Nouvelle loi sur la protection des données en suisse
La nouvelle loi de protection des données en suisse rentrera en vigueur courant 2023.
A quoi devons-nous nous attendre et quelles sont les différences avec le RGPD déjà présent pour les entreprises qui proposent des services à destination des pays de l’UE?
Swiss Lemon vous éclaire sur la nouvelle loi sur la protection des données (LPD).
LPD et RGPD, ces lois qui protègent nos données personnelles
Nous parlons souvent de la protection de nos données personnelles sur internet. Mais c’est quoi exactement les données personnelles ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable » : nom, prénom, téléphone, image mais aussi localisation, âge ou encore les goûts et les habitudes.
Toutes les traces que vous laissez de vous sur le web, en rentrant des informations, en naviguant, en vous inscrivant sur certains sites…
Commençons par le connu : RGPD.
Le sigle RGPD signifie : « Règlement Général sur la Protection des Données ». Le RGPD encadre le traitement des données personnelles dans l’Union Européenne.
Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Par exemple : une société établie en Suisse, proposant des services sur son site, en français, et livrant des produits ou services en France, se doit de respecter le RGPD.
En Suisse, nous sommes protégés par la LPD depuis 1993.
La nouvelle loi fédérale sur la protection des données (LPD), arrive bientôt. Elle contient les règles intersectorielles à respecter de manière générale lors du traitement de données personnelles, remises à jour.
La LPD définit les principes et prescriptions fondamentaux en vue de garantir le traitement légal des données personnelles :
- Principe de transparence :tout traitement des données doit avoir lieu de manière transparente.
- Principe de finalité :les données recueillies ne doivent être utilisées qu’à des fins évidentes pour la personne concernée ; les données ne doivent être recueillies, conservées, divulguées et traitées que dans la mesure où ces fins l’exigent.
- Consentement au traitement des données :lorsque le traitement des données requiert le consentement de la personne concernée, comme par ex. dans le cadre de la recherche sur l’être humain, ce consentement ne sera légalement valable qu’à condition d’avoir été donné librement, sur la base d’informations appropriées, et de manière explicite s’il s’agit de données particulièrement sensibles.
- Droit de révocation : le consentement au traitement des données peut à tout moment être révoqué par la personne concernée.
- Sécurité des données : les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées.
- Droit d’accès : toute personne est en droit de demander au titulaire d’une collecte de données, des informations sur le traitement des données la concernant.
- Obligation d’information : le titulaire d’une collecte de données est obligé d’informer la personne concernée sur l’acquisition de données personnelles particulièrement sensibles. Cette obligation d’information vaut également pour des données collectées par des tiers.
- Divulgation transfrontalière :les données personnelles ne doivent pas être divulguées à l’étranger si cela devait entraîner un risque sérieux pour les droits de la personnalité des personnes concernées.
Quels sont les objectifs de la nouvelle LPD ?
La loi suisse sur la protection des données, qui existe depuis près de 30 ans, est aujourd’hui dépassée. Le paysage technologique et sociétal a bien changé, et cette loi ne permet plus de protéger efficacement les personnes.
De plus l’essor du numérique rend sa révision nécessaire. Elle doit en outre être adaptée au Règlement européen sur la protection des données (RGPD). La Suisse faisant partie de l’accord Schengen, elle doit suivre les dispositions légales de la directive (UE) 2016/680. Cette dernière, concernant la protection des personnes physiques à l’égard du traitement des données personnelles à des fins pénales, est en effet un « développement de l’acquis de Schengen ».
Pour pouvoir traiter les données personnelles de ressortissants européen, la Confédération doit fournir un niveau de protection équivalent au niveau imposé par l’UE.
Harmoniser la LPD permet de veiller à ce que la Suisse soit reconnue comme un État tiers ayant un niveau de protection suffisant, afin qu’un échange aisé des données entre la Suisse et l’UE reste possible à l’avenir.
Nouvelle LPD, bientôt appliquée
La LPD révisée était annoncée pour le 2ème semestre 2022.
L’Office Fédéral de la Justice vient d’annoncer un possible retard, qui pousserait cette date au 1er septembre 2023.
Compte tenu du fait qu’aucun délai de transition n’y est prévu, toute entreprise doit vérifier à temps sa conformité avec la nouvelle législation et en connaître les conséquences.
