Tik-tak tik-tak, l’horloge tourne !  

La loi doit entrer en vigueur le 1er septembre 2023, soit dans environ huit mois, et aucun délai de grâce n’ayant été prévu, son entrée en vigueur opérera dès le premier jour. Il est donc conseillé d’être ponctuel comme une montre suisse, et si vous n’avez pas déjà commencé à vous préparer, vous feriez mieux de commencer à y penser maintenant !  

  Qui sera impacté ?  

  La nLPD vise à protéger la vie privée des personnes physiques au sujet desquelles des données à caractère personnel sont traitées. Cela signifie que les données des personnes morales, telles que les organisations commerciales, les associations et les fondations, ne sont plus incluses dans la nouvelle loi et, sur ce point, le champ d’application de la législation révisée coïncide avec celui du RGPD.  

Il convient de noter que les entreprises peuvent continuer à invoquer la protection de la vie privée prévue à l’art. 28 du Code civil suisse, la protection du secret de fabrication et du commerce telle que définie à l’art. 162.  

La LPD est-elle plus stricte que le RGPD ?  

À certains égards, la LPD peut s’avérer fixer un niveau d’obligations plus élevé envers son public cible que son homologue européen. Cela prend notamment la forme d’obligations d’information supplémentaires et de documents à rédiger. Nous pensons par exemple au « Bearbeitungsreglement » ou « règles de traitement » requis par l’article 5 de la loi.  

  Un autre exemple est la possibilité pour la personne concernée de recevoir un « Bestreitungsvermerk » qui est une notice de litige, reconnaissant un désaccord avec le responsable de traitement sur la façon dont ses données ont été traitées. Cette prérogative de la personne concernée a été conçue comme un moyen pour elle de s’assurer la preuve de l’existence de ce conflit et donc, de son mécontentement et du fait qu’il avait exprimé celui-ci.  

  Notre conseil ? Assurez-vous d’examiner votre documentation dès que possible.  En effet, à l’image du RGPD, la nLDP ne fait pas de discrimination et s’applique à tous les faits produisant des effets en Suisse, même s’ils ont eu lieu en dehors du territoire du pays.   

De nouveaux droits ?  

Cette version révisée de la loi introduit deux nouveaux droits pour s’aligner sur le RGPD, qui sont : le droit à l’information sur la prise de décision automatisée et le droit à la portabilité des données.   

Au revoir au vieux, bonjour au nouveau ! Quelles sont les nouvelles règles ?     

Transferts internationaux :

Le système de transferts de données transfrontaliers est également fortement basé sur le RGPD. Tout transfert de données à caractère personnel depuis la Suisse vers l’étranger reste en principe interdit, sauf si le transfert est effectué vers un pays qui offre un niveau adéquat de protection des données personnelles, tel qu’au sein de l’EEE. La liste est déjà publiée. En l’absence d’une décision d’adéquation du Conseil fédéral, les mécanismes de transfert suivants sont possibles :  

1. Traités internationaux  
2. Clauses contractuelles types (CCT) (plus de détails ci-après)  
3. Règles d’entreprise contraignantes (BCR) approuvées par le PFPDT.   
4. Contrat entre le responsable du traitement et le destinataire dont copie doit être communiquée au PFPDT.  

Les CCT mentionnées peuvent être de différentes natures : elles doivent être soit suisses, soit être « pré-approuvées » par l’Autorité de surveillance suisse, comme, par exemple, les CCT européennes.     

Pour le cas spécifique de transferts vers les États-Unis, les garanties actuelles devront être appliquées pour le moment, car la Suisse a choisi de ne pas suivre le nouveau cadre de protection des données UE-États-Unis qui se met en place. Il est probable que la Suisse veuille s’assurer que ce cadre soit appliqué par l’UE et fonctionne sans heurts avant de l’adopter.  

En outre, les exceptions précédemment connues pour permettre le transfert de données personnelles, le consentement, l’exécution d’un contrat ou d’une obligation légale resteront applicables.   

  Nouvelles obligations :

de nombreuses nouvelles obligations ont été imposées aux entreprises et aux organismes fédéraux pour aligner la LPD sur le RGPD. Ces devoirs sont très proches de ceux prévus dans l’équivalent européen, parmi lesquels :  

1. Le devoir d’information,  
2. L’obligation de tenir un inventaire (équivalent au Registre de traitement du RGPD), 
3. L’obligation de notifier les violations de la sécurité des données (« violation de données à caractère personnel » telle que nommée dans le RGPD)  
4. Le respect de la vie privée dès la conception et par défaut, (appelé « protection des données dès la conception » dans le règlement européen)  
5. La nécessité de réaliser des analyses d’impact relatives à la protection des données,  
6. L’obligation facultative d’établir des codes de conduite.   

Qu’advient-il du DPD ?     

La désignation d’un DPD n’est pas obligatoire : elle est volontaire mais vivement recommandée par la Loi. Non seulement celle-ci démontrera les bonnes intentions de votre entreprise et le souci de la vie privée des personnes concernées dont vous traitez les données, mais elle permettra également un gain crucial en ressources, en temps et en expertise !  

