retour

Nouvelle loi suisse sur la protection des données : l’essentiel pour les entreprises

La nouvelle loi suisse sur la protection des données (LPD) sera effective le 1er septembre 2023, apportant des changements importants pour votre entreprise. Des règles plus strictes exigent une plus grande attention à la protection des données personnelles. Nous recommandons d'examiner et d'adapter vos pratiques actuelles si nécessaire.

Dextra protection juridique nouvelle loi sur la protection des données suisse illustration
Dennis Wallace
Publié le 20 juil. 2023

Pourquoi la loi est-elle renforcée?

La loi suisse sur la protection des données n'a été que très peu modifiée depuis son entrée en vigueur en 1992 et était jusqu'à présent moins stricte que le règlement général sur la protection des données (RGPD) de l'Union européenne (UE). Toutefois, ces dernières années, les technologies de l'information et le traitement des données ont connu une évolution rapide. La LPD ne répond donc plus aux exigences actuelles d'une protection des données appropriée. Une révision complète de la LPD était alors nécessaire afin de renforcer la protection des données en Suisse, de l'adapter aux normes européennes et de permettre ainsi l'échange de données entre les entreprises en Suisse et dans l'UE.

Qu'est-ce qui change ?

Vous trouverez ci-dessous quelques-unes des principales modifications et nouveautés :

  • Extension des obligations d'information : Lors de chaque collecte de données personnelles, les personnes concernées doivent être informées au préalable de manière détaillée. Cette information doit comprendre le but du traitement (p. ex. prestation de services, marketing, analyse statistique), le responsable au sein de l'entreprise et les éventuelles catégories de destinataires des données personnelles (p. ex. prestataires de services informatiques, fournisseurs d'hébergement, conseillers). Si les données sont divulguées à l'étranger, il est également nécessaire de fournir des informations sur le pays destinataire ainsi que des garanties pour la protection de ces données.
  • Champ d'application : désormais, seules les données des personnes physiques sont concernées, les données des personnes juridiques ne bénéficiant d'aucune protection particulière. La nouvelle loi s'applique en outre non seulement aux entreprises privées, mais aussi aux autorités, aux personnes privées, aux associations et à tous ceux qui traitent ou enregistrent des données personnelles.
  • Renforcement des sanctions en cas d'infraction à la LPD : les entreprises ou les employés qui enfreignent la LPD peuvent être sanctionnés par des amendes allant jusqu'à CHF 250'000. Les infractions comprennent par exemple la violation intentionnelle des obligations d'information, de renseignement ou de diligence.
  • "Privacy by Design" est introduit : "Privacy by Design" est un principe qui stipule que la protection de la vie privée doit être intégrée dans le processus de développement des technologies et des systèmes. Cela implique la prise en compte de mesures techniques de protection des données dès le début, afin de garantir que les données personnelles soient protégées de manière adéquate.
  • Le principe "Privacy by Default" est introduit : "Privacy by Default" est un principe qui stipule que des réglages et des préréglages favorables à la protection des données doivent être appliqués par défaut afin de protéger la vie privée des utilisateurs. Les utilisateurs doivent ainsi pouvoir décider eux-mêmes s'ils veulent accepter un traitement de données non nécessaire.
  • Introduction de l'obligation de réaliser des analyses d'impact relative à la protection des données (AIPD) : Pour certains types de traitement de données, une AIPD doit être effectuée afin d'évaluer les risques pour les droits et libertés des personnes concernées. En cas de risques élevés, une consultation obligatoire du Préposé fédéral à la protection des données et à la transparence (PFPDT) est également prévue.
  • Un registre des activités de traitement devient obligatoire : les responsables de la protection des données doivent désormais tenir un registre de leurs activités de traitement des données. Les informations qui y figurent doivent être à jour, précises et conformes aux exigences minimales prévues par la loi. Des exceptions sont prévues pour les entreprises qui emploient moins de 250 personnes et dont le traitement des données présente peu de risques.

Que devraient faire les entreprises maintenant ?

