La LPD régit le traitement de données concernant des personnes physiques et des personnes morales effectué par des personnes privées et des organes fédéraux.
Entrée en vigueur : 1 juillet 1993 | Révision appliquée : 1er mars 2019
Révision totale de la LPD applicable au 1er septembre 2023, le Conseil fédéral doit encore prendre la décision nécessaire à cet effet.
La révision prévoit le renforcement des dispositions légales ainsi qu’une amélioration de la transparence des traitements et du contrôle des personnes concernées sur leurs données.
Les responsables du traitement seront responsabilisés en les incitant à prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements (privacy by design). Un de ses objectifs est de maintenir et de renforcer la compétitivité de la Suisse. Pour se faire, la continuité des échanges de données est primordiale. Cette évolution tend a rendre compatible le niveau de maitrise de données de la confédération avec les exigences européennes. L’échange de données entre un Etat tiers et les Etats membres de l’Union européenne ne peut se faire que si le pays tiers assure un niveau de protection adéquat au sens de la directive 95/46/CE. Cette révision prend en compte le règlement (UE) 2016/679 et de la convention révisée du Conseil de l’Europe sur la protection des données STE 108.
Le projet de loi s’articule autour de sept axes :
1. La révision se base sur une approche fondée sur le risque, plus précisément sur les risques potentiels encourus par les personnes concernées
a) Prendre en compte les activités à risque des entreprises qui diffère en fonction de leur activité et de leur taille
2. La neutralité technologique du projet
a) Améliorer la capacité d’adaptation vis-à-vis des technologies émergeantes
3. La terminologie de la loi est modernisée
a) compatibilité du droit suisse avec le droit européen
i. «maître du fichier » devient « responsable du traitement »
ii. « profil de la personnalité » devient « profilage »
iii. « données sensibles » sont étendues aux :
1. « données génétiques »
2. données biométriques identifiant un individu de manière unique
4. L’amélioration des échanges de données transfrontières
5. Le renforcement des droits de la personne concernée
a. Contrôle sur ses données pour décider de leur utilisation
6. Le sixième axe vise à préciser les obligations des responsables du traitement
a. Détail l’obligation d’informer et impose aux responsables du traitement de procéder dans certains cas à une analyse d’impact relative du traitement.
7. Le renforcement des contrôles.
Il est prévu de renforcer le rôle et l’indépendance du préposé mais toujours pas de sanctions administratives
1. Modification du champ d’application de la future LPD L’AP-LPD propose de renoncer à la protection des données des personnes morales
a) Cette modification devrait faciliter la communication de données vers des Etats étrangers
2. Renforcement de la transparence des traitements de données et de la maîtrise par les personnes concernées sur leurs données :
a) La transparence des traitements est améliorée : le devoir d’information lors de la collecte est étendu à tous les traitements dans le secteur privé
b) Le projet introduit un devoir d’information lors de décisions individuelles automatisées (traitements automatiques)
c) le droit pour la personne concernée de faire valoir son point de vue
d) L’AP étend également la liste des informations à fournir à la personne concernée lorsque celle-ci exerce son droit d’accès
e) Les droits des personnes concernés sont clarifiés
le droit à l’effacement des données
accès à la justice est facilité par la suppression des frais judiciaires en procédure civile.
3. Encouragement de l’auto-réglementation :
La révision encourage le développement de l’auto-réglementation et la responsabilisation des responsables du traitement
a) Le préposé a pour tâche d’édicter des recommandations de bonnes pratiques.
b) Les recommandations de bonnes pratiques n’ont pas de caractère obligatoire, mais concrétisent les dispositions légales
4. Renforcement du statut, des pouvoirs et des tâches du préposé :
Le statut et l’indépendance de l’institution du préposé sont renforcés
a) Prendre des décisions contraignantes à l’égard des responsables du traitement et des sous-traitants
5. Renforcement des sanctions pénales
Le volet pénal de la LPD est renforcé
a) Augmentation du seuil maximum des amendes à 500’000
b) Adaptation de la liste des comportements punissables aux nouvelles obligations des responsables du traitement et des sous-traitants
c) Institution d’un délit passible de la peine privative de liberté concernant la violation du devoir de discrétion
d) La prolongation du délai de prescription de l’action pénale pour les contraventions
1. Analyse d’impact relative à la protection des données personnelles.
a) Si le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l’art. 22 de la nLPD prévoit que le responsable du traitement privé devra désormais procéder au préalable à une analyse d’impact.
2. Les responsables du traitement privés peuvent nommer un conseiller à la protection des données (art. 10 al. 1 nLPD)
3. Le conseiller à la protection des données est l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes :
a) Former et conseiller le responsable du traitement privé dans le domaine de la protection des données ;
b) Concourir à l’application des prescriptions relatives à la protection des données (art. 10 al. 2 nLPD)
4. Obligation d’annonce en cas de violation de la sécurité des données :
a) « Le responsable du traitement annonce dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée » (art. 24 al. 1 nLPD)
b) « Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige » (art. 24 al. 4 nLPD)
Auteur: Cedric Murez, Partner Almond Suisse | Consultant, Governance, Risk & Compliance
Retrouvez l’article original : almond.consulting