Informations importantes sur la loi suisse sur la protection des données
Avec la révision de la loi sur la protection des données (LPD), des dispositions importantes seront modifiées à partir du 1er septembre 2023. Des règles plus strictes s’appliqueront au traitement des données personnelles. C’est pourquoi, il est conseillé aux entreprises de vérifier et éventuellement d’adapter leurs directives et déclarations de protection des données actuelles. MyRight répond aux principales questions concernant la nouvelle LPD.
Qu’entend-on par nouvelle LPD?
La loi suisse sur la protection des données, qui existe depuis les années 1990, est aujourd’hui dépassée. L’essor du numérique rend sa révision nécessaire. Elle doit en outre être adaptée au Règlement européen sur la protection des données (RGPD). Il s’agit de veiller à ce que des données puissent être échangées entre pays tout en s’assurant que les données personnelles sont protégées.
Qu’est-il essentiel de savoir?
Plusieurs points seront modifiés. Les deux principaux changements sont les suivants:
- Désormais, ce n'est plus l'entreprise elle-même qui peut être visée en premier lieu par des procédures pénales, mais également la personne responsable (propriétaire et collaborateurs). Le montant maximal de l'amende passe de 10 000 CHF à 250 000 CHF.
- Comme le RGPD, le champ d’application de la LPD révisée se limite à la protection des données des personnes physiques, et n’inclut plus les données des personnes morales comme c’est le cas actuellement.
Tu trouveras des informations sur la protection des données ici.
Quand la nouvelle loi sur la protection des données (nLPD) entrera-t-elle en vigueur en Suisse?
La nouvelle loi suisse sur la protection des données devrait entrer en vigueur le 1er septembre 2023.
Puis-je attendre l’entrée en vigueur de la nouvelle LPD pour me préoccuper de la protection des données?
Non. Aujourd’hui déjà, de nombreuses entreprises suisses doivent répondre à des exigences accrues en matière de protection des données. C’est le cas, par exemple, de celles qui ont des activités commerciales en lien avec l’UE. Toutes les autres devront prendre des mesures au plus tard à l’approche de l’entrée en vigueur de la nouvelle loi. Aucun délai de transition n’est prévu, c’est-à-dire que la nouvelle loi prendra effet et devra être respectée dès la date de début fixée.
Quelles sont les implications de la nouvelle loi sur la protection des données signifie pour mon entreprise? Que dois-je faire pour me mettre en conformité?
Pour te conformer aux prescriptions de la nouvelle LPD, tu devras garantir que:
- les données des clientes et des clients, des collaboratrices et des collaborateurs ainsi que d’autres personnes sont gérées et traitées avec des moyens modernes correspondant à l’état actuel de la technique;
- les collaboratrices et les collaborateurs sont sensibilisés et formés aux thèmes de la protection des données et de la sécurité des données;
- différents devoirs d’information et de documentation, comme l’établissement d’un registre des activités de traitement des données ou de la déclaration de protection des données sur le site Internet, sont satisfaits.
Y a-t-il des conséquences en cas de non-respect de la nouvelle LPD?
Outre des sanctions possibles par le préposé fédéral à la protection des données, les contrevenants encourent surtout des amendes pouvant aller jusqu’à 250 000 CHF et des procédures pénales.
Il est à noter que les sanctions pénales concernent chaque collaboratrice ou chaque collaborateur (surtout celles et ceux exerçant des fonctions dirigeantes) qui enfreint intentionnellement la loi. En d’autres termes, l’amende n’est pas infligée à l’entreprise, mais aux personnes responsables du non-respect de la nouvelle LPD. L'accent est mis ici sur les responsables de l'organisation, c'est-à-dire avant tout sur les dirigeants qui sont responsables de la mise en œuvre d'une protection des données efficace au sein de l'entreprise.
Si tu ne prends aucune disposition concernant les devoirs d’informer, les demandes de renseignements, les mesures techniques et organisationnelles ainsi que les transferts de données internationaux, tu agis de façon intentionnelle ou du moins que tu t’accommodes de violations de la loi (dol éventuel) et tu peux subir des sanctions.
Dans quels cas est-ce que je cours le risque d’une condamnation en vertu de la nouvelle LPD?
La nouvelle LPD ne prévoit de sanctions qu’en cas de violation intentionnelle des prescriptions. Mais attention: une violation intentionnelle peut être admise lorsqu’il existe ce que l’on appelle un dol éventuel (qui signifie que l’on s’est accommodé d’une violation). Tel est le cas lorsque tu ne prends aucune mesure après l’entrée en vigueur de la nouvelle loi et que tu enfreins par conséquent cette loi, ne serait-ce que par ignorance.
Mon entreprise est-elle exposée à un risque élevé d’enfreindre la nouvelle LPD?
Si tu ne prends aucune disposition, tu cours un grand risque d’agir illégalement en stockant des données ou en les transférant à l’étranger, en communiquant des renseignements ou en instaurant des mesures techniques et organisationnelles insuffisantes.
Pour quelle date dois-je me conformer aux nouvelles prescriptions en matière de protection des données?
Le 31 août 2022, le Conseil fédéral a informé que la nouvelle LPD entrerait en vigueur le 1er septembre 2023. Il donne ainsi un an à l'économie pour prendre les dispositions nécessaires. Cela signifie qu'à partir du 1er septembre 2023, il faudra se conformer à la nouvelle LPD.
Existe-t-il des délais de transition?
Non. Le Conseil fédéral a fixé la date d'entrée en vigueur de la nouvelle LPD au 1er septembre 2023. À partir de cette date, toutes les entreprises devront respecter les nouvelles prescriptions.
Quelles seront les conséquences si mon entreprise ne met pas en place les mesures d’ici à cette date?
Les autorités de surveillance interviennent lorsqu’elles constatent elles-mêmes des irrégularités ou lorsque des clientes ou des clients, des collaboratrices ou des collaborateurs ou des entreprises concurrentes attirent leur attention sur de tels faits. Tout d’abord, elles s’adressent généralement à l’entreprise concernée au moyen d’un questionnaire. Mais elles peuvent aussi avoir recours à des moyens coercitifs pour étudier la situation. À partir de l’introduction de la nouvelle LPD, les clientes et les clients, les entreprises concurrentes et les autorités pourront exiger un examen et, dans le pire des cas, déposer une plainte pénale.
Comment me préparer à la nouvelle LPD et comment me protéger?
Afin d’éviter une infraction intentionnelle (ou un dol éventuel), nous te recommandons de prendre en temps opportun les mesures requises pour mettre en œuvre la nouvelle loi sur la protection des données.
Le mieux est d’engager dès maintenant les démarches nécessaires pour remplir les exigences correspondantes, comme les devoirs d’information ou les demandes de renseignements.