Sécurité et droit

Nouvelle loi sur la protection des données: ce que les entreprises doivent savoir

Partager sur Facebook Partager sur Twitter Partager sur LinkedIn Partager sur Xing Partager par e-mail

Avec la révision de loi fédérale sur la protection des données (nLPD), des dispositions importantes relatives au traitement des données seront modifiées à partir de 2023. À l’avenir, les entreprises seront soumises à des règles plus strictes. Elles devront adapter leurs directives et déclarations de protection des données actuelles jusqu’à l’entrée en vigueur de la nouvelle loi qui interviendra le 1er septembre 2023. 

  • Teaser Image
    Heinz Suter

    Heinz Suter, avocat et responsable Legal, Compliance & Risk Management chez AXA-ARAG, répond aux principales questions concernant la nouvelle LPD et conseille les entreprises sur la meilleure façon de se conformer aux nouvelles prescriptions.

Quels sont les objectifs de la nouvelle LPD?

Il s’agit, d’une part, d’adapter la loi sur la protection des données aux nouvelles conditions technologiques et sociales (cloud computing, Big Data, réseaux sociaux, objets connectés): l’autodétermination des personnes concernées à l’égard de leurs données doit être renforcée. D’autre part, la révision harmonise la LPD avec la législation européenne en matière de protection des données: il s’agit de veiller à ce que l’UE continue de reconnaître la Suisse comme un État tiers ayant un niveau adéquat de protection des données afin qu’un échange aisé des données entre la Suisse et l’UE reste possible à l’avenir.

Pourquoi la révision est-elle si importante?

Si la Commission européenne ne reconnaissait plus le niveau suisse de protection des données comme adéquat, les entreprises suisses subiraient à l’avenir des désavantages concurrentiels car l’échange de données avec les entreprises de l’UE serait plus compliqué.

Quand la nouvelle LPD entrera-t-elle en vigueur?

La nouvelle LPD devrait entrer en vigueur le 1er septembre 2023, en même temps que l’ordonnance relative à la loi fédérale sur la protection des données (OLPD) que le Conseil fédéral doit encore édicter.

Jusqu’à quand une entreprise doit-elle se conformer aux nouvelles prescriptions en matière de protection des données?

Jusqu’à l’entrée en vigueur de la LPD révisée.

Quels sont les délais de transition applicables?

La LPD révisée ne prévoit aucun délai de transition.

Qu’advient-t-il si une entreprise ne se conforme pas aux prescriptions de la LPD d’ici-là?

Les compétences du préposé fédéral à la protection des données et à la transparence (PFPDT) en matière d’application de la nLPD ont été élargies. Le PFPDT peut ouvrir, d’office ou sur dénonciation, une enquête contre une entreprise et, en cas de violation des dispositions de protection des données, ordonner des mesures fortes, telles que la modification ou l’interruption du traitement des données, voire l’effacement des données. 

Par ailleurs, la nLPD met à la disposition des personnes concernées des moyens de recours de droit civil leur permettant de faire valoir leurs droits. Parallèlement, le code de procédure civil (CPC) a été modifié et il prévoit la gratuité des procédures judiciaires correspondantes.  

RGPD vs LPD révisée

En septembre 2020, à l’issue d’un processus législatif de près de quatre ans, le Conseil national et le Conseil des États ont adopté la nouvelle loi sur la protection des données (nLPD). Sur de nombreux points, mais pas sur tous, cette loi sur la protection des données révisée (nLPD) s’aligne sur le Règlement européen sur la protection des données (RGPD). Toutefois, il subsiste des différences substantielles. 

À quelles amendes maximales une entreprise s’expose-t-elle en cas de non-respect de la nLPD?

En cas de violation intentionnelle des obligations d’informer, de renseigner, de collaborer ou des devoirs de diligence prévus par la nLPD, les particuliers peuvent être punis d’une amende de 250 000 CHF au plus. En cas d’infractions commises dans une entreprise, cette dernière peut se voir infliger une amende jusqu’à 50 000 CHF lorsque l’identification des personnes responsables entraînerait des coûts disproportionnés – et que l’amende encourue par ces personnes ne dépasserait pas 50 000 CHF.

