Les sanctions ont été renforcées dans la nouvelle LPD de 2023. Voici les principales informations:
- Modifications générales
- Nouvelles obligations pour les entreprises
- Les nouveaux droits pour les personnes concernées
Afin de vous offrir un aperçu rapide des nouveautés de la loi suisse sur la protection des données (LPD), nous abordons les points suivants en les illustrant par des exemples simples:
L’ancienne loi suisse sur la protection des données datait de 1992. Au cours des trente dernières années, le contexte technologique et social n’a cessé d’évoluer. L’UE a par ailleurs renforcé la protection des données avec son règlement général sur la protection des données (RGPD). Avec la révision totale de la loi suisse sur la protection des données, la loi a été adaptée à la situation actuelle et rendue compatible avec le droit de l’UE.
La nouvelle loi suisse sur la protection des données protège la personnalité et les droits fondamentaux des personnes (personnes physiques) lors du traitement de leurs données par des établissements privés ou des instances étatiques. Elle détermine en particulier de quelle manière les données sont traitées, comment les personnes concernées sont informées de ce traitement et comment elles peuvent influencer la manière dont leurs données sont traitées. La révision améliore notamment la transparence des traitements de données et renforce l’autodétermination des personnes concernées quant à leurs données. Le droit appelé droit à l’autodétermination informationnelle permet à chaque individu de décider lui-même de la communication et de l’utilisation de ses données personnelles. Cela signifie que chaque personne dispose d’un minimum de contrôle sur les informations collectées la concernant et sur leur traitement.
La nouvelle loi sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023. Comme aucun délai de transition légal n’était prévu, tous les droits et obligations se sont appliqués dès l’entrée en vigueur. Les dispositions d’exécution de la nouvelle ordonnance sur la protection des données (OPDo) ainsi que la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD) sont entrées en vigueur au même moment.
La nouvelle LPD concerne toutes les entreprises et organisations qui traitent des données personnelles. Selon la LPD, elles doivent par exemple assurer la sécurité des données au moyen de mesures techniques et organisationnelles appropriées, afin d’empêcher toute violation de la sécurité des données (p. ex. lors de cyberattaques). Ceci est d’autant plus important, sachant que le nombre de cyberattaques en Suisse augmente de manière exponentielle et reste élevé, comme le montrent les incidents signalés à l'Office fédéral de la cybersécurité. Ceci montre le niveau de menace auquel sont exposées les entreprises en Suisse.
La Baloise cyberassurance pour les PME offre à votre entreprise une couverture complète en cas de sinistre. Nous nous ferons un plaisir de vous conseiller de manière personnalisée. Vous pouvez également souscrire votre cyberassurance pour les PME directement en ligne, en quelques clics.
La révision de la LPD suisse repose sur le règlement général sur la protection des données (RGPD) de l’Union européenne, mais elle présente quelques particularités. Les principales modifications de la nouvelle LPD se répartissent en trois catégories distinctes: les modifications générales, les nouvelles obligations des entreprises et les nouveaux droits des personnes.
Modifications générales
La loi révisée concerne uniquement les données des personnes physiques. Les données des personnes morales – telles que celles d’une SA ou d’une Sàrl – ne sont pas soumises à la LPD.
La nouvelle loi sur la protection des données est plus étendue que la précédente et s’applique à des données personnelles supplémentaires considérées sensibles. En font partie, désormais, les données sur l’ethnie ainsi que les données génétiques et biométriques. Les données génétiques sont entre autres les informations sur le patrimoine génétique obtenues, par exemple, lors de tests génétiques. Les données biométriques peuvent être un scan d’empreinte digitale ou de la rétine. Les données concernant la santé, les opinions religieuses, idéologiques ou politiques, les poursuites pénales ou l’origine raciale ou ethnique restent des données personnelles sensibles, comme dans la LPD précédente.
La nouvelle loi s’applique en premier lieu aux entreprises et organisations en Suisse. Mais elle s’applique également lorsque les données personnelles sont traitées à l’étranger et que ce traitement de données à des effets en Suisse. Elle concerne en outre les entreprises à l’étranger qui proposent des services en Suisse. Ces entreprises doivent alors nommer un représentant en Suisse.
La LPD régit désormais également le profilage. La loi fait la distinction entre le profilage, d’une part, et le profilage à risque élevé, d’autre part.
- Le profilage est tout type de traitement automatisé des données personnelles dans le but d’associer certains aspects personnels d’un individu, telles que sa situation économique, sa santé, ses centres d’intérêt, son comportement, l’endroit où il se trouve, etc. C’est le cas, par exemple, des boutiques en ligne qui analysent automatiquement les habitudes de navigation des utilisatrices et utilisateurs pour leur recommander des produits à acheter qui leur correspondent.
- Le profilage est à risque élevé lorsque des données personnelles sont traitées automatiquement et que l’association de ces données permet d’évaluer des aspects importants de la personnalité – par exemple, lorsque l’exploitant d’une boutique en ligne analyse l’ensemble des préférences de ses clientes et clients et qu’il peut en déduire des informations sur leur état de santé. Ceci peut représenter un risque élevé pour la personnalité de sa clientèle.
Contrairement au RGPD de l’Union européenne, la nouvelle LPD n’impose pas que les personnes concernées donnent leur consentement pour le profilage.
Nouvelles obligations pour les entreprises
Dès lors que des entreprises prévoient de traiter des données personnelles, elles sont tenues de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer le respect des principes du traitement de données (Privacy by Design). Ces mesures sont, par exemple, la suppression régulière des données ou leur anonymisation standardisée.
