A partir du 1er septembre 2023, la loi sur la protection des données totalement révisée (révLPD) entrera en vigueur en Suisse et constituera une étape importante pour la protection des données. Elle se concentre sur la protection des données personnelles en limitant le champ d’application aux données des personnes physiques et en introduisant de nouvelles catégories de données telles que les « données génétiques » et les « données biométriques ». Les entreprises doivent se préparer à des changements importants, tels que l’adaptation des déclarations de protection des données, la tenue de registres de traitement et la formation du personnel, afin de répondre aux exigences renforcées. Avec cette révision complète, la Suisse fait un pas important vers une protection des données moderne et renforce sa position de partenaire fiable pour la libre circulation des données dans le monde numérique.

1. Pourquoi une révision totale de la législation sur la protection des données est-elle nécessaire en Suisse ?

En Suisse, la révision totale de la loi sur la protection des données (révLPD) du 25 septembre 2020 et les dispositions d’exécution dans la nouvelle ordonnance sur la protection des données (OPDo) du 31 août 2022 et la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD) du 31 août 2022 entreront en vigueur le 1er septembre 2023. La première loi fédérale sur la protection des données date de 1992. Aujourd’hui, une révision complète de la loi sur la protection des données est nécessaire pour garantir à la population une protection des données adéquate et adaptée aux évolutions technologiques et sociales de notre époque. Il s’agit notamment d’améliorer la transparence des traitements de données et de renforcer l’autodétermination des personnes concernées quant à leurs données.

La compatibilité du droit suisse avec le droit européen, en particulier avec le règlement général sur la protection des données (UE) 2016/679 (RGPD), est également à l’ordre du jour. La révision doit rapprocher la législation suisse en matière de protection des données des exigences du règlement (UE) 2016/679. La révision de la LPD doit permettre de maintenir la libre circulation des données avec l’Union européenne afin que les entreprises suisses ne perdent pas en compétitivité. En outre, la révision totale doit permettre à la Suisse de ratifier la convention révisée sur la protection des données STE 108 du Conseil de l’Europe et de mettre en œuvre la directive (UE) 2016/680 relative à la protection des données en matière pénale, qui relève de Schengen. Ce rapprochement et la ratification de la convention révisée STE 108 sont essentiels pour que l’UE continue de reconnaître la Suisse comme un Etat tiers offrant un niveau de protection des données adéquat et pour que la transmission transfrontalière des données reste possible à l’avenir sans autres obstacles.

La révision de la LPD introduit des changements majeurs pour les entreprises.

2. Quel sera le champ d’application ?

La révLPD a repris du RGPD le principe du lieu du marché (art. 3 al. 1, art. 14 et art. 15 révLPD). La LPD révisée s’applique donc aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger (art. 3, al. 1, révLPD).

De plus, la révLPD ne s’applique plus au traitement des données des personnes morales (p. ex. sociétés anonymes, associations). Seules les données des personnes physiques sont désormais concernées. La révLPD ne s’applique donc plus qu’au traitement des données personnelles des personnes physiques.

3. Les catégories de données sont-elles modifiées ?

La révLPD introduit de nouvelles catégories de données. Ainsi, la catégorie des données personnelles sensibles a été complétée par les « données génétiques » (art. 5 let. c ch. 3 révLPD) et les « données biométriques qui identifient une personne physique de manière univoque » (art. 5 let. c ch. 4 révLPD). Ces catégories de données se retrouvent également dans le RGPD.

4. Le principe d’interdiction de l’UE est-il repris ?

La révLPD part toujours du principe que le traitement de données personnelles est en principe autorisé dans la mesure où il est conforme à la protection des données, c’est-à-dire qu’il respecte en particulier les principes généraux de traitement (par ex. licéité, bonne foi, proportionnalité, caractère reconnaissable, finalité). Contrairement au RGPD, le principe d’interdiction ne s’applique donc pas et il n’est pas nécessaire de mentionner un motif justificatif (p. ex. consentement, loi, etc.) pour chaque traitement.

5. Quelles sont les obligations du responsable du traitement des données ?

a) Les principes de traitement sont-ils respectés ?

Les principes de traitement (art. 6 révLPD) ont été quelque peu reformulés dans le cadre de la révision, mais leur contenu correspond à la réglementation actuelle (voir en particulier l’art. 4 LPD). Les principes de traitement restent donc les mêmes que sous le droit européen (p. ex. finalité, transparence, exactitude des données). Contrairement au droit de l’UE, il n’est pas nécessaire de disposer d’un motif juridique ou d’une justification pour un traitement de données si les principes de traitement sont respectés ou si aucune donnée personnelle sensible de tiers n’est divulguée, effacer: comme nous l’avons mentionné (voir paragraphe I.c. ci-dessus). En ce qui concerne les motifs justificatifs, il convient de noter qu’ils sont plus strictement réglementés sous la révLPD que sous l’ancien droit, notamment en ce qui concerne l’examen de la solvabilité d’une personne concernée et le privilège de la recherche (voir art. 31 révLPD par rapport à l’art. 13 LPD).

b) Comment les traitements doivent-ils être inventoriés ?

