La dernière loi suisse sur la protection des données avait été élaborée à une époque où l’utilisation d’Internet n’était pas encore répandue. Il était donc grand temps de procéder à une nouvelle édition: la nLPD entrera en vigueur au 1er septembre 2023. Dans cet article, nous vous informons de ce qui change pour votre entreprise et ce dont vous devrez tenir compte à l’avenir dans le traitement des données en provenance et à destination de la Suisse.
Quel est l’enjeu de la loi révisée sur la protection des données en 2023?
Avec la nouvelle loi sur la protection des données (nLPD), la Suisse se rapproche du niveau de protection des données de l’Union européenne. C’est l’une des principales raisons de la révision complète de la loi. Depuis que le RGPD est entré en vigueur dans l’UE en 2018, les dispositions en matière de protection des données y sont beaucoup plus strictes que celles qui s’appliquent aux données en provenance et à destination de la Suisse. Pour que l’UE continue à reconnaître la Suisse comme un pays tiers offrant un niveau de protection des données adéquat, la Suisse doit suivre le mouvement. En conséquence, la loi s’inspire du RGPD sur de nombreux points, à l’exception de quelques divergences.
Check-list: êtes-vous en conformité avec le RGPD? Votre évaluation en 30 questions pour garantir la conformité au RGPD de l’UE
Mais même sans le RGPD, il aurait été temps d’améliorer la protection des données pour les Suisses, car la loi actuelle date de 1992 – une époque antérieure aux smartphones, à Internet et à tous les transferts massifs de données personnelles qui y sont liés.
La nLPD (en anglais: nFADP, New Federal Act on Data Protection) a déjà été adoptée en 2020. C’est pourquoi elle entrera en vigueur au 1er septembre 2023, sans délai de mise en œuvre et les entreprises devront se conformer à la loi dès cette date.
Voici les changements à connaître en matière de protection des données en Suisse
Si vous appliquez déjà le Règlement Général sur la Protection des Données (RGPD) de l’UE, la nLPD n’apporte que peu de changements. Voici les huit principales nouveautés pour les entreprises suisses:
1. La nLPD concerne: les données de personnes physiques
La nLPD vise exclusivement à protéger les personnes physiques et la nouvelle loi suisse ne concerne dorénavant plus que les données des personnes morales.
Les droits des personnes physiques sont renforcés par la loi et les entreprises doivent veiller à ce que les personnes concernées aient facilement accès à leurs données et puissent les modifier et les supprimer si elles le souhaitent.
2. Données génétiques et biométriques
L’actuelle définition des données personnelles sensibles est étendue aux données génétiques et aux données biométriques.
3. «Privacy by Design» et «Privacy by Default»
Avec ces concepts, la Suisse reprend un principe du RGPD. Il s’agit non seulement de protéger les données, mais aussi d’en collecter le moins possible dès le départ.
Le principe «Privacy by Design» (protection des données dès la conception) signifie que les développeurs intègrent la protection des données des utilisateurs directement dans les produits qui collecteront des données.
La protection des données par défaut, le «Privacy by Default», signifie que chaque produit et service mis sur le marché doit être conçu de manière à protéger les données et la vie privée des utilisateurs.
4. Analyse d’impact
Cette exigence s’inspire également du RGPD. Les responsables de traitement doivent évaluer les conséquences avant même de traiter les données à caractère personnel («analyse d’impact relative à la protection des données», AIPD).
C’est le cas lorsqu’il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Il convient d’examiner ce que le traitement de données prévu implique pour la protection des données et comment les risques liés au traitement peuvent être minimisés.
5. Devoir d’informer consolidé
Jusqu’à présent, il était nécessaire d’informer la personne concernée uniquement si des données particulièrement sensibles étaient collectées.
Désormais, cette obligation d’information a été étendue et, en principe, chaque fois que des données à caractère personnel sont traitées, la personne concernée doit être informée à la fois du fait que les données sont collectées et des conséquences juridiques que cela peut avoir pour elle.
6. Registre des activités de traitement
À l’avenir, les responsables du traitement et les sous-traitants devront documenter toutes les activités de traitement. Un registre des activités de traitement devient donc obligatoire.
