Conséquences en cas de violation des obligations d’information
La violation intentionnelle des obligations d’information et de renseignement selon la nLPD est un délit passible de poursuites sur plainte. Ainsi, toute personne qui viole les obligations prévues aux articles 19 (devoir d’information), 21 (devoir d’information en cas de décision individuelle automatisée) et 25 à 27 (devoir de renseignement) de la nLPD en fournissant intentionnellement des renseignements faux ou incomplets est passible d’une amende de 250 000 CHF maximum. Peut également être punie, en vertu des art. 19, al. 1 et 21, al. 1, nLPD, toute personne qui, intentionnellement, omet d’informer la personne concernée ou omet de fournir les informations prévues à l’art. 19, al. 2 de la nLPD.
Responsabilités selon la loi suisse révisée sur la protection des données.
Cette loi, révisée et modernisée, est entrée en vigueur le 1er septembre 2023. Elle prévoit des sanctions pénales en cas de non-respect intentionnel des obligations de protection des données.
Le non-respect intentionnel des nouvelles obligations de protection des données de la nLPD peut désormais être poursuivi pénalement et sanctionné par une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont pas dirigées de manière générale contre l’entreprise. La nLPD prévoit plutôt de sanctionner directement les personnes responsables (par exemple les membres du conseil d’administration, de la direction, les responsables de la conformité, etc.). Les actes suivants peuvent être sanctionnés :
Violation de l’obligation de renseignement et de coopération (art. 60 nLPD) ;
- Fournir intentionnellement des informations fausses ou incomplètes aux personnes concernées ou
- Fournir intentionnellement de fausses informations ou refuser de coopérer avec les autorités de contrôle
Transmission illicite de données :
Selon l’article 61 de la nLPD, les personnes privées sont responsables lorsque des données personnelles sont transmises sans autorisation et que les exigences minimales en matière de sécurité technique et organisationnelle ne sont pas respectées.
- Transfert intentionnel de données personnelles vers des pays tiers sans base légale.
- Transmission intentionnelle de données personnelles à des sous-traitants sans base légale.
- Non-respect délibéré des exigences minimales en matière de mesures de sécurité techniques et organisationnelles.
Non-respect des injonctions de l’autorité de surveillance (art. 63 al. 1 nLPD).