Un registre des activités de traitement (inventaire des traitements) est obligatoire (art. 12 révLPD). L’ordonnance sur la protection des données (Art. 24 OPDo) prévoit toutefois une exception pour les PME dont le traitement des données ne présente qu’un faible risque d’atteinte à la personnalité des personnes concernées. Le fait de ne pas tenir un registre des traitements n’est toutefois pas punissable.

c) Comment gérer les risques

• « Privacy by design » et « privacy by default » : Les deux principes connus du RGPD, « Privacy by Design » (protection des données par la technique) et « Privacy by Default » (protection des données par défaut), sont introduits à l’article 7 révLPD. « Privacy by design » signifie pour les développeurs d’intégrer la protection et le respect de la vie privée des utilisateurs dans la structure des produits ou services qui vont collecter des données personnelles. Le principe « Privacy by Default » garantit que le niveau de sécurité le plus élevé est déjà présent lors de la mise sur le marché du produit ou du service, en activant par défaut, c’est-à-dire sans intervention de l’utilisateur, toutes les mesures nécessaires à la protection et à la limitation de l’utilisation des données. En d’autres termes, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à préserver la vie privée des utilisateurs. Il est par exemple exigé que les applications soient conçues de manière à ce que les données personnelles soient pseudonymisées, anonymisées ou régulièrement effacées par la technique. De même, seules les données personnelles qui sont absolument nécessaires pour l’utilisation prévue doivent être collectées et les autres données personnelles ne doivent être collectées que si elles sont activement sélectionnées ou autorisées.
• Analyse d’impact relative la protection des données personnelles : selon l’article 22 révLPD, les responsables privés (par exemple les hôpitaux privés) doivent également procéder à une analyse d’impact sur la protection des données et la documenter lorsqu’un traitement peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Un risque élevé peut notamment résulter de l’utilisation de nouvelles technologies (par ex. l’intelligence artificielle), de la nature, de l’ampleur, des circonstances et de la finalité du traitement (art. 22, al. 2, révLPD). Le profilage à haut risque ou le traitement à grande échelle de données personnelles sensibles, en particulier, constituent un tel risque élevé.
• Obligation de notification en cas de violation de la protection des données : Le droit révisé introduit une nouvelle obligation de notification en cas de violation de la sécurité des données (art. 24 révLPD). Une notification rapide est nécessaire en cas de violation de la sécurité des données. Elle doit être adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT).

d) Les obligations d’information ont-elles été renforcées ?

La révLPD contient des obligations d’information renforcées pour le responsable du traitement par rapport à la LPD actuelle. L’importance du respect des prescriptions accrues en matière de transparence est renforcée par le fait que le non-respect de l’obligation d’informer peut être sanctionné d’une amende pouvant aller jusqu’à 250 000 CHF sous révLPD (art. 60 révLPD). Conformément à l’article 19 révLPD, il y aura désormais un devoir d’information pour chaque collecte de données personnelles. La personne concernée doit être informée au préalable de toute collecte de données personnelles – et non plus seulement de données dites sensibles. En plus de l’obligation générale d’informer dont nous avons parlé, une obligation d’informer spéciale est introduite pour les décisions individuelles automatisées (art. 21 révLPD).

Les obligations d’information renforcées présupposent, dans la pratique, une déclaration de protection des données conforme à la révDSG. Dans ce cadre, les déclarations de protection des données actuellement en vigueur doivent être vérifiées et, si nécessaire, révisées d’ici l’entrée en vigueur du droit révisé.

6. Quels seront les droits des personnes concernées ?

a) Quelles informations minimales doivent être communiquées ?

Le droit d’accès (art. 8 LPD) voit son contenu élargi par la révision, qui établit un catalogue d’informations minimales devant être communiquées dans tous les cas à la personne concernée qui en fait la demande (art. 25, al. 2, révLPD). La violation de l’article 25 révLPD peut être punie d’une amende pouvant aller jusqu’à CHF 250 000 (art. 60 révLPD).

b) La portabilité des données est-elle réalisée?

L’article 28 révLPD confère désormais aux sujets de données un droit à la remise et à la transmission des données personnelles qu’ils ont communiquées au responsable et qui ont été traitées de manière automatisée par ce dernier. La remise doit en principe être gratuite (art. 28, al. 3, révLPD) et se faire sous un format électronique couramment utilisé (art. 28, al. 1, révLPD).

7. Les amendes seront-elles plus élevées ?

L’amende maximale encourue en cas de violation intentionnelle de la LPD a été considérablement augmentée dans le cadre de la révision et a été fixée à 250 000 CHF (contre 10 000 CHF auparavant).

8. Est-il nécessaire d’agir ?

Les entreprises devraient procéder à une analyse des lacunes (gap analysis) et déterminer ainsi les mesures à prendre. Il convient notamment de vérifier si les déclarations de protection des données existantes doivent être adaptées ou rédigées et s’il existe des contrats écrits avec tous les sous-traitants. Ensuite, il convient de compléter les registres existants des activités de traitement ou d’en établir de nouveaux. Il faut s’assurer que toutes les informations sont disponibles de manière groupée, ce qui permet ensuite d’exécuter les obligations d’information et de renseignement conformément à la loi.

Les collaborateurs devraient également être formés, par exemple les collaborateurs du service extérieur en ce qui concerne les bases de données qu’ils utilisent.

LINDEMANNLAW peut vous aider à mettre en œuvre les modifications de la nouvelle loi suisse sur la protection des données ? Contactez-nous pour un conseil détaillé.