Nouvelle loi sur la protection des données
La révision totale de la LPD (nLPD) a été approuvée par le Parlement le 25 septembre 2020. En vue de son entrée en vigueur, l'ordonnance relative à la loi sur la protection des données (OLPD) doit encore être adaptée. Elle est actuellement soumise à une procédure de consultation qui court jusqu’au 14 octobre 2021.
Situation initiale
L’actuelle loi fédérale sur la protection des données (LPD) a été adoptée en 1992. Elle est maintenant considérée comme dépassée, particulièrement en raison de l’évolution technique et sociale rapide.
L'entrée en vigueur du nouveau règlement général de l'UE sur la protection des données (RGPD) en 2018 a exercé une pression supplémentaire sur la LPD. Le RGPD s'applique à l'ensemble de l'espace économique européen (EEE).
La révision de la LPD est nécessaire afin que la Suisse continue d’être reconnue comme un pays tiers disposant d’un niveau de protection des données adéquat du point de vue du RGPD et que le transfert de données hors des frontières reste possible et relativement peu compliqué.
La révision totale de la LPD (nLPD) a été approuvée par le Parlement le 25 septembre 2020. En vue de son entrée en vigueur, l'ordonnance relative à la loi sur la protection des données (OLPD) doit encore être adaptée. Elle est actuellement soumise à une procédure de consultation qui court jusqu’au 14 octobre 2021. La nLPD ainsi que les dispositions modifiées de l’OLPD devraient entrer en vigueur au second semestre 2022.
Les grandes lignes de la révision
La nLPD vise principalement à améliorer la transparence du traitement des données et à renforcer l’autodétermination des personnes concernées sur leurs données. Les aspects suivants sont essentiels à cet égard :
- Augmenter la transparence et renforcer les droits des personnes concernées
- Promotion de la prévention et de la responsabilité des personnes traitant les données
- Renforcer la surveillance en matière de protection des données (par le préposé fédéral à la protection des données et à la transparence PFPDT)
- Renforcer les dispositions pénales avec des conséquences pour les collaborateurs responsables
- Extension des obligations de gouvernance
Informations détaillées sur des nouveautés sélectionnées
Vous trouverez ci-dessous une liste des innovations significatives sélectionnées par rapport à la LPD actuelle :
Plus de protection des données des personnes morales
À l’avenir, seules les personnes physiques seront protégées par la nLPD, analogue à RGPD de l’UE. Les personnes morales doivent se référer au droit des entreprises ou d’autres dispositions juridiques.
Droits étendus pour les personnes concernées
Les personnes concernées doivent être informées de la collecte de leurs données. Les informations doivent au moins contenir les coordonnées des personnes responsables, le but du traitement et, le cas échéant, les destinataires des données personnelles. Ces informations peuvent être fournies, par exemple, dans une déclaration de confidentialité.
Les personnes concernées ont également droit à toutes les informations nécessaires pour faires valeur leurs droits selon la nLPD. Cela comprend, outre les informations requises susmentionnées, des informations sur les données à caractère personnel traitées en tant que telles ainsi que la durée de conservation, plus particulièrement les critères de détermination de la durée de conservation des données personnelles.
Sanctions plus sévères
En ce qui concerne les sanctions, la nLPD renforce considérablement les mesures. Les amendes pour les violations du devoir d'information, de l’obligation de renseigner et de l’obligation de diligence, ainsi que du secret professionnel, ou pour le non-respect des ordonnances du PFPDT peuvent désormais atteindre 250 000 francs suisses (contre un maximum de 10 000 francs suisses auparavant)
Contrairement au RGPD de l’UE, qui vie uniquement les entreprises ou les organisations, les sanctions en Suisse sont directement dirigées contre la personne physique responsable. Il est crucial que les responsabilités et les processus soient définis de manière contraignante afin d'éviter les sanctions.
Nouveaux devoirs de gouvernance
Les responsables du traitement des données ainsi que les sous-traitants, qui traitent les données pour le compte des responsables du traitement, sont désormais tenus de tenir un registre des activités de traitement des données. Les exceptions pour les petites entreprises (moins de 250 employés) sont réglées dans l'ordonnance.
De plus, les responsables doivent mener une analyse d’impact sur la protection des données lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées.
De surcroit, les responsables sont tenus de notifier le PFPDT si une violation de la protection des données présentant un risque élevé pour les droits de la personnalité ou des droits fondamentaux a eu lieu.
Recommandations
La nLPD a été adoptée et l’on sait maintenant quelles dispositions s’appliqueront aux entreprise en Suisse lors du traitement des données. Bien que la date exacte de l’entrée en vigueur de la loi ne soit pas encore fixée, nous recommandons de commencer à mettre en œuvre les nouvelles dispositions. En particulier les points suivant :
- La mise en œuvre des devoirs de gouvernance,
- La définition et la documentation des responsabilités et des processus,
- Le respect des obligations d'information étendues et l’adaptation des déclarations de protection des données, et
- L’élaboration de processus pour les demandes d'information et les obligations de déclaration.
Auteur:
écoutez le blog:
Prof. Dr.
Ursula
Sury
Vizedirektorin Hochschule Luzern, Professorin für Informatikrecht, Datenschutzrecht und Urheberrecht
Vizedirektorin Hochschule Luzern, Professorin für Informatikrecht, Datenschutzrecht und Urheberrecht
Souscrire au Blog
Vous ne voulez pas manquer d'articles de blog ? Abonnez-vous à notre blog ici.