Une exception est faite pour les petites et moyennes entreprises, lorsque leur traitement de données ne présente qu’un risque limité d’atteinte à la personnalité des personnes concernées. Toutefois, la nLPD supprime l’obligation pour le détenteur de bases de données de les déclarer au préposé fédéral à la protection des données et à la transparence, ce qui était le cas jusqu’à présent.
7. Devoir d’annoncer les violations de la sécurité des données
À l’avenir, les violations de données devront être immédiatement signalées au préposé fédéral à la protection des données et à la transparence. Ici aussi, la loi révisée sur la protection des données s’inspire du RGPD. Toutefois, l’obligation de notification ne s’applique qu’aux incidents présentant un risque élevé pour la personne concernée, et il n’existe pas de délai précis dans lequel une violation de données doit être notifiée.
Important à savoir pour les entreprises: ce ne sont pas les sous-traitants qui doivent signaler les incidents, mais les responsables, c’est-à-dire généralement les entreprises en tant que donneurs d’ordre. Les sous-traitants sont uniquement tenus d’informer à leur tour les responsables.
8. La notion de «profilage»
On entend par «profilage» le traitement automatisé de données à caractère personnel. Une autorisation à cet égard n’est toujours pas nécessaire en principe. La nouveauté réside dans le fait que la nLPD introduit la notion de «profilage à haut risque».
Ainsi, lorsqu’un croisement de données permet d’évaluer des aspects essentiels de la personnalité d’une personne concernée, cette dernière doit donner son consentement préalable au traitement.
Les règles relatives à la transmission de données à l’étranger sont restées inchangées pour l’essentiel. Mais bien entendu, le nouveau règlement suisse sur la protection des données concerne également les entreprises à l’étranger ainsi que les entreprises suisses qui collaborent avec des entreprises étrangères.
Qui doit appliquer la nouvelle loi sur la protection des données?
Autre nouveauté: la loi révisée sur la protection des données s’applique aussi bien aux entreprises en Suisse qu’à l’étranger lorsqu’elles traitent des données de personnes en Suisse. Ainsi, les entreprises établies dans l’UE, mais qui traitent des données de personnes suisses, doivent également se conformer à la loi révisée sur la protection des données.
Il est également important de savoir que les entreprises ayant leur siège à l’étranger et traitant des données de personnes en Suisse doivent désigner un représentant en Suisse. Certaines règles s’appliquent à cet égard, en fonction du risque et de l’ampleur du traitement des données. Ici aussi, la nouvelle loi suisse sur la protection des données s’inspire du RGPD européen, qui exige également une représentation dans un État de l’UE.
Quelle est la différence entre le RGPD et la nLPD de la Suisse?
Pour l’essentiel, la nouvelle loi sur la protection des données de la Suisse s’inspire du RGPD de l’UE. Les différences sont de l’ordre du détail.
- Dans l’UE, les entreprises sont tenues de désigner un préposé à la protection des données; en Suisse, cela reste facultatif.
- La loi révisée sur la protection des données prévoit désormais que les personnes concernées puissent demander des informations sur les données qui ont été collectées et traitées à leur sujet; toutefois, il n’est pas précisé en détail quelles informations sont concernées.
- À l’avenir, il y aura également en Suisse une obligation de notification en cas de violation de données, mais sans délai précis.
- La nLPD est plus stricte que le RGPD lorsqu’il s’agit de transférer des données à l’étranger: tous les pays destinataires et les garanties éventuellement utilisées doivent être indiqués.
- Dans la LPD, le traitement des données est en principe autorisé; ce n’est pas le cas dans le RGPD. Toutefois, le traitement des données ne doit pas porter atteinte à la personnalité des personnes concernées.
Check-list: respectez-vous déjà le RGPD? Téléchargez maintenant la check-list et évaluez votre conformité au GDPR!
LPD révisée: incidence pour les entreprises
L’effort à fournir par les entreprises pour se conformer aux exigences de la nouvelle loi suisse sur la protection des données dépend de l’état actuel de la protection des données. Si une entreprise est déjà en conformité avec le RGPD, les efforts à fournir seront limités.
Cela vaut également pour les entreprises de l’UE qui opèrent en Suisse et qui étaient déjà soumises au RGPD. Dans tous les cas, il est néanmoins judicieux de procéder au moins à une auto-évaluation.
Le sujet de la protection des données est nouveau pour vous? Voici une petite introduction
En revanche, si une entreprise ne respecte pas encore le RGPD, il est urgent d’agir. Dans ce cas, commencez par regrouper tous les processus dans lesquels des données à caractère personnel sont collectées ou traitées.
