23. Aug 2023

Nouvelle loi sur la protection des données

Nouvelle loi sur la protection des données

Tout ce que vous devez savoir sur la nouvelle loi sur la protection des données (nLPD).

L'article suivant contient des éléments de texte tirés de publications de la Confédération, dont la liste figure en bas de page.


La loi sur la protection des données, totalement révisée entrera en vigueur le 1er septembre 2023. La loi a deux objectifs principaux :

1. Adapter la loi sur la protection des données de 1992 à l'évolution des réalités de la vie en raison de la numérisation. Des dispositions plus strictes concernant le traitement des données personnelles accordent aux citoyens des droits à l'information plus étendus.

2. Assurer la compatibilité du droit suisse avec le droit européen (RGPD).


La modification de la loi s'accompagne de nouvelles obligations pour tous ceux qui traitent des données personnelles. Cela concerne non seulement les entreprises et les institutions, mais aussi les associations. C'est pourquoi nous souhaitons donner ici à nos membres et à toutes les personnes intéressées un aperçu des principales modifications apportées par la nouvelle loi.

Il va de soi que les associations sont concernées différemment selon leur taille, leur objectif, le type et l'étendue du traitement des données. Il est donc indispensable que vous vous informiez vous-même plus avant sur les points qui vous concernent. Les liens et documents à la fin de cet article peuvent vous y aider.

Les principaux changements  


1. Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.

2. Les données génétiques et biométriques entrent dans la définition des données sensibles.

3. Les principes de «Privacy by Design» et de «Privacy by Default»  sont introduits.

4. Des analyses d’impacts doivent être menées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

5. Le devoir d’informer est étendu: la collecte de toutes les données personnelles doit donner lieu à une information préalable de la personne concernée (non plus uniquement de données dites sensibles).

6. La tenue d’un registre des activités de traitement devient obligatoire. Exception : les organisations de moins de 250 collaborateurs dont le traitement des données n'entraîne qu'un faible risque d'atteinte à la personnalité ou aux droits fondamentaux.

7. Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT). 

8. La notion de «profilage» fait son entrée dans la loi. 

FAQ 

Que signifient «Privacy by Design» et «Privacy by Default» ?

Privacy by Design signifie protection des données par la technique. Les mesures de protection des données doivent être pensées et mises en œuvre dès le développement et la programmation.

Privacy by Default signifie protection des données par défaut. Lorsque l'on visite un site web, le réglage par défaut doit donc déjà être le plus respectueux de la protection des données.

Que sont les données sensibles, génétiques et biométriques ?

Jusqu'à présent, les données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales ; à la santé, à la sphère intime ou à l'appartenance à une race ou une ethnie ; aux mesures d'aide sociale ; aux poursuites ou sanctions administratives et pénales faisaient partie des données personnelles sensibles.

Avec la nouvelle loi, les données génétiques et biométriques, qui identifient clairement une personne, en font désormais partie. Les données biométriques sont par exemple les caractéristiques physiques et physiologiques d'une personne, tandis que les données génétiques contiennent des informations sur le patrimoine génétique d'une personne.

Quand existe-t-il un risque élevé d'atteinte aux droits de la personnalité ou aux droits fondamentaux ?

Un risque élevé peut résulter de l'utilisation de nouvelles technologies, de la nature, de l'ampleur, des circonstances et de la finalité du traitement. La loi cite par exemple le traitement à grande échelle de données personnelles sensibles et la surveillance systématique et à grande échelle de lieux publics.

Que comprend l'analyse d'impact ?

L'analyse d'impact donne une description du traitement de données envisagé, une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée ainsi que les mesures à prendre pour les protéger.

Mon organisation doit-elle établir un registre des activités de traitement ?

Si votre entreprise ou organisation emploie moins de 250 personnes et que le traitement des données présente un faible risque d'atteinte à la personnalité des personnes concernées, vous n'avez pas besoin de registre des traitements.

Que doit-on mettre dans le registre des activités de traitement ?

Le registre doit refléter de manière claire et grossièrement compréhensible la manière dont les données sont traitées.

