LPD et RGPD en 2023

/storage/266/tinywow_Blog_LPD_RGPD_3000X2000.png

LPD et RGPD : point sur la situation juridique en vigueur en Suisse

La Loi fédérale sur la Protection des Données (LPD) est l'équivalent de la Règlementation Générale sur la Protection des Données (RGPD ou GDPR en anglais), édictée par l’Union Européenne. Or, ces deux cadres juridiques ont évolué récemment. S’ils convergent globalement, il existe encore quelques différences notoires. Dans ce contexte évolutif, il est donc difficile de rester au courant des obligations en vigueur à l’instant T et difficile de comprendre à quelles territorialités elles s’appliquent. Nous avons tenté de clarifier ces points.

02 / 01 / 2023

LPD et RGPD, laquelle appliquer pour un site web suisse ?

Nous allons voir comment ces cadres légaux doivent être considérés dans le cadre de la mise en conformité d’un site suisse notamment. En premier lieu, nous allons trancher sur la légalité de la RGPD sur le territoire suisse puisqu’il s’agit souvent de LA question que tout le monde se pose sachant que l'application de la loi fédérale sonne comme une évidence. Il restera à voir quelle version de cette dernière est actuellement en application.

Faut-il respecter la RGPD en Suisse ?

Une entreprise suisse proposant des produits ou des services à des clients résidant dans l’Union Européenne devra respecter la RGPD pour pouvoir traiter leurs données. Il n’y a donc aucune ambiguïté sur ce point. Ce qui régit l’obligation ici ça n’est pas le lieu d’hébergement du site ou bien la nationalité de l’entreprise mais bien la citoyenneté européenne des utilisateurs.

Un point important à considérer également : la RGPD ne se limite pas seulement à la collecte de données ou à leur conservation mais aussi au « traitement des données personnelles ». Cette terminologie un peu vague doit être comprise comme toute intervention sur une donnée personnelle, depuis son enregistrement initial (cookies traceurs par exemple) jusqu’à son stockage sur un serveur, en passant par toutes les interventions – en propre ou sous-traitées – sur ces données telles que leur normalisation, leur fusion avec d’autres données, leur injection dans un outil CRM, leur transfert à un partenaire, etc.

La RGPD concerne également les prestataires et fournisseurs basés en Suisse et travaillant pour une entreprise européenne. Or, le transfert de données personnelles hors de l’Union Européenne est un sujet très sensible puisque potentiellement les irrégularités en matière de RGPD peuvent plus facilement échapper aux juridictions de l’UE dans ce contexte. Il faut donc interpréter ces faits comme une vigilance particulière que l’Union Européenne fait peser sur des entreprises basées en dehors de son territoire mais relative à ses concitoyens. Le cas des Etats-Unis avec les données collectées par les GAFAM en est un des exemples les plus criants.

En résumé, une entreprise ayant des interactions avec des citoyens résidant dans l'UE, y compris de simples visites de son site web, est soumise à l'application de la RGPD.

Où en sommes-nous avec la LPD et quelles évolutions récentes viennent impacter les obligations des sites Web en Suisse ?

Les entreprises suisses sont tenues de respecter la Loi fédérale sur la Protection des Données (« LPD ») adoptée initialement en juin 1992.

La Suisse a jusqu’ici bénéficié d’une « décision d’adéquation » de la Commission Européenne, calquée sur le Privacy Shield américain. La législation fédérale était donc jusqu’alors reconnue par les instances européennes, comme offrant un niveau de protection des données adéquat au regard de celui instauré dans l’UE.

Or la Cour de justice de l'Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield). Si selon le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), cette décision est spécifique aux Etats-Unis, de nombreux commentateurs ont pourtant transposé l’analyse au cas suisse et recommandent de revoir les opérations de traitement concernées.

Dès son entrée en vigueur, la RGPD s’est imposé comme un standard à échelle mondiale en matière de protection des données. Au point de pousser de nombreux Etats à se doter d’une législation similaire. Jusqu’ici, la Suisse n’avait pas fait mouvement mais désormais, voir la décision d’adéquation remise en cause la pousse à accélérer.

