Loi sur la protection des données en Suisse (LPD) : quoi savoir

Le règlement général sur la protection des données (RGPD) est un enjeu stratégique pour toutes les entreprises européennes. En Suisse, les organisations doivent relever un défi encore plus grand : respecter les exigences du RGPD et d’une législation nationale, la loi sur la protection des données en Suisse (LPD). 

Après trois années de débat, la révision totale de la LPD a été adoptée par l’Assemblée fédérale en automne 2020. À l’origine planifiée pour le deuxième semestre 2022, l’application de la nouvelle législation suisse sur la protection des données (nLPD) devrait avoir lieu le 1er septembre 2023.

L’ordonnance relative à la loi sur la protection des données (OLPD) sera publiée dans le même temps, après consultation du Conseil fédéral. Avec cette nouvelle loi, les entreprises devront respecter des règles plus strictes.

Sommaire :

• Nouvelles directives nLPD suisse et champ d’application

• Les 10 principaux changements entre la LPD suisse et la nLPD

• Champ d’application de la nLPD suisse

• Comment être conforme à la nouvelle loi fédérale sur la protection des données personnelles en Suisse ?

• LPD suisse versus RGPD

• Les 3 points clés à retenir

Nouvelles directives nLPD suisse et champ d’application

Face à l’évolution technologique rapide, l’ancienne loi fédérale suisse sur la protection des données personnelles s’avère dépassée. La révision totale de la LPD permet d’adapter les directives aux enjeux technologiques et sociaux contemporains.

Avec le renforcement du texte de loi, la Suisse entend rapprocher la législation suisse des exigences du RGPD. Pour le pays, l’enjeu est de continuer à être reconnu comme un État tiers, ayant un niveau de protection suffisant pour procéder à des échanges de données.

Nécessaire, cette nouvelle loi améliore le traitement des données personnelles des citoyens suisses tout en leur accordant de nouveaux droits.

10 principaux changements entre la LPD suisse et la nLPD

La nLPD suisse introduit de nouvelles directives pour les entreprises :

1. La nouvelle loi fédérale couvre uniquement la protection des données à caractère personnel des individus ou personnes physiques. Elle ne s’applique plus aux données des personnes morales (associations, fondations, sociétés commerciales, etc.) 
   

2. La définition des données personnelles sensibles (appartenance syndicale, santé, opinions politiques, etc.) intègre les données génétiques et biométriques (empreintes digitales, ADN, etc.), lorsqu’elles donnent la possibilité de reconnaître une personne de manière univoque.

3. Deux nouveaux principes de protection des données sont inscrits dans la LPD suisse :
   Le premier, « Privacy by Design » ou protection des données dès la conception, oblige les entreprises à concevoir des applications permettant l’anonymisation ou l’effacement systématique des données, lorsqu’elles ne sont plus utilisées.
   

    

   Le second, « Privacy by Default » ou protection des données par défaut, améliore la sécurité des utilisateurs d’offres en ligne privées ne parcourant ni les conditions générales d’utilisation ni les informations sur le droit d’opposition. Seules les données essentielles les concernant peuvent être traitées. Une autorisation de traitement plus poussée devra être recueillie par l’entreprise pour exploiter les autres données. 

4. Un conseiller à la protection des données pourra être désigné par une entreprise privée. Il ne devra pas avoir de lien contractuel avec cette dernière. Les organes fédéraux se verront dans l’obligation d’en nommer un. Son rôle est de conseiller, former, concourir à l’élaboration, puis à l’application de conditions d’utilisation, dispositions en lien avec la protection des données personnelles. 

5. En présence d’un traitement de données susceptibles d’engendrer un risque notable pour les droits fondamentaux et de la personnalité des utilisateurs, la nouvelle LPD suisse impose la réalisation d’une analyse d’impact préalable.

6. L’obligation d’informer est renforcée. Dans un objectif de transparence, le responsable chargé du traitement privé des données devra informer la personne concernée de la collecte de l’ensemble de ses données personnelles, et non plus seulement de ses données sensibles. 

7. Il devient obligatoire de tenir un registre de l’ensemble des activités liées au traitement de données. Seules les PME de moins de 250 salariés pour lesquelles le traitement ne présente pas de risque élevé d’atteinte à la personnalité ou aux droits fondamentaux en sont exemptées.

8. En cas de violation de la sécurité des données, une annonce rapide doit être communiquée au Préposé fédéral à la protection des données et à la transparence (PFPDT).

9. Le concept de profilage est introduit dans la nouvelle loi. Elle se rapporte au traitement automatisé de données personnelles.

10. La nouvelle LPD suisse prévoit une amende maximale de 250 000 francs suisses en cas de non-respect intentionnel du devoir d’informer, de renseigner ou d’annoncer, et de violation du devoir de diligence ou de discrétion. 