En outre, bien que la désignation d’un DPD ne soit pas obligatoire, la désignation d’un représentant en Suisse l’est. Tout du moins, chaque fois qu’un traitement étendu, régulier et à haut risque de données à caractère personnel est impliqué, dans la fourniture de biens ou de services à des personnes, dans le pays ou lorsque leur comportement est surveillé.  Ce représentant jouera alors le rôle de point de contact pour l’Autorité de contrôle, le Préposé fédéral à la protection des données et à la transparence et les personnes concernées mais il ne sera pas apte à remplir d’autres tâches généralement dévolues à un DPP.   

Pour ces raisons, bien que le texte ne le dise pas explicitement, il est toujours plus que conseillé d’élire un DPD qui sera en mesure d’aider votre entreprise avec toutes les questions liées à la vie privée.  

Qu’en est-il des cookies ?  

La bonne nouvelle, qui fera soupirer de soulagement beaucoup de personnes, est que la LPD révisée n’introduit aucune modification au cadre législatif actuel des cookies, si ce n’est que lorsque des données à caractère personnel sont traitées, les règles de la LPD doivent être respectées.   

Qui dit nouvelles règles, dit nouvelles sanctions  

En ce qui concerne ses sanctions, la LPD révisée présente une double approche : une application administrative d’une part et une application pénale d’autre part. 

En ce qui concerne l’aspect administratif des sanctions, l’autorité de surveillance dispose désormais de pouvoirs étendus pour agir en cas de violation du texte et prendre des décisions contraignantes, par exemple, au-delà de la simple émission de recommandations comme elle le faisait auparavant, elle peut désormais exiger l’arrêt d’une activité particulière. Cependant, aucune capacité à émettre d’amendes n’a été fixée.   

En ce qui concerne le plan pénal, la LPD révisée introduit également une nouvelle série de sanctions qui sont la violation de l’obligation d’information, de demande d’accès aux données ou du devoir de diligence, une violation du secret professionnel ou même un non-respect des ordres donnés par les autorités de surveillance des Cours d’appel suisses.  

Une différence intéressante – et potentiellement douloureuse – entre la LPD et le RGPD est que, alors que ce dernier concentre ses sanctions uniquement sur les entreprises qui ignorent leurs obligations, son équivalent suisse choisit de pénaliser également les personnes responsables de ne pas assurer un niveau adéquat de protection des données ou de respecter d’autres obligations d’information prévues par les règles.  

Et les sanctions peuvent s’avérer très salées pour les particuliers ! Bien que les entreprises puissent toujours être passibles d’amendes allant jusqu’à CHF 250’000, les amendes pour les particuliers eux-mêmes peuvent également aller jusqu’à 250’000 CHF, soit environ 250’000 EUR ou 270’000 USD (et 220’000 livres pour nos lecteurs britanniques).   

Cependant, cette nouvelle sanction est légèrement atténuée par le fait qu’elle ne devrait s’appliquer que si la partie lésée dépose une plainte pénale et que l’existence d’un acte intentionnel (ou « Vorsatz ») est établie.  

Oh non : une violation de données !  

La définition de la violation de données est fortement similaire à celle énoncée dans le RGPD. Contrairement au RGPD cependant, l’autorité de contrôle ne doit être informée que si la violation est susceptible d’entraîner un risque élevé pour les droits de la personnalité des personnes concernées.  

La LPD et le RGPD ne sont cependant pas jumeaux, et des différences existent dans la façon dont tous deux traitent une violation de données. Premièrement, il n’y a pas de délai précis pour réaliser une telle notification, le texte utilisant simplement la cryptique expression que cela devrait être fait « dès que possible ».  

Deuxièmement, la personne concernée n’a besoin d’être informée de la violation que si cela est nécessaire pour sa protection (par exemple, si l’un de ses mots de passe a été piraté et qu’elle doit le changer immédiatement) ou si l’autorité de contrôle le demande spécifiquement (il n’est pas encore certain si cela se fera par la publication de directives générales ou au cas par cas).  

Quelles devraient être vos prochaines étapes ?  

Si vous n’avez pas encore commencé votre préparation pour la nLDP, voici notre recette pour vous : adoptez une analyse GAP : analysez le niveau actuel de conformité de votre organisation avec la nouvelle version de la LDP et comparez-le avec le niveau de conformité obligatoire. Qu’est-ce qui doit être amélioré ?  

C’est fait ? Excellent. Voyons maintenant quels changements sont prioritaires :  

1. La première chose à mettre à jour est votre utilisation des CCT ou autres instruments pour les transferts de données, car ceux-ci détermineront le niveau de protection des données à caractère personnel transférées.  
2. Assurez la conformité externe : politiques de confidentialité, formulaires de demande des personnes concernées, avis d’information, etc. devraient être mis à la disposition des personnes concernées en priorité. En particulier, vérifiez que vous êtes à jour avec ces nouvelles exigences en matière de documentation.  
3. Terminez avec la conformité interne : des questions telles que la désignation permanente d’un DPD peuvent attendre jusqu’à ce que vous ayez le temps de prendre une décision réfléchie.     
4. Retournez au point 1 et continuez à vous améliorer.  

Pour plus d’information sur cette loi, veuillez consulter l’edoeb.