Le 25 septembre 2020, les Chambres fédérales ont entériné la révision de la LPD entamée le 15 septembre 2017 en parallèle des travaux de l’UE sur la rédaction de sa RGPD démarrés quelques mois plus tôt. Les ordonnances d’application n’ont pas encore été mises en application mais leur entrée en vigueur devrait intervenir dans les tous prochains mois.

De manière à garantir la compétitivité des entreprises suisses et permettre une libre circulation des données personnelles de la Suisse vers les pays membres de l’UE, la Confédération s’est donc donnée pour objectif de rapprocher suffisamment le texte de la LPD de celui de la RGPD pour s’assurer que la Commission européenne continuera à y voir un niveau de protection adéquat pour ses propres concitoyens dont les données viendraient à être traitées en Suisse. C’est donc à l’aune du RGPD que cette révision a eu lieu.

Quels sont les points principaux à retenir de cette révision de la LPD ?

La nouvelle loi s’appliquera non seulement aux entreprises suisses, mais également aux entreprises basées à l’étranger qui « déploient des effets en Suisse » (art. 3). De même que la RGPD impose la désignation d’un responsable du traitement des données dans les entreprises sises dans l’UE, une entreprise basée à l’étranger devra désigner un représentant en Suisse (art. 14).
Le responsable du traitement doit tenir un registre des fichiers (art. 12), reprenant en cela l’exigence d’inventaire posée par la RGPD.
Le responsable du traitement peut désigner un conseiller à la protection des données (Data Protection Officer), mais il n’y est pas obligé (art. 10). Le droit suisse se montre donc plus flexible que ne l’est la RGPD (art. 37 et 38) sur ce sujet.
Tout recours à un sous-traitant doit donner lieu à un contrat lié au traitement des données (art. 9), une situation similaire à l’art. 28 de la RGPD.
Le responsable du traitement doit procéder à une analyse d’impact relative à la protection des données personnelles lorsque le traitement envisagé suscite un risque élevé pour la personnalité ou les droits fondamentaux de la ou des personne(s) concernée(s) (art. 22), une situation comparable à celle de l’art. 35 de la RGPD.
Le responsable du traitement doit informer le Préposé fédéral de tout incident en matière de sécurité entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 24).
Les droits des individus dont les données sont traitées et qui doivent être mise en œuvre par les responsables de traitement sont désormais étendus, ce qui a trait aux devoirs de transparence et d’information du responsable du traitement (art. 19). Il est possible d’exiger la mise en œuvre d’une personne physique lors de toute décision automatisée reposant sur un traitement de données personnelles (art. 21), droit d’accès (art. 25-27), droit à la remise ou à la transmission des données personnelles (art. 28-29).
Le Préposé fédéral disposera de pouvoirs élargis pour mener une enquête et prononcer des sanctions, dont la suspension du traitement concerné et l’application d’une amende pouvant aller jusqu’à CHF 250’000 francs en cas de violation intentionnelle des obligations (art. 49-51, art. 60-63). La poursuite et le jugement des infractions incombent aux cantons (art. 65). De ce point de vue, le droit suisse va moins loin que la RGPD, dont la violation est passible de sanctions pouvant aller jusqu’à € 20 millions ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (art. 83).

In fine, pour les entreprises suisses qui avaient déjà entrepris une mise en conformité par rapport aux exigences de la RGPD, l’effort à fournir pour se conformer à la nouvelle mouture de la LPD sera négligeable. En revanche, pour tous ceux qui n’ont pas voulu considérer le nouveau cadre réglementaire européen en prétextant (souvent à tort) qu’il ne s’appliquait pas à eux, devront bel et bien s’y mettre maintenant que la LPD entérine la majorité des décisions de la RGPD.

Si ce n’est pas déjà fait, la conformité de vos traitements doit donc devenir une priorité.

Pour ceux qui ont déjà mis en œuvre la RGPD ou bien qui devraient être amenés à le faire parce qu’ils ont des interactions avec les consommateurs européens, comme pour ceux qui veulent anticiper les ordonnances d’application de la LPD, voici un excellent tableau comparatif établit par Swissprivacy.law.

Enfin, si vous avez une question sur la mise en conformité de votre site Web avec les directives de la LPD ou bien de la RGPD, les spécialistes de BeOnPerf se tiennent à votre disposition. N'hésitez pas à nous solliciter.

(Illustration: designed by freepik.com)