Nouvelle LPD: ce que les entreprises doivent savoir

La nouvelle loi suisse sur la protection des données (nLPD) entrera bientôt en vigueur. MyRight t’explique tout ce que les entreprises doivent savoir.

La réponse en détail

Informations importantes sur la loi suisse sur la protection des données

Avec la révision de la loi sur la protection des données (LPD), des dispositions importantes seront modifiées à partir de 2023. Des règles plus strictes s’appliqueront au traitement des données personnelles. C’est pourquoi, il est conseillé aux entreprises de vérifier et éventuellement d’adapter leurs directives et déclarations de protection des données actuelles. MyRight répond aux principales questions concernant la nouvelle LPD.

Qu’entend-on par nouvelle LPD?

La loi suisse sur la protection des données, qui existe depuis les années 1990, est aujourd’hui dépassée. L’essor du numérique rend sa révision nécessaire. Elle doit en outre être adaptée au Règlement européen sur la protection des données (RGPD). Il s’agit de veiller à ce que des données puissent être échangées entre pays tout en s’assurant que les données personnelles sont protégées.

Qu’est-il essentiel de savoir?

Plusieurs points seront modifiés. Les deux principaux changements sont les suivants:

  1. Désormais, une procédure pénale peut être engagée à l’encontre non seulement de l’entreprise elle-même, mais aussi de la personne responsable (propriétaires et collaboratrices ou collaborateurs).
  2. Comme le RGPD, le champ d’application de la LPD révisée se limite à la protection des données des personnes physiques, et n’inclut plus les données des personnes morales comme c’est le cas actuellement. 

Tu trouveras des informations sur la protection des données ici.

Quand la nouvelle loi sur la protection des données (nLPD) entrera-t-elle en vigueur en Suisse?

La nouvelle loi suisse sur la protection des données devrait entrer en vigueur le 1er septembre 2023. La décision concernant la date exacte devrait être prise courant de l’été.

Puis-je attendre l’entrée en vigueur de la nouvelle LPD pour me préoccuper de la protection des données?

Non. Aujourd’hui déjà, de nombreuses entreprises suisses doivent répondre à des exigences accrues en matière de protection des données. C’est le cas, par exemple, de celles qui ont des activités commerciales en lien avec l’UE. Toutes les autres devront prendre des mesures au plus tard à l’approche de l’entrée en vigueur de la nouvelle loi. Aucun délai de transition n’est prévu, c’est-à-dire que la nouvelle loi prendra effet et devra être respectée dès la date de début fixée.

Quelles sont les implications de la nouvelle loi sur la protection des données signifie pour mon entreprise? Que dois-je faire pour me mettre en conformité?

Pour te conformer aux prescriptions de la nouvelle LPD, tu devras garantir que:

  • les données des clientes et des clients, des collaboratrices et des collaborateurs ainsi que d’autres personnes sont gérées et traitées avec des moyens modernes correspondant à l’état actuel de la technique;
  • les collaboratrices et les collaborateurs sont sensibilisés et formés aux thèmes de la protection des données et de la sécurité des données;
  • différents devoirs d’information et de documentation, comme l’établissement d’un registre des activités de traitement des données ou de la déclaration de protection des données sur le site Internet, sont satisfaits.

Vérifie à l’aide de notre test de protection des données si tu respectes déjà les prescriptions de la nouvelle LPD.

Y a-t-il des conséquences en cas de non-respect de la nouvelle LPD?

Outre des sanctions possibles par le préposé fédéral à la protection des données, les contrevenants encourent surtout des amendes pouvant aller jusqu’à 250 000 CHF et des procédures pénales. 
Il est à noter que les sanctions pénales concernent chaque collaboratrice ou chaque collaborateur (surtout celles et ceux exerçant des fonctions dirigeantes) qui enfreint intentionnellement la loi. En d’autres termes, l’amende n’est pas infligée à l’entreprise, mais aux personnes responsables du non-respect de la nouvelle LPD.
Si tu ne prends aucune disposition concernant les devoirs d’informer, les demandes de renseignements, les mesures techniques et organisationnelles ainsi que les transferts de données internationaux, tu agis de façon intentionnelle ou du moins que tu t’accommodes de violations de la loi (dol éventuel) et tu peux subir des sanctions.

Dans quels cas est-ce que je cours le risque d’une condamnation en vertu de la nouvelle LPD?

La nouvelle LPD ne prévoit de sanctions qu’en cas de violation intentionnelle des prescriptions. Mais attention: une violation intentionnelle peut être admise lorsqu’il existe ce que l’on appelle un dol éventuel (qui signifie que l’on s’est accommodé d’une violation). Tel est le cas lorsque tu ne prends aucune mesure après l’entrée en vigueur de la nouvelle loi et que tu enfreins par conséquent cette loi, ne serait-ce que par ignorance.

Mon entreprise est-elle exposée à un risque élevé d’enfreindre la nouvelle LPD?

Si tu ne prends aucune disposition, tu cours un grand risque d’agir illégalement en stockant des données ou en les transférant à l’étranger, en communiquant des renseignements ou en instaurant des mesures techniques et organisationnelles insuffisantes.

Pour quelle date dois-je me conformer aux nouvelles prescriptions en matière de protection des données?

Le Conseil fédéral fixera dans les prochains mois la date d’entrée en vigueur de la nouvelle LPD. Selon tous les experts, il faut s’attendre à devoir respecter la nouvelle LPD à partir du 1er juillet 2022 ou au plus tard du 1er janvier 2023.

Existe-t-il des délais de transition?

Non. Le Conseil fédéral fixera une date à partir de laquelle la nouvelle LPD prendra effet. À partir de cette date, toutes les entreprises devront respecter les nouvelles prescriptions.

Quelles seront les conséquences si mon entreprise ne met pas en place les mesures d’ici à cette date?

Les autorités de surveillance interviennent lorsqu’elles constatent elles-mêmes des irrégularités ou lorsque des clientes ou des clients, des collaboratrices ou des collaborateurs ou des entreprises concurrentes attirent leur attention sur de tels faits. Tout d’abord, elles s’adressent généralement à l’entreprise concernée au moyen d’un questionnaire. Mais elles peuvent aussi avoir recours à des moyens coercitifs pour étudier la situation. À partir de l’introduction de la nouvelle LPD, les clientes et les clients, les entreprises concurrentes et les autorités pourront exiger un examen et, dans le pire des cas, déposer une plainte pénale.

Comment me préparer à la nouvelle LPD et comment me protéger?

Afin d’éviter une infraction intentionnelle (ou un dol éventuel), nous te recommandons de prendre en temps opportun les mesures requises pour mettre en œuvre la nouvelle loi sur la protection des données.

Le mieux est d’engager dès maintenant les démarches nécessaires pour remplir les exigences correspondantes, comme les devoirs d’information ou les demandes de renseignements.

En collaboration avec notre partenaire Good Law, nous t’offrons la possibilité de vérifier à l’aide d’un test gratuit de protection des données dans quelle mesure tu respectes déjà les nouvelles dispositions. À l’issue de ce premier état des lieux, notre partenaire Good Law te proposera différentes solutions pour maîtriser à l’avenir la sécurité des données et la protection des données.