La LPD régit le traitement de données concernant des personnes physiques et des personnes morales effectué par des personnes privées et des organes fédéraux.
« Révision de la loi sur la protection des données personnelles »
Situation règlementaire :
Entrée en vigueur : 1 juillet 1993 | Révision appliquée : 1er mars 2019
Révision totale de la LPD applicable au 1er septembre 2023, le Conseil fédéral doit encore prendre la décision nécessaire à cet effet.
Objectifs de la révision :
La révision prévoit le renforcement des dispositions légales ainsi qu’une amélioration de la transparence des traitements et du contrôle des personnes concernées sur leurs données.
Les responsables du traitement seront responsabilisés en les incitant à prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements (privacy by design). Un de ses objectifs est de maintenir et de renforcer la compétitivité de la Suisse. Pour se faire, la continuité des échanges de données est primordiale. Cette évolution tend a rendre compatible le niveau de maitrise de données de la confédération avec les exigences européennes. L’échange de données entre un Etat tiers et les Etats membres de l’Union européenne ne peut se faire que si le pays tiers assure un niveau de protection adéquat au sens de la directive 95/46/CE. Cette révision prend en compte le règlement (UE) 2016/679 et de la convention révisée du Conseil de l’Europe sur la protection des données STE 108.
Les 7 axes d’évolutions :
Le projet de loi s’articule autour de sept axes :
1. La révision se base sur une approche fondée sur le risque, plus précisément sur les risques potentiels encourus par les personnes concernées
a) Prendre en compte les activités à risque des entreprises qui diffère en fonction de leur activité et de leur taille
2. La neutralité technologique du projet
a) Améliorer la capacité d’adaptation vis-à-vis des technologies émergeantes
3. La terminologie de la loi est modernisée
a) compatibilité du droit suisse avec le droit européen
i. «maître du fichier » devient « responsable du traitement »
ii. « profil de la personnalité » devient « profilage »
iii. « données sensibles » sont étendues aux :
1. « données génétiques »
2. données biométriques identifiant un individu de manière unique
4. L’amélioration des échanges de données transfrontières
5. Le renforcement des droits de la personne concernée
a. Contrôle sur ses données pour décider de leur utilisation
6. Le sixième axe vise à préciser les obligations des responsables du traitement
a. Détail l’obligation d’informer et impose aux responsables du traitement de procéder dans certains cas à une analyse d’impact relative du traitement.
7. Le renforcement des contrôles.
Il est prévu de renforcer le rôle et l’indépendance du préposé mais toujours pas de sanctions administratives
Principales nouveautés :
1. Modification du champ d’application de la future LPD L’AP-LPD propose de renoncer à la protection des données des personnes morales
a) Cette modification devrait faciliter la communication de données vers des Etats étrangers
2. Renforcement de la transparence des traitements de données et de la maîtrise par les personnes concernées sur leurs données :
a) La transparence des traitements est améliorée : le devoir d’information lors de la collecte est étendu à tous les traitements dans le secteur privé
b) Le projet introduit un devoir d’information lors de décisions individuelles automatisées (traitements automatiques)
c) le droit pour la personne concernée de faire valoir son point de vue
d) L’AP étend également la liste des informations à fournir à la personne concernée lorsque celle-ci exerce son droit d’accès
e) Les droits des personnes concernés sont clarifiés
le droit à l’effacement des données
accès à la justice est facilité par la suppression des frais judiciaires en procédure civile.
3. Encouragement de l’auto-réglementation :
La révision encourage le développement de l’auto-réglementation et la responsabilisation des responsables du traitement
a) Le préposé a pour tâche d’édicter des recommandations de bonnes pratiques.
b) Les recommandations de bonnes pratiques n’ont pas de caractère obligatoire, mais concrétisent les dispositions légales
4. Renforcement du statut, des pouvoirs et des tâches du préposé :
Le statut et l’indépendance de l’institution du préposé sont renforcés
a) Prendre des décisions contraignantes à l’égard des responsables du traitement et des sous-traitants
5. Renforcement des sanctions pénales
Le volet pénal de la LPD est renforcé
a) Augmentation du seuil maximum des amendes à 500’000
b) Adaptation de la liste des comportements punissables aux nouvelles obligations des responsables du traitement et des sous-traitants
c) Institution d’un délit passible de la peine privative de liberté concernant la violation du devoir de discrétion
d) La prolongation du délai de prescription de l’action pénale pour les contraventions
Obligations légales :
1. Analyse d’impact relative à la protection des données personnelles.
a) Si le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l’art. 22 de la nLPD prévoit que le responsable du traitement privé devra désormais procéder au préalable à une analyse d’impact.
2. Les responsables du traitement privés peuvent nommer un conseiller à la protection des données (art. 10 al. 1 nLPD)
3. Le conseiller à la protection des données est l’interlocuteur des personnes concernées et des autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes :
a) Former et conseiller le responsable du traitement privé dans le domaine de la protection des données ;
b) Concourir à l’application des prescriptions relatives à la protection des données (art. 10 al. 2 nLPD)
4. Obligation d’annonce en cas de violation de la sécurité des données :
a) « Le responsable du traitement annonce dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée » (art. 24 al. 1 nLPD)
b) « Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige » (art. 24 al. 4 nLPD)
Rappel des principes actuels :
- Tout traitement de données doit être licite.
- Leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.
- Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
- La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
- Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.
Bonnes pratiques :
- Préserver les trois piliers : Confidentialité, Intégrité, Confidentialité
- Collecter uniquement les données utiles, effacer les données devenues inutiles et s’abstenir tant que possible de collecter des données sensibles.
- Tenir à jour un registre de traitement comprenant les finalités
- Nommer officiellement un DPO
- Signaler vos incidents au plus tôt, alerter les intéressés le cas échéant
- Se prémunir des risques juridiques par le biais de contrats adaptés encadrant les sous-traitants et les transferts de données hors de Suisse
- Informé l’utilisateur de ses droits, collecter son consentement et respecter son opposition au traitement
- Sur demande, être capable de communiquer une copie des informations au propriétaire des données
Auteur: Cedric Murez, Partner Almond Suisse | Consultant, Governance, Risk & Compliance
Retrouvez l’article original : almond.consulting