Les entreprises devraient se pencher sur les nouvelles exigences de la loi suisse sur la protection des données (LPD) afin de maîtriser les nouveaux défis de la LPD et de se protéger contre les risques juridiques, financiers et de réputation liés à une violation de la LPD. Voici quelques conseils pour les entreprises :

  • Vérifiez votre déclaration de protection des données : votre déclaration de protection des données doit répondre aux nouvelles exigences de la LPD. Cela implique entre autres que vous informiez les personnes concernées de manière complète et compréhensible sur le traitement des données. Cette déclaration de protection des données devrait être facilement accessible sur votre site web ou être envoyée aux clients sous une autre forme.
  • Créez un répertoire de toutes les données personnelles que vous traitez : Vous devez établir un registre de toutes les données personnelles que vous traitez. Ce registre doit contenir des informations sur le type de données, les finalités du traitement, la durée de conservation et les destinataires des données.
  • Prenez les mesures techniques et organisationnelles appropriées pour protéger vos données et celles de vos clients : Vous devez prendre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte ou la destruction. Il s'agit par exemple de l'utilisation de la protection par mot de passe, de pare-feu (firewall) et du cryptage des données.
  • Formez votre personnel à la protection des données : vous devez former votre personnel à la protection des données. Cela devrait les aider à se conformer aux règles de protection des données et à protéger les données des personnes concernées.
  • Engagez un délégué à la protection des données : si vous avez plus de 250 collaborateurs ou si vous traitez régulièrement des données personnelles de plus de 10'000 personnes, il est avantageux de nommer un délégué à la protection des données (DPO). Un DPO garantit le respect de la LPD dans votre entreprise et apporte d'autres avantages, mais il est facultatif.
  • Annoncez les violations de la sécurité des données : En cas de violation de la sécurité des données entraînant probablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, une notification rapide au Préposé fédéral à la protection des données et à la transparence (PFPDT) ainsi qu'à la personne concernée est obligatoire.
  • Faites-vous conseiller par un expert en protection des données : Si vous n'êtes pas sûr de répondre aux nouvelles exigences de la LPD, vous devriez demander conseil à un expert en protection des données.

Conclusion

La nouvelle loi suisse sur la protection des données est un pas important vers le renforcement de la protection des données en Suisse. Les entreprises sont tenues de mettre en œuvre les dispositions légales et de prendre les mesures nécessaires en matière de protection des données. Cela peut représenter une charge de travail importante pour de nombreuses entreprises, en particulier pour celles qui ne se sont que peu penchées sur le sujet jusqu'à présent. Pour se protéger contre les risques liés à une violation de la LPD, il est recommandé de chercher un soutien technique et juridique pour la mise en œuvre de la LPD et de se prémunir ainsi contre les risques éventuels.

Questions & Réponses

Chaque entreprise doit-elle désigner ou engager un délégué à la protection des données ?

Non, la nomination d'un délégué à la protection des données est facultative, mais peut s'avérer utile. Si des délégués à la protection des données internes ou externes sont nommés et consultés, il n'est par exemple pas nécessaire de consulter obligatoirement le Préposé fédéral à la protection des données et à la transparence (PFPDT) pour les évaluations de suivi en cas de risques élevés.

Toutes les entreprises en Suisse doivent-elles maintenant introduire une bannière de cookies ?

Non, la directive du RGPD de l'UE n'est pas reprise en Suisse. Si votre entreprise est soumise exclusivement à la loi suisse sur la protection des données, vous n'êtes pas obligé d'utiliser une bannière de cookies sur votre site web.

A partir de quand la nouvelle loi sur la protection des données sera-t-elle applicable en Suisse ?

La nouvelle loi suisse sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023. Il n'y a pas de délai de transition pour la mise en œuvre des exigences.

Quel est le coût de cette révision pour les entreprises ?

Cela dépend de l'activité commerciale, de l'orientation géographique et des mesures prises jusqu'à présent en matière de protection des données. Les entreprises qui ne sont actives qu'en Suisse et qui n'ont encore rien entrepris devraient se prémunir sans tarder et procéder aux adaptations nécessaires. Les entreprises qui ont déjà mis en œuvre les dispositions du RGPD remplissent déjà la plupart des conditions.

Qui est responsable du respect de la loi sur la protection des données ?

Bien que les différentes obligations soient imposées aux entreprises, les personnes dirigeantes portent la responsabilité des infractions aux dispositions pénales au sein de l'entreprise.

Dextra unternehmen rechtsschutz übersicht mitarbeitende im office vor laptop
Pas encore de protection juridique ?

Cliquez ici pour accéder à nos assurances pour les entreprises

Questions?

Contactez-nous maintenant

Infos & Documents

Documents, modèles & infos

Working@Dextra

Rejoignez Dextra