Vous pourrez alors identifier où et quelles sont les tierces parties impliquées et quels sont les processus qui présentent le plus de risques. Ce n’est qu’alors qu’il sera judicieux de prendre des mesures et de mettre votre entreprise en conformité avec la nLPD.
Quels sont les risques en cas de violation de la nouvelle loi sur la protection des données?
Les violations du règlement général sur la protection des données de l’UE peuvent être sanctionnées d’une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.
En revanche, le Parlement suisse se montre plus réservé en cas d’infraction à la nLPD et les sanctions se limitent à des amendes jusqu’à 250 000 CHF. Toutefois, en Suisse, ce sont des personnes physiques qui sont sanctionnées, ce qui expose les responsables à un risque personnel très élevé. Cependant, si la personne responsable de l’infraction au sein de l’entreprise n’est pas clairement identifiée et qu’une amende de 50 000 CHF maximum est infligée, les entreprises peuvent également être condamnées à payer.
Comment les entreprises peuvent-elles garantir une communication interne conforme à la LPD?
Les transactions externes ne sont pas les seules à être concernées par la communication conforme au RGPD, les systèmes de communication internes à une entreprise sont également affectés par le RGPD. Pour garantir la protection des données tant internes qu’externes, vous devrez peut-être adapter la stratégie et le logiciel de communication de votre entreprise.
Dans la vie quotidienne, les collaborateurs recourent au moyen le plus simple pour communiquer en interne lorsqu’ils n’ont pas d’autre alternative. Il s’agit souvent de WhatsApp ou d’autres messageries. Pour les entreprises, c’est un point extrêmement critique, notamment lorsque des données personnelles sont échangées par ce biais. Lorsqu’il s’agit, par exemple, de la protection des données et de la communication entre les collaborateurs dans le secteur de la santé, les entreprises doivent être particulièrement prudentes. Prendre une photo avec un téléphone portable d’une radiographie ou partager rapidement des informations sur le patient de la chambre 3 – ce n’est pas rare dans les hôpitaux, mais cela peut être fatal pour la protection des données.
WhatsApp ne respecte pas la réglementation sur la protection des données
Les entreprises devraient interdire l’utilisation notamment de WhatsApp, ainsi que d’autres messageries privées, pour la communication interne de l’entreprise et proposer à la place une solution sûre et pratique.
Il ne s’agit pas seulement de la communication descendante des cadres envers leurs collaborateurs, mais aussi de la communication quotidienne entre les collaborateurs qui travaillent à distance, mais qui veulent ou doivent rester en contact les uns avec les autres.
Beekeeper respecte la législation sur la protection des données depuis 2018
Les produits et services de Beekeeper sont conformes au RGPD depuis 2018 et ont obtenu des certifications externes telles que ISO 27017 et 27018 depuis 2020, qui incluent des évaluations liées à la protection des données. Le site du gouvernement suisse précise:
«Les entreprises qui s’étaient déjà conformées au règlement général de l’UE sur la protection des données (RGPD) auront peu de changements à entreprendre.»
En se basant sur une auto-évaluation, il n’a été identifié aucun domaine actuellement où le cadre suisse de traitement des données de Beekeeper pour nos produits et services n’est pas respecté.
La solution de Beekeeper répond donc aux exigences en matière de sécurité des données également pour la communication interne de l’entreprise, et propose une alternative sûre à WhatsApp et autres messageries.
Pour les entreprises qui s’étaient déjà conformées au RGPD, la nLPD apporte peu de changement.
Avec la nLPD, la Suisse se rapproche des normes européennes en matière de protection des données. Cela est important pour la position économique de la Suisse afin de permettre la transmission transfrontalière des données à l’avenir.
Pour les entreprises et les organisations qui sont déjà en conformité avec le RGPD, il y a peu de changement. Ceux qui n’ont pas encore adopté cette réglementation devraient toutefois agir au plus vite.
Vérifiez dès maintenant votre conformité en matière de protection des données
Le RGPD de l’UE harmonise les règles relatives au traitement des données à caractère personnel par les entreprises privées et publiques. Grâce à notre évaluation en 30 questions, vérifiez si les exigences du RGPD sont déjà appliquées dans votre entreprise.