Nouvelle loi sur la protection des données en Suisse

Nouvelle loi sur la protection des données en Suisse

Présentation
Titre Nouvelle loi sur la protection des données en Suisse
Abréviation nLPD
Référence 235.1
Pays Drapeau de la Suisse Suisse
Langue(s) officielle(s) Allemand,Français,Italien
Branche Droit privé
Adoption et entrée en vigueur
Adoption
Entrée en vigueur

Lire en ligne

[1]

À propos de la loi

modifier

À compter du 1er septembre 2023, la Suisse mettra en vigueur la « nLPD » (acronyme de « Nouvelle loi sur la protection des données » ou « Nouvelle loi fédérale sur la protection des données »)[1] , une réglementation fraîchement actualisée concernant la confidentialité des données. Cette révision législative entraînera divers changements significatifs pour les processus commerciaux.

La loi s'applique le 1er septembre 2023 et il n'y aura pas de délai transitoire[2].

Champ d'action

modifier

Toutes les entreprises qui travaillent avec des données personnelles doivent se plier à cette nouvelle réglementation. L'idée est cette actualisation est de donner plus de droits aux personnes dans le cadre de la protection de leurs données. Les entreprises sont alors obligées d'analyser la pertinence des données collectées, leur traitement et la manière dont elles sont gérées (notamment en cas de problème).

Impact sur les entreprises

modifier

Toutes les entreprises présentes actives sur le territoire Suisse doivent travailler sur la transparence des procédures de gestion de données. Elles doivent démontrer qu'elles ne gardent que les données pertinentes et, en conséquences, que toutes les autres données - dont les données sensibles - sont supprimées dès qu'elles ne sont plus pertinentes.

La responsabilité des entreprises est maintenant transférée sur les personnes physiques, c'est-à-dire les employés mais plus souvent le chef d'entreprise. La reconnaissance d'une responsabilité personnelle dans un conflit autour de la « nLPD » peut aller jusqu'au versement d'une amende s'élevant à CHF 250.000,-.

Il est alors recommandé à chaque entreprise traitant un volume de données conséquent de faire appel à des experts. D'un côté, un conseil juridique permet de comprendre impact légal sur la situation de chaque entreprise. De l'autre, de nombreuses entreprises se doivent encore d'adapter leurs canaux de communication (ex: page de politique de confidentialité sur le site web) ainsi que les outils permettant la collecte des données (ex: formulaire d'inscription)[3].

Le principal changement en termes de traitement de données

modifier

Privacy by design (La notion de protection « dès la conception ») :

Le responsable du traitement doit prendre, dès la conception du traitement, des mesures techniques et organisationnelles appropriées afin que le traitement respecte les principes relatifs à la protection des données et offre les garanties nécessaires afin de protéger les droits de la personne concernée

Cette notion, déjà consacrée en droit européen (article 25 §1 RGPD2), a été introduite dans le cadre de la révision de la loi fédérale sur la protection des données («nLPD»3; voir art. 7 al. 1 et 2 nLPD). Le Conseil National et le Conseil des Etats ont adopté la nLPD le 25. 9. 2020 et la date d'entrée en vigueur est commencé depuis 1er septembre 2023.

Aspects éthiques

modifier

Cette loi est aussi l'occasion de se poser des questions sur le type de données collectées et si elles sont gérées de façon éthique. La notion de consentement, notamment dans le cadre de l'utilisation de données sensibles, devient central. Pour de nombreuses entreprises, c'est l'occasion de se poser des questions concrètes au niveau éthique. C'est par exemple le cas de la «décision individuelle automatisée», qui fait déjà débat en Suisse [4].

Références

modifier