Champ d’application de la nLPD suisse

La nouvelle loi fédérale sur la protection des données à caractère personnel vise à préserver la personnalité et les droits fondamentaux des individus résidant en Suisse. Elle encadre le traitement et évite l’utilisation abusive de leurs données par des sociétés privées ou par l’État. La sécurité des données des personnes morales n’est quant à elle plus assurée. 

La révision totale de la loi offre aux Suisses une plus grande transparence. Elle renforce leurs droits (accès, rectification, effacement, portabilité) sur leurs données personnelles. Au sein des entreprises, la nLPD encourage l’adoption de mesures de prévention. Avec ses nouvelles dispositions pénales et sa surveillance accrue, elle responsabilise les personnes chargées du traitement des données. 

La nouvelle LPD suisse s’applique à l’ensemble des entreprises, quelle que soit leur taille. Elle concerne aussi les acteurs économiques « qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger ».

Il peut s’agir de sociétés étrangères :

• Commercialement actives sur le marché suisse ; 

• Dont le traitement des données a un lien avec la Suisse. Par exemple, une photo prise en Suisse, puis publiée sur un site web étranger. 

Comment être conforme à la nouvelle loi fédérale sur la protection des données personnelles en Suisse ?

Pour se conformer à la nLPD, les entreprises suisses doivent engager dès maintenant des actions fortes en matière de protection des données personnelles : 

• Recenser les données personnelles, puis évaluer les risques pour déterminer les exigences de mise en conformité ;

• Vérifier et modifier, au besoin, les déclarations sur la protection des données sur les sites web, contenus publicitaires, dans les contrats, etc. ;

• Construire des procédures internes pour apporter des réponses rapides aux demandes des clients en lien avec leurs données ;

• Établir un registre de traitement des données ;

• Mettre en place un processus pour les analyses d’impact ;

• Examiner les contrats avec les sous-traitants. La sécurité des données est-elle garantie ? Est-il nécessaire d’ajouter des clauses ? 

• Nommer un conseiller à la protection des données dans l'entreprise.

Bon à savoir : la LPD suisse prévoit-elle un délai de transition pour se conformer aux nouvelles exigences ? 

Une part importante des directives de la nouvelle loi fédérale s’appliqueront dès son entrée en vigueur. Pour garantir une protection des données efficace dès le 1^er septembre 2023, il est essentiel d’anticiper au maximum l’identification des éventuelles mesures à prendre. 

LPD suisse versus RGPD

En Suisse, les entreprises doivent respecter deux législations en matière de protection des données : la nouvelle LPD et le RGPD. Découvrez le périmètre d’application du règlement européen dans le pays et les différences majeures entre les deux textes.

Le RGPD s’applique aux entreprises suisses dans plusieurs cas de figure. Le règlement doit être respecté pour tout traitement des données personnelles : 

• Effectué dans le cadre des activités d’une succursale ou filiale européenne d’une société suisse au sein de l’UE ;

• Réalisé par une société suisse en tant que sous-traitante d’une entreprise implantée dans l’Union européenne ;

• Visant à offrir des biens ou des services à des personnes concernées au sein de l’Union ;

• Relatif au suivi du comportement de résidents de l’UE.

Principales différences entre le RGPD et la LPD suisse sur la protection des données personnelles

Sur de nombreux points, la nLPD suisse se rapproche des directives du règlement européen sur la protection des données (RGPD). Toutefois, la nouvelle loi fédérale présente quelques particularités :

• Ses exigences sont globalement moins contraignantes ;

• Dans la nouvelle LPD suisse, désigner un conseiller à la protection des données est conseillé, mais non obligatoire. Le RGPD requiert, dans certains cas, un délégué à la protection des données (DPO) ;

• En cas de violation de données, le RGPD impose un délai de 72h pour avertir les autorités compétentes. La LPD révisée exige une annonce « dans les meilleurs délais » ;

• Le plafond en matière de sanction est plus élevé du côté du RGPD : 20 millions d’euros contre 250 000 francs pour la nouvelle loi suisse sur la protection des données. 

Avec Didomi, vous pouvez créer de la valeur grâce à la confiance, dans le monde entier. Faites du respect de la vie privée une expérience client unique. Avec notre solution de gestion du consentement et des préférences :

• Récoltez le consentement de vos clients en toute conformité ;

• Protégez votre réputation ;

• Démontrez votre transparence dans la collecte des données personnelles ;

• Suivez vos indicateurs de consentement ;

• Synchronisez les données personnelles entre les outils de CRM et d’automatisation marketing.

Vous souhaitez faire de la conformité RGPD/LPD suisse un avantage commercial ? Que vous soyez un éditeur, une banque, un e-commerçant, un acteur du tourisme, réservez une démo !

Les 3 points clés à retenir

• L’entrée en vigueur de la nouvelle loi fédérale de protection des données suisse est prévue le 1^er septembre 2023 ;

• La LPD suisse renforce la protection des données à caractère personnel des personnes physiques ;

• Malgré quelques spécificités, la nLPD s’inspire dans les grandes lignes du RGPD.