La nouvelle loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023
Par le biais d'une note publiée sur son site internet, l'Office fédéral de la justice (OFJ) vient d'informer qu'il est prévu que le nouveau droit de la protection des données entre en vigueur le 1er septembre 2023. Le Conseil fédéral doit encore prendre la décision nécessaire à cet effet.
Ce document présente en s’inspirant et en reprenant partiellement les explications du Préposé fédéral à la protection des données et à la transparence (PFPDT)[1] quelques éléments clés ainsi que les obligations en matière de documentation de la nouvelle loi sur la protection des données (nLPD).
- Responsable du traitement et sous-traitant. Ces notions sont nouvelles et définissent les rôles essentiels sur lesquels repose la nLPD. [2] Le responsable du traitement est celui qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Le sous-traitant est celui qui traite des données personnelles pour le compte du responsable de traitement.
- Uniquement les données de personnes physiques. La nLPD révisée vise exclusivement à protéger la personnalité des personnes physiques qui font l’objet d’un traitement de données. Sont considérées comme données personnelles toutes les informations concernant une personnes physique identifiée ou identifiable. Elle ne concerne dorénavant plus les données des personnes morales. Les entreprises, comme jusqu’ici, pourront toujours se référer à la protection de la personnalité prévue par l’art. 28 du Code civil suisse (CC), à la protection du secret commercial et de fabrication prévue à l’art. 162 du Code pénal suisse (CP) et aux dispositions pertinentes de la loi fédérale contre la concurrence déloyale (LCD) et de celle sur les cartels et autres restrictions à la concurrence (LCart).
- Données personnelles sensibles. La définition existante des données sensibles et élargie par les « données génétiques et biométriques identifiant une personne physique de manière univoque ».
- Admissibilité du traitement des données. La règle selon laquelle ni le consentement, ni aucun autre motif justificatif n’est nécessaire pour le traitement des données personnelles reste d’actualité. Un motif justificatif n’est nécessaire que si les principes de traitement (art. 6 et 8 nLPD) ne sont pas respectés, si la personne concernée s’est expressément opposée au traitement (art. 30 al. 2 let. b nLPD) ou si des données sensibles sont communiquées à un tiers (art. 30 al. 2 let. c nLPD).[3]
- Protection des données dès la conception et par défaut. Les principes de « Privacy by Design » (protection des données dès la conception) et de « privacy by Default » (protection des données par défaut) sont nouvellement inscrits dans la loi.
- Analyse d’impact relative à la protection des données personnelles. Si le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l’art. 22 de la nLPD prévoit que le responsable du traitement privé devra désormais également procéder au préalable à une analyse d’impact.
- Registre des activités de traitement. Les entreprises qui emploient au moins 250 collaborateurs sont obligées de tenir un registre de toutes leurs activités de traitement. Pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées, le Conseil fédéral prévoira des exceptions dans l’ordonnance.
- Communication de données personnelles à l’étranger. Conformément à l’art. 16 de la nLPD, des données pourront être communiquées à l’étranger si le Conseil fédéral a constaté que l’État tiers dispose d’une législation assurant un niveau de protection adéquat. Il publiera une liste à cette fin, liste qui a été dressée par le PFPDT selon le droit en vigueur. Si l’État destinataire concerné n’y figure pas, les données pourront cependant toujours être communiquées, comme selon le droit en vigueur, à condition qu’une protection adéquate des données soit garantie d’une autre manière.
- Devoir d’informer consolidé. Le devoir d’informer pour les entreprises est élargi. La loi ne contient pas d’exigence quant à la forme de la communication d’information. Dans la pratique, elle prendra en règle générale la forme d’une déclaration de protection des données qui peut être consultée par le site Internet de l’entreprise.
- Droit d’accès de la personne concernée. Le droit d’une personne concernée de demander si des données personnelles la concernant sont traitées est consolidé dans la nLPD.
- Devoir d’annoncer les violations de la sécurité des données. Les cas de violation de la sécurité des données entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée devront dorénavant être annoncés au PFPDT.
- Droit à la portabilité des données personnelles. La personne concernée peut nouvellement demander au responsable du traitement privé qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées ou de les transmettre à un tiers.
- Sanctions pénales. La nLPD prévoit des amendes de 250 000 francs au plus à l’encontre de personnes privées (art. 60 nLDP). Seront punis les comportements et les omissions intentionnels, mais pas la négligence. Le non-respect du devoir d’informer, de renseigner et d’annoncer et la violation des devoirs de diligence et celle du devoir de discrétion seront punis sur plainte seulement.
[1] Nouvelle loi fédérale sur la protection des données : le point de vue du PFPDT, peut être consulté sous <https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#1250878716> (visité le 13.01.2022)
[2] David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, No 13
[3] David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), op.cit., No 7
Fussnoten1Fussnote