Les entreprises doivent en outre sélectionner des paramètres prédéfinis pour les fins visées (Privacy by Default). Cela signifie que les données personnelles ne peuvent être traitées que de manière limitée ou pour la fin indiquée. Il n’est donc pas possible de collecter des données à titre de réserve. Les clientes et clients de boutiques en ligne ne devraient pas avoir à communiquer, en plus de leurs nom et adresse, des informations qui permettraient d’en déduire leurs préférences personnelles.
Les entreprises doivent tenir un registre pour y documenter tous les traitements de données. Les entreprises employant moins de 250 personnes ne sont pas concernées par cette règle, à condition qu’elles ne traitent pas à grande échelle des données personnelles sensibles et ne procèdent pas à un profilage à risque élevé.
Une violation de la sécurité des données est susceptible de créer un risque élevé pour les droits de la personnalité et le droit fondamental des personnes concernées. Les entreprises doivent immédiatement signaler une violation de ce type aux préposés fédéraux à la protection des données et à la transparence (PFPDT). Elles doivent également en informer les personnes concernées si cela est nécessaire pour les protéger ou si le PFPDT l’exige. Il y a violation de la sécurité des données par exemple lorsque des données sont volées ou piratées ou lorsqu’elles sont communiquées ou rendues accessibles à des personnes non autorisées dans l’entreprise.
Le devoir d’informer a été considérablement étendu par rapport à l’ancienne LPD. Les entreprises qui collectent des données personnelles sont tenues de l’indiquer. Les personnes concernées doivent recevoir toutes les informations pertinentes leur permettant d’exercer les droits que leur donne la LPD et garantissant un traitement des données transparent. Toutefois, la LPD ne définit pas comment les entreprises doivent procéder, mais uniquement quelles informations elles doivent mettre à disposition, à savoir:
- L’identité et les coordonnées de la personne responsable du traitement de données
- La finalité du traitement
- Le destinataire, le pays du destinataire et, le cas échéant, les garanties de protection des données lorsque les données personnelles sont transmises à l’étranger
Ce dernier point est important si les entreprises vendent, par exemple, des produits de leurs boutiques en ligne via Amazon.
Les entreprises peuvent procéder à une analyse d’impact relative à la protection des données pour identifier et évaluer les risques en matière de protection des données. Une analyse de ce type est obligatoire si le traitement des données est susceptible de conduire à un risque élevé pour les droits de la personnalité et le droit fondamental des personnes concernées. Exemples de traitements de données «délicats»:
- Traitement de données personnelles sensibles telles que des données sur la santé
- Surveillance étendue et systématique de domaines publiques, comme la surveillance d’un hall de gare
Plus le traitement des données personnelles sensibles est poussé, plus les données sont sensibles, plus la finalité du traitement est étendue et plus la probabilité de risque est importante. Les entreprises doivent procéder à l’analyse d’impact relative à la protection des données avant de traiter effectivement les données. Elles doivent en outre documenter cette analyse.
Nouveaux droits pour les personnes concernées
Une personne est désormais en droit d’exiger que les services responsables du traitement de données lui communiquent ses données dans un format électronique courant ou qu’ils les transmettent à un autre prestataire. Par exemple, un patient qui déménage peut exiger que son ancien médecin de famille transmette son dossier médical à son nouveau médecin de famille. L’ancien médecin de famille ne peut facturer aucun frais au patient pour cette tâche.
Les personnes sont en droit de s’opposer à une décision individuelle automatisée. Elles peuvent en outre exiger que la décision soit examinée par un humain. C’est le cas, par exemple, lors d’un octroi de crédit: une banque ne peut pas rejeter une demande de crédit simplement parce que le refus a été recommandé par un algorithme s’appuyant sur des valeurs de scoring spécifiques. La personne demandant le crédit a le droit de faire examiner la recommandation de l’algorithme par un professionnel. Ce n’est qu’après cet examen que la banque peut accepter ou rejeter la demande de crédit.
Les entreprises qui enfreignent la nouvelle loi sur la protection des données sont passibles d’amendes pouvant aller jusqu’à CHF 250’000. Cependant, ce ne sont pas les entreprises qui sont punies, mais les personnes physiques responsables du dommage. Cette règle est différente du RGPD, qui condamne les entreprises fautives – et d’ailleurs avec des amendes beaucoup plus élevées.
Depuis 1992, année où la première loi sur la protection des données est entrée en vigueur en Suisse, toujours plus de données ont été collectées et exploitées dans le cadre de la numérisation. De plus, la protection des données a été développée, notamment dans l’Union européenne avec le RGPD, entré en vigueur le 25 mai 2018. La Suisse a dû par conséquent adapter son ancienne loi à la nouvelle situation pour renforcer la protection des données. La nouvelle loi se base sur:
- les nouveaux comportements des consommateurs (p. ex. achats en ligne, réseaux sociaux)
- les évolutions technologiques (p. ex. big data, cloud computing)
- les normes internationales telles que le RGPD
Selon le RGPD, les données provenant de l’UE ne peuvent être envoyées que dans des pays assurant une protection des données appropriée. L’économie suisse étant étroitement liée à l’Espace économique européen, il est essentiel de disposer d’une protection des données «reconnue» par l’UE pour que les données puissent continuer à circuler sans problème. Selon le Conseil fédéral, la nouvelle loi sur la protection des données assure la compatibilité avec le droit européen.