Les responsables (pas les personnes qui travaillent directement avec les données) doivent saisir les éléments suivants :

- la raison sociale et l'adresse du responsable
- la finalité du traitement
- les catégories de personnes concernées
- les catégories de données personnelles traitées
- les catégories de destinataires des données
- la durée de conservation ou critères de détermination de cette durée
- une description des mesures de sécurité des données
- une liste de tous les États vers lesquels les données sont transmises

En revanche, les sous-traitants doivent uniquement tenir une liste des responsables pour lesquels ils traitent des données sur mandat et décrire les types de traitements effectués sur mandat.

Que signifie «profilage» ?

Par profilage, on entend le traitement et l'évaluation automatisés de données personnelles (par ex. par un algorithme). Il remplace la notion de profil de la personnalité utilisée dans l'ancienne loi sur la protection des données.

Que se passe-t-il en cas de non-respect des nouvelles règles ?

Les violations intentionnelles du droit de la protection des données sont punissables d'une amende pouvant aller jusqu'à 250 000 CHF.

Particularité : les amendes concernent les personnes privées responsables de la violation de la protection des données, et non les entreprises.

Quels sont mes nouveaux droits en tant que personne physique ?

La loi révisée sur la protection des données élargit les droits des personnes physiques, notamment en ce qui concerne le droit de divulgation et le droit à l'information. Les droits existants d'accès, d'effacement ou de blocage (limitation) de leurs données personnelles sont maintenus.

Désormais, la personne concernée a droit à toutes les informations nécessaires pour pouvoir faire valoir ses droits et pour que ses données soient traitées de manière transparente. Le ou les responsables doivent fournir des informations sur les données gratuitement et dans un délai de 30 jours.

A quoi les associations et les entreprises doivent-elles faire attention ? 


1. Vérifier la déclaration de protection des données et, le cas échéant, l'adapter et la compléter. Les points suivants devraient y figurer : 

  • nom et coordonnées du responsable (exploitant du site web)
  • transparence et explications concernant toute collecte et tout traitement de données personnelles (finalité et durée)
  • information sur les droits prévus par la LPD (droit d'accès, de rectification et d'effacement)
  • mentionner les services de prestataires tiers (newsletter, médias sociaux, CRM, cloud...)

2. Prendre des mesures techniques pour améliorer la sécurité des données.

  • sécuriser l'accès aux données (sécurité du réseau, mots de passe complexes, authentification à deux facteurs...)
  • consulter des développeurs et des spécialistes informatiques pour mettre en œuvre la protection des données par la technique et des paramètres par défaut conviviaux sur le site web
  • pseudonymisation et cryptage des données à caractère personnel
  • prendre des dispositions pour que la sortie électronique des données soit possible

3. Prendre des mesures organisationnelles pour améliorer la sécurité des données.

Enregistrer où, comment, quand et par qui les données personnelles sont traitées.
Établir des directives pour le traitement des données au sein de l'organisation
Organiser le cycle de vie des données (saisie, stockage, modification, destruction des données).
Garantir la suppression des données personnelles lorsqu'elles ne sont plus nécessaires.
Introduire une procédure de notification en cas de violation de la protection des données (transmission au PFPDT)

4. Vérifier où les données traitées sont transmises (données cloud, newsletter, ...). Si le pays se trouve sur la liste des pays destinataires offrant une protection adéquate, les données peuvent être envoyées à l'étranger. Dans le cas contraire, des règles plus strictes s'appliquent. 


Dans certaines circonstances (seulement les grandes entreprises ou à risque élevé) :

5. Créer un registre des activités de traitement des données.

6. Mettre en place une procédure pour la réalisation d'analyses d'impact sur la protection des données.



Sources et informations complémentaires:

Office fédéral de la justice OFJ (2023): FAQ Datenschutzrecht (ce document n’est pas encore disponible en français)

Préposé fédéral à la loi protection des données et à la transparence PFPDT (2023): FAQ Protection des données

Département fédéral de l'économie, de la formation et de la recherche DEFR (2023): Nouvelle loi sur la protection des données (nLPD)

Fedlex. La platforme de publication du droit fédéral (2020): Loi fédérale sur la protection des données

Société Suisse des Entrepreneurs SSE (2022): Loi sur la protection des données Où y a-​t-il nécessité d’agir?