du traitement des données personnelles des personnes concernées. D'autre part, les contrôleurs de données privés ont le pouvoir de traiter des données personnelles dans le cadre de la LPD.

Exigences en matière de consentement

En vertu de la nLPD, le consentement n'est valable que s'il est informé et donné librement. Les contrôleurs de données doivent obtenir un consentement explicite lorsque des données personnelles sensibles sont impliquées ou un profil à haut risque. En tant que tels, les responsables du traitement des données et les sites Web doivent obtenir le consentement préalable, éclairé, librement donné et explicite des personnes en Suisse lors du traitement de leurs données personnelles. De plus, la nLPD permet aux individus de retirer leur consentement.

Conditions d'inscription

Toute entreprise qui traite régulièrement les données personnelles sensibles d'individus ou divulgue régulièrement des données personnelles à des tiers doit enregistrer ses documents de données auprès du PFPDT. Toutefois, si une entreprise a nommé un délégué à la protection des données (DPD) et notifié cette nomination au PFPDT, elle est dispensée de cette obligation d'enregistrement.

Avis de confidentialité

La nLPD exige des entreprises qu'elles soient équitables dans leurs activités de traitement des données et que le traitement des données soit effectué conformément à l'avis de confidentialité d'une entreprise.

Exigences de sécurité

Les exigences de sécurité de la nLPD s'appliquent aux entreprises de secteurs spécifiques, par exemple les fabricants de dispositifs médicaux réglementés, les soins de santé tels que les hôpitaux, les fournisseurs d'énergie, les banques ou les fournisseurs de services de télécommunications.

Exigences en matière de violation de données

La LPD actuelle ne prévoit pas d'exigence de notification de violation de données pour les entreprises. Cependant, la nouvelle LPD exigerait des contrôleurs de données qu'ils informent rapidement le PFPDT des violations de données pouvant entraîner des risques élevés pour les personnes concernées.

Les contrôleurs de données devront:

• Avertir le PFPDT dès que la violation de données a lieu 
  
• Expliquer le type de violation de données personnelles
  
• Décrire les conséquences potentielles de la violation de données
  
• Expliquer les mesures correctives et atténuer les risques pour les personnes concernées Informer les personnes concernées par la violation de données
  

Exigence du délégué à la protection des données (DPD)

La LPD actuelle n'oblige pas les entreprises et les organisations à nommer un DPD. Cependant, la LPD révisée encourage les entreprises à désigner un DPD. Le DPD doit avoir les compétences sectorielles, les capacités professionnelles et l'expertise nécessaires pour mener à bien les tâches quotidiennes d'un DPD.

Évaluation de l'impact sur la protection des données (DPIA)

La LPD révisée exigera des contrôleurs de données qu'ils effectuent des DPIA lors du traitement des données personnelles des personnes concernées. Les entreprises traitant des données personnelles sensibles à haut risque et à grande échelle seront tenues de procéder à des évaluations des risques.

Registre des activités de traitement (RoPA)

La nLPD exigera des contrôleurs de données et des processeurs de données qu'ils conservent des enregistrements des activités de traitement. Cependant, les entreprises de moins de 250 employés sont exemptées du maintien du RoPA.

Exigences de traitement par des tiers

En ce qui concerne le traitement par des tiers, la nouvelle LPD impose aux entreprises de divulguer et de justifier le traitement des données personnelles des individus. Les tiers devront répondre au consentement de la personne concernée lors du traitement des données personnelles des personnes concernées.

Exigences par rapport au transfert de données transfrontalier

Les contrôleurs de données devront informer les personnes concernées s'ils ont l'intention de transférer leurs données personnelles à l'international. De plus, les contrôleurs de données devront spécifier les pays où leurs données sont destinées à être transférées.