Il s’agit d’une différence importante par rapport au RGPD qui inflige des amendes beaucoup plus élevées aux entreprises, et non aux personnes physiques.    

  • Teaser Image
    Assurance Cyber d’AXA

    Piratage, chantage, logiciels malveillants: le nombre d’entreprises suisses victimes de cyberattaques ne cesse de croître. L’assurance Cyber d’AXA protège votre entreprise contre les pertes financières pouvant résulter d’une cyberattaque.

    Vers l’assurance Cyber

Quels sont les principaux changements?

  1. Nouveau champ d’application: comme le RGPD, la LPD révisée se limite à la protection des données des personnes physiques, et n’inclut plus les données des personnes morales comme c’est le cas actuellement.
  2. Extension des données sensibles: les données génétiques et biométriques sont désormais considérées comme des données personnelles sensibles.
  3. Transparence accrue: le devoir d’information des entreprises va plus loin que jusqu’ici. Désormais, les entreprises doivent informer les personnes concernées de manière adéquate de toute collecte de données – et non pas uniquement de données sensibles comme jusqu’ici –, et ce, même lorsque les données ne sont pas collectées auprès de la personne concernée. Doivent être communiquées l’identité et les coordonnées du responsable du traitement, la finalité du traitement, les destinataires ou les catégories de destinataires ainsi que le nom de l’État destinataire en cas d’exportation de données à l’étranger. Sur ce point, la nLPD est plus stricte que le RGPD.
  4. Registre des activités de traitement: les entreprises ont l’obligation de tenir un registre de leurs activités de traitement qui doit contenir les indications prescrites. Par contre, l’obligation de tenir un inventaire des fichiers est supprimée. Toutefois, il est conseillé de combiner intelligemment ces deux registres, en particulier lorsque plusieurs activités de traitements impliquent un accès à une même application ou banque de données. Le Conseil fédéral peut prévoir des exceptions pour les entreprises qui emploient jusqu’à 250 collaborateurs. L’ordonnance d’application (nouvelle OLPD) se trouve actuellement en procédure de consultation.
  5. Analyse d’impact relative à la protection des données personnelles: lorsque le traitement envisagé entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, les entreprises ont désormais l’obligation de procéder à une analyse d’impact relative à la protection des données personnelles. Cette analyse doit être documentée.
  6. Profilage: la nLPD règle également le profilage, c’est-à-dire le traitement automatisé de données pour évaluer certains aspects personnels d’une personne, tels que sa situation économique, sa santé, ses intérêts, son comportement, sa localisation, etc. À la différence du RGPD, la nouvelle LPD ne prévoit pas d’obligation générale de requérir le consentement de la personne concernée. Cette obligation n’existe qu’en cas de profilage à risque élevé.
  7. Annonce rapide au PFPDT: désormais, toute violation de la sécurité des données entraînant de manière accidentelle ou illicite la perte, l’effacement, la destruction, la modification de données ou un accès non autorisé à des données doit être annoncée au PFPDT dans les meilleurs délais (dans un délai de 72 heures selon le RGPD) s’il y a vraisemblablement un risque élevé pour les personnes concernées (selon le RGPD, un simple risque suffit). En règle générale, le responsable doit également informer la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.
  8. Privacy-by-Design et Privacy-by-Default (protection des données dès la conception et par défaut): elle oblige les entreprises à prendre en compte les principes en matière de protection des données dès la conception du traitement et des applications et, p. ex., de ne pas obtenir le consentement des personnes concernées, qui va au-delà du traitement absolument nécessaire, au moyen de préréglages correspondants.    

Quelle est la signification de ces abréviations?

LPD désigne la loi suisse sur la protection des données (loi fédérale sur la protection des données). nLPD désigne la nouvelle loi sur la protection des données entièrement révisée par opposition à la LPD actuellement en vigueur.

