La loi révisée sur la protection des données (lien LPD) a été adoptée par le Parlement le 25 septembre 2020. Entre-temps, les dispositions d’exécution ont également été incorporées dans une nouvelle ordonnance sur la protection des données (lien OPD) et l’ordonnance sur les certifications en matière de protection des données (lien OCPD) a été remaniée.
Le nouveau droit suisse de la protection des données s’appuie sur le Règlement général européen sur la protection des données (RGPD), mais présente également des règles qui s’en écartent et qui vont plus loin. En principe, le concept de réglementation de la protection des données n’est pas modifié par la nouvelle LPD, ce qui signifie que les traitements de données qui étaient autorisés jusqu’à présent le sont également sous la nouvelle LPD. En outre, les principes de traitement – partiellement révisés – doivent être respectés (légalité, proportionnalité, principe de finalité, principe de transparence et d’information, principe d’exactitude des données, principe de sécurité des données).
Une attention particulière doit être accordée à la sécurité des données, c’est-à-dire à la protection des données personnelles en termes de confidentialité, d’intégrité, de disponibilité ainsi que de traçabilité du traitement. Le règlement révisé sur la protection des données définit à cet effet des exigences minimales (RGPD, art. 1 et suivants).
Les dispositions pénales ont été étendues par rapport à l’ancien droit, par exemple en cas de non-respect des exigences minimales en matière de sécurité des données, et peuvent désormais entraîner une responsabilité pénale personnelle des collaborateurs responsables et des organes (amende pouvant atteindre CHF 250 000.–, mais uniquement en cas d’intention et sur plainte).
Les points suivants pourraient nécessiter une action de la part des membres afin d’établir la conformité de l’entreprise avec la nouvelle LPD en termes de protection des données (liste de contrôle) :
- Établir un registre des traitements de données (obligatoire pour les entreprises de plus de 250 collaborateurs, éventuellement utile pour les autres entreprises);
- Vérifier les déclarations de protection des données par rapport aux nouvelles exigences, en particulier l’obligation d’information étendue, et les adapter si nécessaire;
- Identifier les traitements de données sur mandat (c’est-à-dire les traitements de données effectués par des tiers sur mandat) et vérifier qu’ils respectent les directives, en particulier s’assurer de la sécurité des données (y compris l’obligation d’annoncer en cas de violation de la sécurité des données). De plus, la transmission de données par le responsable du traitement sur mandat à un sous-traitant requiert désormais une autorisation préalable (ou la possibilité de s’y opposer);
- Établir des directives pour répondre aux demandes des personnes concernées (droits des personnes concernées) (demande de renseignements aux données traitées, demande de rectification et d’effacement des données ainsi que de remise et de transmission des données);
- Définir le processus pour remplir l’obligation d’annoncer en cas de violation de la sécurité des données[1]
- Vérifier le traitement des données pour l’examen de la solvabilité, en particulier les données traitées à cette occasion ne doivent pas dater de plus de 10 ans;
- Lors de transferts internationaux de données, si des données personnelles doivent être transmises dans des pays où la protection des données n’est pas adéquate (sont considérés comme tels, du point de vue suisse, tous les pays autres que les États de l’UE/EEE, l’Argentine, le Canada, Israël, la Nouvelle-Zélande et l’Uruguay), prendre des mesures qui garantissent une protection des données adéquate (par ex. conclusion de clauses contractuelles standard de l’UE, Binding Corporate Rules, etc.);
- Continuer à respecter l’obligation de « Privacy by Design », c’est-à-dire tenir compte de la protection des données et de la sécurité de l’information dans toutes les activités et, par exemple, lors du développement et de l’introduction de nouveaux produits qui entraînent un traitement des données, dès le début et en tant que partie intégrante de la culture d’entreprise, en fonction des risques, les vérifier ultérieurement et les améliorer le cas échéant.
Si vous avez des questions et avez besoin d’aide, n’hésitez pas à vous adresser à Stefan Flück, responsable du service juridique (stefan.flueck[at]suissedigital.ch, tél. 031 328 27 28).
[1] Une violation de la sécurité qui fait que des données personnelles sont perdues, effacées, détruites ou modifiées de manière accidentelle ou illicite ou qu’elles sont divulguées ou rendues accessibles à des personnes non autorisées (art. 5 let. h LPD).
Art. 24, al. 1 LPD : Le responsable signale au PFPDT, dans les meilleurs délais, toute violation de la sécurité des données susceptible d’engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
Art. 24, al. 4 LPD : Le responsable du traitement informe aussi la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.
En outre, l’obligation d’annoncer selon l’art. 96b OST (cf. M-Info du 06.12.2022 (lien)) ainsi que, dans un avenir proche, l’obligation d’annoncer les cyber incidents prévue par la loi sur la sécurité de l’information (LSI) doivent être prises en compte.