Droits des personnes concernées

Droit d'être informé

La nLPD impose aux entreprises d'informer les personnes concernées de la collecte de données personnelles et des finalités du traitement dans la transparence. En vertu de la nLPD, les personnes concernées ont le droit d'être informées lorsque le responsable du traitement collecte leurs données personnelles et des finalités du traitement si les activités de collecte et de traitement des données ne sont pas explicitement définies.

Droit d'accès

La nLPD confère aux personnes concernées le droit d'accéder à leurs données personnelles et le droit de recevoir une copie de leurs données personnelles en cours de traitement. Les personnes concernées peuvent également demander au responsable du traitement le contexte des données personnelles telles que leur origine ou leurs sources, les finalités du traitement des données, les détails des données personnelles en cours de traitement et les bénéficiaires de leurs données personnelles.

Droit de rectification

En vertu de la nouvelle LPD, les personnes concernées ont le droit de rectifier leurs données inexactes en adressant une demande au responsable du traitement. Cependant, la loi habilite également le responsable du traitement à refuser toute demande de rectification sur une base légale.

Droit à l'effacement

La nLPD confère aux personnes concernées le droit à l'effacement. Toutefois, un responsable du traitement peut refuser de supprimer les données personnelles d'une personne concernée sur une base légale.

Droit d'opposition/opt-out

La nouvelle LPD offre aux personnes concernées un droit de s'opposer/de refuser le traitement de leurs données personnelles. Cependant, le droit d'opposition/de refus n'est pas absolu, ce qui signifie que les responsables du traitement peuvent continuer à traiter les données personnelles d'une personne concernée si les données sont nécessaires à leurs obligations de conformité.

Droit à la portabilité des données

La personne concernée a le droit de recevoir une copie de ses données personnelles et la possibilité de demander que ses données personnelles soient transférées à un autre responsable du traitement.

Droit de ne pas être soumis à une prise de décision automatisée

Bien que la LPD actuelle n'inclue pas ce droit, la nLPD oblige les responsables du traitement à informer les personnes concernées si elles ont recours à la prise de décision individuelle automatisée. En outre, il confère aux personnes concernées le droit d'être informées en cas de prise de décision individuelle.

Comment une organisation peut appliquer la nouvelle loi sur la protection des données ?

Pour se conformer à la nLPD, les organisations doivent :

1. Maintenir régulièrement leurs inventaires de données et distinguer les données personnelles sensibles et les données personnelles ;
   
2. Réévaluer les obligations de la nLPD et adopter des mesures pour une conformité transparente ;
   
3. Divulguer explicitement leurs activités de traitement de données par le biais de politiques formelles transparentes et d'avis de confidentialité ;
   
4. Répondre aux demandes des personnes concernées et disposer d'une plateforme conviviale pour faciliter les démarches des personnes concernées ;
   
5. Mettre en place un système complet de notification des violations de données ;
   
6. Répertorier leurs processus et déterminer les flux de données transfrontaliers de la Suisse vers d'autres pays, et remplir les exigences transfrontalières dans le cadre de la nLPD ;
   
7. Avoir en place une architecture détaillée des demandes des personnes concernées ;
   
8. Établir des procédures pour numériser, suivre et produire des rapports RoPA pour la conformité ;
   
9. Avoir mis en place des mesures de sécurité autonomes, robustes et organisationnelles pour protéger leurs activités de traitement ; 
   
10. Mener des évaluations d'impact sur la protection des données comme l'exige la nLPD.

L’ensemble de ses actions dépasse largement le cadre d’Internet et du fonctionnement d’un site Web. Néanmoins, chez BeOnPerf, nous pouvons vous aider à vous mettre en conformité avec la nouvelle LPD au niveau du traitement de vos cookies. Nous disposons d’une technologie 100% conforme aux exigences ci-dessus à propos de la collecte de données via les cookies. Contactez-nous pour installer cette technologie (bandeau cookies ou CMP pour Content Management System) et découvrez notre solution.

(Illustration: designed by freepik.com)