Lors de sa session d’automne 2020, le Parlement a adopté la nouvelle loi sur la protection des données (nLPD). Cette dernière permet d’améliorer le traitement des données des citoyens suisses. Il s’agit d’un changement législatif important et les entreprises devront s’y conformer. Cette loi entrera en vigueur le 1er septembre 2023.
Pourquoi est-elle nécessaire
L’utilisation d’internet et d’appareils connectés est de plus en plus fréquente et il est indispensable d’assurer à la population une protection de leurs données optimisée aux évolutions technologiques et sociales actuelles.
Un autre aspect majeur de cette loi vise à se conformer au plus possible à la RGPD qui est la loi européenne sur la protection des données afin de maintenir l’échange de données avec l’Union européenne et d’éviter une perte de compétitivité des entreprises suisses.
Que change réellement cette loi ?
La nouvelle loi intègre les huit changements majeurs pour les entreprises.
1. Seules les données des personnes physiques
Désormais la loi stipule que seules les personnes physiques seront couvertes par la nLPD. Les personnes morales ne seront plus directement concernées par cette loi.
2. Les données génétiques et biométriques
Les données génétiques et biométriques permettant d’identifier une personne de manière univoque sont désormais considérées comme données sensibles.
Cela concerne principalement les empreintes digitales, les images faciales, de l’iris et les procédés de reconnaissance vocale qui permettraient d’identifier une personne.
3. Privacy by design et privacy by default
La notion de privacy by design concerne le fait que lors du développement d’un produit ou un service, la protection des données doit être prise en compte dès la conception de ce dernier. Cette procédure permet de garantir un niveau de sécurité optimale.
Le terme de privacy by default est également concerné par cette nouvelle loi. Cela désigne que des mesures de sécurité et de protection doivent être activées par défaut sans que l’utilisateur final n’ait à interagir avec la solution afin de garantir un niveau de sécurité maximal.
4. Analyse d’impacts
Lorsque le traitement des données personnelles peut entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées, les responsables du traitement des données doivent effectuer une analyse d’impact relative à la protection des données personnelles.
5. Devoir d’informer
Toute donnée collectée doit être notifiée à l’utilisateur final. Cette notification peut être faite via les conditions générales du produit. Le consentement de l’utilisateur n’est en général pas nécessaire pour ces cas d’utilisation. Cependant, le consentement devient nécessaire à partir du moment où des données sensibles sont traitées ou dans le cas d’un profilage à risque élevé.
6. Tenue d’un registre des activités de traitement
Tenir un registre des activités de traitement permet d’identifier la manière dont les données personnelles sont traitées dans l’entreprise.
- Le registre des activités du traitement des données doit au moins contenir :
- L’identité du responsable du traitement
- La finalité du traitement
- Les catégories de personnes concernées et des données personnelles traitées
- Les catégories de destinataires des données personnelles
- Le délai de conservation des données personnelles
- Des indications concernant les mesures visant à garantir la sécurité des données
- En cas de communication de données personnelles à l’étranger, le nom de l’État concerné et les garanties en matière de protection des données
7. Une annonce rapide
L’entreprise doit être en mesures d’assurer la sécurité des données et veiller à ce que ces dernières ne soient pas corrompues ou subtilisées. Toutefois, si un cas similaire devait se présenter, il est important d’avertir au plus vite le préposé fédéral à la protection des données et à la transparence (PFPDT).
8. Notion de profilage
Il s’agit d’un processus de traitement de données, la plupart du temps, automatisé qui permet d’utiliser les données pour établir le profil d’une personnalité. Les données traitées lors d’un profilage peuvent être sensibles. Un profilage à risque élevé est un profilage qui pourrait entraîner un risque élevé pour la personnalité ou les droits fondamentaux d’une personne.
En cas d’infraction
Si une personne enfreint la loi sur la protection des données soit par manquement au devoir d’information ou par utilisation des données en dehors du cadre prévu et communiqué, elle risque une amende allant jusqu’à 250’000.- appliquée non pas à l’entreprise, mais directement à la personne concernée.
Conclusion
Comme vous avez pu le voir dans cet article, toutes les entreprises doivent s’adapter afin d’être en conformité avec la nouvelle loi sur la protection des données, ce qui peut représenter un aspect majeur pour ces dernières.
Notre expérience nous permet de vous accompagner pour toutes questions concernant la mise en place ou l’adaptation au niveau informatique de la nouvelle loi et ainsi effectuer une transition optimale vers celle-ci.
Sources
Nouvelle loi sur la protection des données (nLPD) (admin.ch)
NLPD, la nouvelle loi de protection des données Suisse | Habefast