OLPD est l’abréviation officielle de l’ordonnance du Conseil fédéral relative à la LPD. L’ordonnance contient des dispositions d’exécution ou de détail. La version définitive de la nouvelle ordonnance n’est pas encore disponible. Le Conseil fédéral a envoyé le projet de l’ordonnance en consultation le 23 juin 2021.

RGPD désigne le Règlement général sur la protection des données de l’UE du 27 avril 2016. Le RGPD est directement applicable dans tous les États membres de l’UE depuis le 25 mai 2018. Bien qu’il s’agisse d’un règlement européen, il est également applicable, à certaines conditions, aux entreprises suisses.

Qu’est-ce qui ne change pas?

À la différence du RGPD, qui exige une base juridique pour chaque traitement de données, la manière de traiter les données ne change pas fondamentalement avec la nLPD. Comme jusqu’ici, le traitement des données personnelles par des entreprises privées ne requiert – contrairement au RGPD – aucun consentement ou autre motif justificatif, pour autant

  • que les principes de traitement de la transparence – en particulier l’accomplissement des devoirs d’information –, de la limitation des finalités, de la proportionnalité et de la sécurité des données soient respectés,
  • que la personne concernée ne se soit pas opposée au traitement
  • et qu’aucune donnée personnelle sensible ne soit communiquée à des tiers.

Un consentement exprès n’est requis qu’en cas de traitement de données sensibles et, désormais, en cas de profilage à risque élevé. 

Les entreprises étrangères doivent-elles également respecter la nouvelle loi?

Oui, en ce qui concerne le champ d’application territorial, la nouvelle LPD se base sur le principe dit du lieu du résultat. La LPD est également applicable aux entreprises étrangères actives sur le marché suisse ou dont le traitement des données déploie des effets en Suisse, tout comme le RGPD s’applique aussi aux entreprises suisses opérant dans l’espace de l’UE.

Les entreprises ayant leur siège à l’étranger doivent désigner un représentant en Suisse lorsqu’elles traitent régulièrement et à grande échelle des données concernant des personnes en Suisse, en rapport avec l’offre de biens ou services ou le suivi du comportement, et que le traitement présente un risque élevé pour la personnalité des personnes concernées.

Inversement, selon la LPD, les entreprises suisses doivent toujours nommer un délégué à la protection des données lorsqu’elles traitent des données personnelles concernant des ressortissants d’États membres de l’UE.

Quelles sont les entreprises exposées à un risque particulièrement élevé d’enfreindre la nouvelle LPD?

Entrent dans cette catégorie les entreprises qui traitent un grand nombre de données personnelles ou de données sensibles, font du profilage, exploitent des boutiques en ligne, génèrent des décisions individuelles automatisées ou transmettent des données personnelles à l’étranger (en dehors de l’UE). Pas seulement quand il y a un risque élevé.

  • Teaser Image
    Conseils juridiques pour entreprises

    Sur MyRight, vous trouverez des informations actuelles à propos de la nouvelle loi sur la protection des données. Vous y trouverez également d’autres articles, conseils et modèles utiles ainsi qu’un générateur de certificats de travail.

    Découvrir MyRight

Quelle charge de travail attend les chef(fe)s d’entreprises en lien avec la révision totale de la LPD?

Cela dépend. Il s’agit de savoir si, en raison de son activité, l’entreprise fait partie des entreprises particulièrement concernées, et dans quelle mesure elle s’est déjà adaptée aux nouveaux développements. Les entreprises dont le traitement des données est déjà conforme au RGPD, n’ont quasiment plus besoin de procéder à des adaptations. En revanche, celles qui exercent leur activité uniquement en Suisse et n’ont rien entrepris jusqu’ici seraient bien avisées d’effectuer sans tarder une analyse des écarts.

Toutes les entreprises doivent-elle désormais nommer ou engager un conseiller à la protection des données?

