Vous avez peut-être entendu parler de la nouvelle Loi sur la protection des données (LPD) qui entrera en vigueur le 1 septembre 2023 en Suisse, mais qu’est-ce que cela signifie pour votre entreprise ?
L’actuelle loi suisse sur la protection des données date de 1992. Cette révision ainsi que l’ordonnance relative à la loi fédérale sur la protection des données (OLPD) adaptent la loi aux nouvelles conditions technologiques et sociales. Elles renforcent la transparence et la protection des données personnelles dans le but de s’aligner sur le règlement général sur la protection des données (RGPD) appliqué en Europe. En effet, si la Commission européenne venait à ne plus reconnaître le niveau suisse de protection des données comme adéquat, alors les pertes et le désavantage concurrentiel que les entreprises suisses pourraient subir est immense.
Dans cet article, nous allons donc explorer les principaux changements introduits par la nouvelle LPD et ce que vous devez faire pour vous assurer que votre entreprise atteigne un niveau de conformité suffisant et puisse le conserver.
La LPD est une loi exhaustive sur la protection des données qui vise à protéger la confidentialité des données personnelles ainsi qu’à assurer leur traitement légal (collecte, stockage, utilisation, transfert, conservation).
Ainsi, on entend par donnée personnelle toute information qui concerne une personne physique identifiée ou identifiable.
Et parmi ces données personnelles, il existe des données personnelles “sensibles” telles que le casier judiciaire, les données de santé, l’origine ethnique, l’opinion politique, etc. qui demandent un régime particulier.
La LPD s’applique alors à toutes les entreprises et organisations qui traitent des données personnelles et sensibles pouvant avoir un effet sur la Suisse, qu’elles soient publiques ou privées, sur le territoire helvétique ou à l’étranger.
Dans un contexte de bouleversement technologique et social accéléré par la pandémie, le nombre de cyberattaques s’est multiplié. La nouvelle LPD vise donc à renforcer la sécurité et à responsabiliser les entreprises en fournissant un cadre réglementaire à la collecte, au traitement et à l’utilisation des données personnelles. Il y a là un véritable enjeu de réussite numérique pour la Suisse et ses entreprises.
En effet, il faut qu’un échange aisé des données entre la Suisse et l’UE reste possible à l’avenir. Pour cela, les organisations doivent garder un niveau adéquat de protection des données. D’un point de vue économique, celles qui sont déjà conformes à la LPD et au RGPD se différencient rapidement par leur attractivité et apparaissent comme un partenaire de confiance.
La nouvelle LPD s’inscrit également dans le principe d’autodétermination informationnelle en protégeant le droit des individus à la vie privée. Elle donne aux individus le contrôle sur leurs données personnelles et leur permet de choisir qui peut y accéder.
Vous ne disposez plus que de quelques mois avant l’entrée en vigueur de la nouvelle LPD le 1er Septembre 2023 pour prendre les mesures nécessaires. Aucun délai de transition n’est prévu, c’est-à-dire que la nouvelle loi prendra effet et devra être respectée dès la date de début fixée.
De nombreuses entreprises suisses ont des activités commerciales en lien avec l’UE et doivent répondre à des exigences accrues en matière de protection des données.
Si vous êtes conformes au RGPD, vous êtes conscients des changements que cela a induits dans la protection des données par votre organisation. Cependant, il existe encore quelques différences entre ces deux législations que swissprivacy.law a listé dans un tableau comparatif complet.
20210211-Tableau-comparatif-nLPD-et-RGPD.pdf (swissprivacy.law)
Pour le reste, des changements majeurs sont encore à prévoir.
Les données personnelles des personnes physiques seront régies par des règles plus strictes. Voici une liste des principaux changements induits par la nouvelle LDP :
Retrouvez tous les changements dans le document officiel de la loi fédérale sur la protection des données.
Dans la nouvelle LPD, il y a 6 principes généraux à respecter qui sont repris dans les changements majeurs énoncés précédemment. Il s’agit de la transparence, la limitation de traitement, la minimisation des données, la confidentialité, la limitation de stockage et l’exactitude.
Le responsable du traitement doit s’assurer que tous les principes de la protection de la vie privée soient respectés. Votre entreprise doit ainsi pouvoir démontrer qu’elle respecte l’ensemble de ceux-ci. Il est donc essentiel de mettre en place un cadre de gouvernance.
Des certifications existent déjà pour devenir conforme à la nouvelle LPD. La norme IS027001:2022 est une bonne manière d’aborder les aspects liés à la sécurité de l’information. L’ISAE 3000 pourrait également répondre à ces besoins.
Voici une check-list des précautions élémentaires pour prévenir une violation de données :
Les compétences du préposé fédéral à la protection des données et à la transparence (PFPDT) en matière d’application de la nouvelle LPD ont été élargies. Les autorités de surveillance peuvent ainsi intervenir lorsqu’elles constatent des irrégularités ou sur dénonciation. En effet, les clients, collaborateurs ou encore des entreprises concurrentes peuvent attirer leur attention sur ces faits et exiger un examen ou déposer une plainte pénale.
Ainsi, en cas de violation intentionnelle des dispositions de protection des données, des mesures fortes allant jusqu’à l’effacement des données peuvent être ordonnées. Outre ces sanctions, l’organisation concernée ainsi que le responsable du traitement encourent des amendes et des procédures pénales. Ce n’est donc plus seulement l’entreprise elle-même qui peut être visée en premier lieu par des procédures pénales, mais également la personne responsable (propriétaire et collaborateurs). À noter que le montant maximal de l’amende passe de 10 000 CHF à 250 000 CHF. Il s’agit d’une différence importante par rapport au RGPD qui inflige des amendes beaucoup plus élevées aux entreprises, et non aux personnes physiques.
Les entreprises étrangères activent sur le marché suisse ou dont le traitement des données déploie des effets en Suisse sont soumises aux mêmes mesures. La nouvelle LPD se base sur le principe dit du lieu du résultat.
Sources : smartcockpit.ch