La nouvelle loi sur la protection des données
Au 1er septembre 2023, la nouvelle loi sur la protection des données entrera en vigueur.
Cinq ans après l’introduction du nouveau règlement général sur la protection des données (RGPD) par l’Union européenne, la Suisse suit avec la mise à jour de sa loi sur la protection des données (LPD).
La première LPD date de 1992. Le World Wide Web voyait alors à peine le jour et nous étions bien loin de la réalité d’aujourd’hui. A l’ère numérique, les défis liés à la protection des données personnelles se complexifient de jour en jour. La nouvelle loi sur la protection des données doit tenir compte des évolutions technologiques mais aussi sociales qui ont eu cours les 30 dernières années.
Qu’est-ce qui change concrètement ?
Le champ d’application de la loi ainsi que l’extension des données considérées comme sensibles subiront des modifications. En effet, la nouvelle LPD se limitera à la protection des données des personnes physiques. Les personnes morales ne se verront plus concernées comme c’est le cas actuellement. Quant à l’étendue des données dites « sensibles » les données génétiques et biométriques en feront désormais partie.
Et en ce qui concerne le traitement de ces données ?
Même si le nouveau texte de loi ne prévoit aucun changement en ce qui concerne les principes de traitement des données, plusieurs lignes de défense seront introduites de manière à mieux protéger ces données.
Tout d’abord, la loi exigera une transparence accrue en ce qui concerne la collecte de données. Cela ne concernera pas uniquement les données sensibles comme jusqu’à présent. Les entreprises devront informer les personnes concernées de toute collecte de données. Ceci même lorsque les données sont acquises à travers un tiers. L’identité et les coordonnées de la personne en charge du traitement tout comme la finalité de celui-ci, les destinataires ainsi que le nom de l’Etat destinataire (en cas d’exportation) devront être communiqués.
Les entreprises devront également tenir un registre des activités de traitement des données. Ce registre devra permettre une vue d’ensemble des traitements ainsi que de se faire une idée sur leur conformité.
Une analyse des risques encourus en cas de fuite de données doit également être établi. Ceci est le cas principalement lorsque les données collectées et leur traitement peuvent entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
En cas de problème, que se passe-t-il ?
Le Préposé Fédéral à la protection des données (PFPDT) n’a actuellement qu’un droit de recommandation face à l’entreprise. Si la situation n’évolue pas, il dépose plainte devant le Tribunal Administratif Fédéral pour non-respect de la LPD. Ce qui représente souvent de longues procédures. Actuellement, les infractions à la LPD sont passibles d’amendes mais celles-ci ne sont pratiquement jamais prononcées.
À la suite des modifications de la LPD, le PFPDT pourra prendre des décisions et exiger d’une entreprise l’adaptation d’un traitement de données par exemple. En cas de désaccord, l’entreprise pourra alors se tourner vers le Tribunal Administratif Fédéral.
Dès septembre, lorsqu’une personne aura enfreint la LDP, que ce soit par manquement au devoir d’information ou par utilisation des données en dehors du cadre prévu et communiqué, elle encourt une amende allant jusqu’à 250’000 CHF. Cette amende est appliquée non pas à l’entreprise concernée mais directement à la personne qui comment la faute.
La nouvelle loi prévoit également une obligation de notification en cas de violation de la sécurité des données récoltées. En cas de piratage, une entreprise devra le signaler au PFPDT. Les personnes dont les données ont été compromises devront également être informées dans le cas où cela s’avérerait nécessaire pour leur protection.
En conclusion
La protection des consommateurs et clients est globale et repose sur différents piliers. Même si l’utilisation des données continuera de ne nécessiter aucun consentement tant qu’elle respecte les principes de transparence, il n’empêche que le changement de la LPD représente un réel défi. Ce challenge est d’autant plus important pour les petites et moyennes structures qui devront pour la plupart mettre à jour leurs protocoles de protection des données. Il faut savoir qu’aucune période transitoire n’est envisagée lors de l’entrée en vigueur de cette nouvelle loi.
En tant que votre partenaire informatique, nous pouvons vous accompagner dans cette transition. Nous avons élaboré un plan sur plusieurs axes liés à la protection des données. Il est adaptable aux besoins identifiés dans votre entreprise et permet d’arriver rapidement à une conformité à la nouvelle LPD.
Si vous désirez en savoir plus, nous organisons un DFi Day sur la thématique. Durant cet événement, nous discuterons des subtilités de la nLPD avec des experts et répondrons à toutes vos questions sur le sujet. Contactez-nous pour plus d’informations !