La Suisse est sur le point de mettre en place une nouvelle loi sur la protection des données en Suisse (nLPD) qui entrera en vigueur à partir du 1er septembre 2023. Cette mise à jour est nécessaire pour adapter la législation suisse à l’ère numérique et pour se conformer au Règlement européen sur la protection des données (RGPD). Dans cet article, nous allons explorer en détail ce que cette nouvelle loi signifie pour les entreprises suisses et ce que vous devez faire pour vous conformer à ses exigences strictes.

Qu’est-ce que la nouvelle Loi sur la protection des données en Suisse ?

La loi sur la protection des données en Suisse existe depuis les années 1990, mais elle est désormais obsolète à l’ère de la numérisation croissante. Cette révision vise à garantir que les données personnelles puissent être échangées entre les pays tout en assurant une protection adéquate des données personnelles.

Les principaux changements

La nouvelle LPD apporte plusieurs changements significatifs, les deux premiers d’entre eux méritent une attention particulière :

1. Responsabilité élargie : Auparavant, seule l’entreprise pouvait être tenue responsable en cas de violation de la loi. Dorénavant, la personne responsable, y compris les propriétaires et les collaborateurs, peut également être visée en premier lieu par des procédures pénales. De plus, le montant maximal de l’amende passe de 10’000 CHF à 250’000 CHF.
2. Portée restreinte : La portée de la nouvelle Loi sur la protection des données en Suisse se limite à présent à la protection des données des personnes physiques, excluant les données des personnes morales.
3. Alignement sur le RGPD européen : la Suisse adopte une législation équivalente au règlement général sur la protection des données (RGPD) en vigueur dans l’UE depuis 2018. Cette harmonisation facilite les relations d’affaires transfrontalières.
4. Consentement explicite : les entreprises doivent recueillir le consentement des personnes de manière claire et non ambiguë avant de collecter ou traiter leurs données personnelles. Le consentement doit être libre, éclairé et actif.
5. Droit à l’oubli : les personnes peuvent demander l’effacement de leurs données personnelles. Les entreprises sont obligées de les supprimer sauf motif légitime de les conserver.
6. Privacy by design : les sociétés doivent intégrer la protection des données dès la conception des produits et services, par défaut.
7. Notification des violations : obligation de signaler toute violation de données présentant un risque élevé pour les personnes concernées dans les meilleurs délais.

Ces changements nécessitent une révision en profondeur de vos politiques et pratiques de protection des données.

Date d’entrée en vigueur

La nouvelle loi sur la protection des données en Suisse devrait entrer en vigueur le 1er septembre 2023. Il est important de noter qu’il n’y aura pas de délai de transition, ce qui signifie que votre entreprise doit se conformer dès cette date.

Implications pour votre entreprise

Pour garantir la conformité à la nouvelle Loi sur la protection des données en Suisse, vous devrez prendre plusieurs mesures essentielles, notamment :

• Gérer et traiter les données de manière moderne et conforme à l’état actuel de la technologie.
• Sensibiliser et former vos collaborateurs à la protection des données et à la sécurité des données.
• Satisfaire aux divers devoirs d’information et de documentation, tels que la tenue d’un registre des activités de traitement des données et la publication d’une déclaration de protection des données sur votre site Web.

Les conséquences du non-respect

Le non-respect de la nouvelle LPD peut avoir des répercussions graves. Outre des sanctions possibles par le préposé fédéral à la protection des données, les contrevenants risquent des amendes allant jusqu’à 250 000 CHF et des procédures pénales. Il est important de noter que ces sanctions pénales visent principalement les personnes responsables de l’organisation, en particulier les dirigeants.

Risques de violation

Votre entreprise court un risque élevé de violation de la nouvelle Loi sur la protection des données en Suisse (nLPD) si vous ne prenez pas les mesures nécessaires pour stocker, transférer, communiquer et sécuriser les données de manière appropriée.

Date limite de conformité

Le Conseil fédéral a donné aux entreprises suisses un an pour se conformer à la nouvelle Loi sur la protection des données en Suisse, à compter du 31 août 2022. Par conséquent, à partir du 1er septembre 2023, toutes les entreprises doivent être en conformité avec les nouvelles prescriptions.

Pas de délais de transition

Il n’y a pas de délais de transition prévus, ce qui signifie que toutes les entreprises doivent respecter les nouvelles exigences dès la date d’entrée en vigueur.

Conséquences du retard

Les autorités de surveillance surveilleront de près le respect de la nouvelle Loi sur la protection des données en Suisse (nLPD). Les entreprises qui ne respectent pas la loi peuvent être confrontées à des enquêtes et à des plaintes potentielles de la part de clients, de concurrents ou d’autres parties concernées.

Comment vous préparer à la nouvelle LPD

Afin d’éviter toute violation intentionnelle ou négligente de la nouvelle LPD, nous vous recommandons de prendre des mesures proactives pour vous conformer à la loi. Engagez-vous dès maintenant dans la mise en place des exigences requises, telles que les devoirs d’information et les demandes de renseignements.

En conclusion, la nouvelle loi sur la protection des données en Suisse (nLPD) apporte des changements significatifs qui nécessitent une action immédiate de la part des entreprises. Ne tardez pas à vous conformer pour éviter des sanctions potentielles et protéger la réputation de votre entreprise en matière de protection des données.

Liste de contrôle pour se conformer à la nLPD suisse

• Déterminez si la loi s’applique à vos activités de traitement des données.
• Traiter les données à caractère personnel de manière licite, loyale et uniquement pour les finalités spécifiées.
• Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées.
• Informer les utilisateurs lors de la collecte de leurs données et des décisions automatisées les concernant.
• Permettre aux utilisateurs d’accéder à leurs données et de les transférer, et répondre aux demandes de rectification, d’effacement ou de limitation du traitement.
• Réaliser des analyses d’impact de la protection des données pour les activités de traitement à haut risque.
• Signaler les violations de données aux autorités et aux personnes concernées, le cas échéant.
• Ne transférer des données à caractère personnel à l’étranger que si une protection adéquate est garantie par contrat.
• Documenter vos activités de traitement des données.
• Mettre en œuvre des garanties supplémentaires en cas de profilage ou de traitement de données sensibles.

FAQ sur la Nouvelle LPD suisse

1. La LPD suisse est-elle similaire au RGPD de l’UE ?

Oui, la Nouvelle Loi sur la protection des données en Suisse (nLPD) est largement similaire au RGPD de l’UE et vise à offrir une protection similaire des données personnelles.

2. Comment puis-je exercer mes droits en vertu de la LPD suisse en tant que citoyen ?

Vous pouvez exercer vos droits en contactant les organisations qui détiennent vos données personnelles et en demandant l’accès, la correction ou la suppression de vos données.

3. Les petites entreprises sont-elles également soumises à la LPD suisse ?

Oui, la LPD suisse s’applique à toutes les organisations, quelle que soit leur taille.

4. Quels sont les délais pour signaler une violation de données en vertu de la LPD suisse ?

Les violations de données doivent être signalées aux autorités dans les 72 heures suivant leur découverte.

5. Quelles sont les conséquences pour les entreprises qui ne respectent pas la LPD suisse ?

Les entreprises qui ne respectent pas la LPD suisse peuvent faire face à des amendes importantes, ainsi qu’à des dommages pour les individus affectés par la violation de données.

Êtes-vous prêt pour la Nouvelle Loi sur la protection des données en Suisse (LPD) ?