Non, contrairement à ce que prévoit le RGPD, la nomination d’un conseiller à la protection des données est facultative, mais elle présente certains avantages. D’une part, le conseiller est l’interlocuteur des collaborateurs et des clients (pour l’exercice de leurs droits en tant que personnes concernées) et des autorités pour les questions liées à la protection des données. D’autre part, l’obligation de consulter le PFPDT en relation avec les analyses d’impact en cas de risque élevé tombe si le responsable du traitement a consulté son conseiller à la protection des données.    

En tant que propriétaire d’une PME, puis-je développer seul un nouveau concept de protection des données? Existe-t-il des modèles?

Il faut se poser la question suivante: l’entreprise dispose-t-elle de compétences en la matière, p. ex. du fait de l’existence d’un conseiller à la protection des données compétent selon l’ancienne LPD ou d’un service juridique? Si ce n’est pas le cas, nous vous conseillons vivement de faire appel à une assistance externe. 

Vous trouverez des instructions et des modèles notamment sur les sites suivants:

www.edoeb.admin.ch/edoeb/fr/home.html

www.swissdataprotectionlaw.ch (EN)

Quelles mesures une entreprise doit-elle prendre pour satisfaire aux nouvelles dispositions relatives à la protection des données à partir de 2022?

  • Vérifier et adapter les déclarations de protection des données sur Internet et dans les documents publicitaires et contractuels.
  • Élaborer des directives internes concernant le traitement des données ou les adapter.
  • Créer un registre des activités de traitement des données.
  • Implémenter un processus qui garantisse le traitement en temps utile des droits des personnes concernées (p. ex. demandes de renseignement ou d’effacement de données).
  • Implémenter un processus pour l’annonce des violations de la protection des données.
  • Implémenter un processus pour l’analyse d’impact, notamment en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public, ou encore de recours à de nouvelles technologies présentant un risque élevé.
  • Il convient de vérifier les contrats de sous-traitance. Il est recommandé d’y introduire un devoir d’annoncer les violations de la protection des données ainsi que le transfert du traitement à des tiers. Le responsable du traitement doit en particulier s’assurer que la sécurité des données est garantie.  
  • Veiller à ce que les données personnelles soient effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement.
  • Identifier les pays vers lesquels des données personnelles sont transmises et s’assurer que la communication ne s’effectue que vers ceux assurant un niveau de protection adéquat. Cette règle s’applique aussi à l’enregistrement dans des systèmes étrangers (Cloud). Le Conseil fédéral (le PFPDT jusqu’ici) publie une liste des États qui assurent un niveau de protection adéquat. Pour les pays non mentionnés dans cette liste, l’exportation des données est possible à certaines conditions, parmi lesquelles figure le consentement exprès des personnes concernées. 
  • Garantir la sécurité des données par des mesures techniques et organisationnelles appropriées. Autrement dit, il s’agit de prévenir les violations de la sécurité des données. Le Conseil fédéral doit encore fixer les exigences minimales. Comme la transmission de données par e-mail n’est pas sûre, le cryptage des e-mails devrait être possible au moins en ce qui concerne les données sensibles. 
  • Garantir la portabilité des données, c’est-à-dire la remise des données sous un format électronique courant (comme dans le RGPD) lorsque les données sont traitées de manière automatisée et surtout en relation directe avec la conclusion ou l’exécution d’un contrat.
  • Nommer un conseiller ou une conseillère à la protection des données et l’annoncer au PFPDT (recommandation). Les coordonnées du conseiller ou de la conseillère doivent être publiées. La désignation d’un(e) délégué(e) à la protection des données est en revanche obligatoire selon le RGPD.

Articles apparentés

AXA et vous

Contact Déclarer sinistre Postes à pourvoir Médias Courtiers myAXA Login Commentaires de clients GaragenHub S'abonner à la newsletter myAXA FAQ

AXA dans le monde

AXA dans le monde

Rester en contact

DE FR IT EN Conditions d’utilisation Protection des données Cookie Policy © {YEAR} AXA Assurances SA