La nouvelle loi sur la protection des données (nLPD) en Suisse est une révision totale de la loi fédérale sur la protection des données (LPD) datant de 1992. Approuvée par le parlement en septembre 2020, elle entrera en vigueur en septembre 2023. Objectif : mieux protéger les données personnelles des citoyens, en améliorant leur traitement et en encadrant les pratiques des entreprises. Les directions marketing et commerciales des entreprises suisses doivent dès à présent revoir leur gestion des données personnelles pour se mettre en conformité avant la mise en vigueur de la loi.
Une révision de loi attendue
La dernière loi fédérale suisse sur la protection des données date de 1992. Depuis, les pratiques ont beaucoup évolué et la protection des données personnelles est devenue un sujet prégnant, tant dans le quotidien de la population suisse que pour les entreprises. Bien que des remaniements partiels de la loi aient été opérés en 2009 et en 2019, l’attente des citoyens quant à l’encadrement de leurs données s’est intensifiée au gré des évolutions technologiques et sociales. À tel point qu’une révision complète était devenue plus que nécessaire.
L’enjeu majeur de cette nouvelle loi est la compatibilité du droit suisse avec le droit européen, et notamment le Règlement européen sur la protection des données (RGPD). La nLPD devrait permettre de maintenir la libre circulation des données avec l’Union européenne (UE) afin d’éviter une perte de compétitivité des entreprises suisses.
Quels sont les changements prévus ?
Au programme de la nLPD : huit évolutions majeures pour les entreprises, qui vont au global dans le sens d’un renforcement de la législation préexistante.
- 1. Les données des personnes morales ne sont plus couvertes, seules les personnes physiques sont prises en compte.
- 2. Les données génétiques et biométriques entrent dans la définition des données sensibles.
- 3. Les notions de « Privacy by Design » (protection des données dès la conception) et de « Privacy by Default » (protection des données par défaut) sont introduites dans la loi.
- 4. En cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, des analyses d’impacts doivent être menées.
- 5. Le devoir d’information est étendu à la collecte de toutes les données personnelles (et non plus restreint aux données sensibles).
- 6. La tenue d’un registre des activités de traitement devient obligatoire (les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées sont exemptées).
- 7. Une annonce adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être faite en cas de violation de la sécurité des données.
- 8. Le principe de profilage (comprenez le traitement automatisé de données personnelles) fait son apparition.
Quelles sanctions en cas de non-respect ?
Pour l’heure, aucune période transitoire n’est prévue. Dès son entrée en vigueur, le 1er septembre 2023, il conviendra donc de se conformer à la loi. À défaut, le PFPDT sera en droit d’ouvrir une enquête et d’appliquer des mesures strictes (modifications ou interruptions du traitement des données, etc.).
Dans un second temps, la nLPD prévoit d’ouvrir aux citoyens des recours en cas de violation de leurs données. Dans les cas les plus déraisonnables, une amende pourra être infligée aux entreprises non-conformes.
La nouvelle loi sur la protection des données (nLPD) promet donc de recadrer les pratiques des entreprises suisses en matière de gestion et traitement des données, ainsi que celles de l’ensemble de leurs sous-traitants et cotraitants qui gèrent des données suisses. Le compte à rebours est lancé pour se mettre en conformité avant son entrée en vigueur !