La nouvelle LPD suisse 2023

La Suisse a modernisé la loi fédérale sur la protection des données (nLPD) et adapté la protection des données aux nouvelles réalités. En outre, cette révision vise à aligner la législation suisse sur les exigences du Règlement général sur la protection des données (RGPD) afin que la Suisse continue d’être reconnue par l’UE comme un pays tiers offrant un niveau de protection des données adéquat, garantissant ainsi la poursuite des transferts de données transfrontaliers.

Les entreprises suisses sont tenues de respecter les dispositions légales dès l’entrée en vigueur de la révision de la loi sur la protection des données (nLPD). Avec la nLDP et le RGPD, la protection des données devient un facteur de conformité essentiel pour les entreprises suisses. Le non-respect des exigences en matière de protection des données expose les entreprises à des risques financiers, tels que les amendes de dommages-intérêts de la part des personnes concernées et des amendes imposées par les autorités de contrôle. Pour éviter tout comportement illicite et réduire les risques de responsabilité, des mesures de conformité appropriées doivent être mises en place et adaptées à la situation de risque de l’entreprise. En tant que conseiller en protection des données Suisse, OBSECOM GmbH vous accompagne pour garantir le respect de vos obligations de conformité.

Quand la nLPD entrera-t-elle en vigueur ?

Le Parlement suisse a adopté la nLPD le 25 septembre 2020. La consultation à ce sujet s’est terminée le 14 octobre 2021, la nLPD est entrée en vigueur depuis le 1er septembre 2023.

Quelles sont les principales nouveautés dont les entreprises doivent tenir compte ?

Art. 9 nLPD – Règlementations contractuelles concernant le traitement par des sous-traitants
Lors du traitement des données personnelles par les sous-traitants, les entreprises devront s’assurer que ces derniers sont en mesure de garantir la sécurité des données. A l’avenir, toute externalisation du traitement des données à des sous-traitants nécessitera l’approbation du responsable du traitement. Le traitement des données doit être encadré par des accords contractuels avec les sous-traitants.

Art.19 et suivants nLPD – Nouvelles obligations d’information lors de la collecte de données personnelles
À l’avenir, les personnes concernées doivent être correctement informées lors de la collecte de données personnelles, notamment sur les finalités du traitement, les décisions automatisées et les transferts de données à l’étranger, par le biais d’une politique de confidentialité. Si les données personnelles sont collectées auprès de tiers, les personnes concernées doivent être informées dans un délai d’un mois. Les entreprises doivent identifier les activités de traitement pertinentes et élaborer des politiques de confidentialité appropriées.

Art. 25 et suivants nLPD – Renforcement des droits des personnes concernées
Les entreprises doivent mettre en place des processus permettant de répondre aux demandes des personnes concernées concernant l’accès aux données dans un délai de 30 jours. De plus, elles doivent s’assurer que les données personnelles inexactes sont corrigées, que les données non nécessaires sont supprimées, et que les données traitées de manière automatisée peuvent être fournies ou transférées sur demande.

Art.24 nLPD – Notifications de violations de la sécurité des données
À l’avenir, les entreprises devront signaler sans délai les violations de la sécurité des données au Préposé fédéral à la protection des données (FDPIC) si la violation présente un risque élevé pour les personnes concernées. Les organisations doivent mettre en œuvre des processus pour détecter les violations de données et évaluer les exigences de notification.

Art.60 f nLPD – amendes pour violation des obligations légales

En cas de violation intentionnelle des obligations de diligence, d’information, d’accès et de coopération, des personnes physiques peuvent être condamnés à une amende pouvant aller jusqu’à 250 000 CHF. Les amendes ne sont généralement pas infligées à l’entreprise, mais visent directement les personnes responsables (par exemple, le PDG, le CIO ou d’autres responsables).

Article 10 nLPD – conseiller en protection des données Suisse

Les entreprises peuvent nommer un conseiller en protection des données pour les accompagner dans la mise en œuvre et le respect des réglementations en matière de protection des données. Le conseiller à la protection des données sert de point de contact pour les personnes concernées et les autorités de protection des données. Si un conseiller à la protection des données est désigné, l’entreprise peut bénéficier d’allègements concernant certaines obligations de notification. OBSECOM GmbH, basée à Stuttgart avec une succursale en Suisse à Préverenges (VD), vous accompagne en tant que conseiller externe pour la mise en œuvre de la nLPD.

Quelles exigences de conformité peuvent avoir des conséquences pénales ?

La violation intentionnelle des nouvelles obligations en matière de protection des données peut désormais être sanctionnée pénalement par une amende pouvant aller jusqu’à 250 000 CHF. En général les amendes ne sont pas infligées à l’entreprise, mais directement aux personnes responsables (par exemple, le PDG, le CIO ou d’autres responsables). Pour éviter ces sanctions, les domaines suivants devraient être mis en œuvre de manière conforme à la protection des données :

  • Respect des exigences minimales en matière de sécurité des données : Les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est autorisé à consulter des documents pertinents lors des enquêtes sur les violations des règles de protection des données
  • Réglementation contractuelle de l’externalisation du traitement des données : Les entreprises doivent établir des contrats clairs avec les sous-traitants. Elles doivent également s’assurer que ces sous-traitants sont capables de garantir la sécurité des données.
  • Transfert de données personnelles à l’étranger : La communication de données personnelles à l’étranger ne doit avoir lieu que si des garanties adéquates en matière de protection des données sont respectées.
  • Information des personnes concernées lors de la collecte de données personnelles et de la prise de décisions automatisées : Les personnes concernées doivent être correctement informées lors de la collecte de leurs données personnelles et lorsqu’elles sont soumises à une prise de décision automatisée.
  • Droit d’accès aux données : les entreprises doivent, sur demande, informer les personnes concernées sur la manière dont leurs données sont traitées.

Quels sont les processus de protection des données que les entreprises doivent mettre en place ?

Dans le cadre de leurs obligations de conformité, les entreprises sont tenues de mettre en place des processus de protection des données adaptés. Cela inclut :

  • Mise en place de procédures pour détecter, évaluer et signaler les violations de données.
  • Intégration de la protection des données dans la création de nouveaux processus commerciaux : s’assurer que la protection des données soit intégrée dès la conception de nouveaux processus et bien documentée, afin de répondre aux exigences concernant les registres de traitement, les informations aux personnes concernées et les obligations d’accès
  • Définir les responsabilités, sensibiliser les collaborateurs.
  • Surveillance, classification et priorisation des mesures de conformité.

Les groupes d’entreprises ayant une orientation internationale doivent déjà prendre en compte des exigences de protection des données comparables pour les sociétés affiliées au sein de l’UE et à l’étranger. La révision de la loi suisse sur la protection des données offre l’opportunité d’harmoniser l’organisation de la protection des données au sein du groupe.

Comment les conseillers à la protection des données peuvent-ils aider à la conformité en matière de protection des données ?

Selon la nLPD la nomination d’un conseiller à la protection des données est facultative, mais présente des avantages pour les entreprises ayant des exigences de conformité complexes. Le conseiller à la protection des données est le point de contact pour les personnes concernées et les autorités de protection des données. Il collabore avec l’équipe de conformité de l’entreprise, conseille sur les questions de protection des données et veille à ce que la protection des données soit intégrée dans toutes les mesures de conformité. Le conseiller en protection des données évalue le traitement des données personnelles et recommande des actions correctives. Si une analyse d’impact relative à la protection des données doit être effectuée pour le traitement de données à risque, le responsable peut se dispenser de consulter le PFPDT s’il a fait appel à un conseiller à la protection des données.

Retour