Droit commercial

Partager cet article :

Révision de la Loi fédérale sur la Protection des Données (LPD)

Partager cet article sur :

Droit commercial
Révision de la Loi fédérale sur la Protection des Données (LPD)

La révision de la loi fédérale sur la protection des données (nLPD) ainsi que les nouvelles ordonnances d’exécution, l’une sur la protection des données (OPDo) et l’autre sur les certifications en matière de protection des données (OCPD), entreront en vigueur le 1er septembre 2023. La mise en œuvre de ces nouvelles dispositions doit être réalisée préalablement à leur entrée en vigueur, aucune période transitoire n’étant prévue à compter de cette date.

VERSION PDF: Newsletter – Juin 2023.pdf

I.       Introduction

Faisant suite à l’adoption par le Parlement fédéral de la nLPD le 25 septembre 2020, le Conseil fédéral a décidé le 31 août 2022 que la nLPD ainsi que les deux ordonnances d’exécution entreraient en vigueur le 1er septembre 2023.

Une révision totale du droit suisse de la protection des données était nécessaire afin d’adapter les dispositions légales aux développements technologiques récents et de renforcer la protection des données ainsi que de la rapprocher des nouvelles exigences du droit européen.

Cette révision permet à la Suisse de ratifier la version révisée de la Convention 108 du Conseil de l’Europe sur la protection des données, la ratification ne pouvant intervenir qu’après l’entrée en vigueur de la nLPD. Elle permet également à la Suisse, selon l’avis du Conseil fédéral, de maintenir un niveau de protection des données adéquat au sens du Règlement (UE) 2016/679 relatif à la protection des données (RGPD), permettant l’échange de données avec l’Union Européenne sans conditions supplémentaires.

II.     Les principales nouveautés

Selon la nLPD, les principes généraux applicables au traitement des données personnelles (licéité, transparence, finalité, proportionnalité, exactitude et sécurité) n’ont pas été modifiés et correspondent pour l’essentiel à ceux prévus par le droit en vigueur. Quant au champ d’application géographique, l’art. 3 nLPD confirme la jurisprudence actuelle du Tribunal Fédéral en prévoyant expressément que la loi s’applique aux états de fait déployant leurs effets en Suisse, même s’ils se sont produits à l’étranger.

Néanmoins, la nLPD et ses ordonnances d’exécution procèdent à des changements notables en matière de protection des données, dont les principales nouveautés sont les suivantes :

–          Une terminologie modernisée et compatible avec le droit de l’Union Européenne (art. 5 nLPD) : la notion de « maître du fichier » est remplacée par celle de « responsable du traitement » et la notion de « sous-traitant » est introduite, ces concepts ayant été repris du RGPD. Entrent dans le champ des données sensibles, les données génétiques et biométriques et sont ajoutées les notions de profilage et de profilage à risque élevé, ce qui permet d’adapter la nLPD aux outils modernes de collecte de données.

–          Un champ d’application personnel restreint (art. 2 al. 1 nLPD) : les données des personnes morales (sociétés commerciales, associations, fondations, etc.) ne sont plus protégées. Seules les personnes physiques bénéficieront d’une protection en vertu de la nLPD. Les personnes morales devront se tourner vers d’autres dispositions légales protectrices, telles que l’art. 28 du code civil, l’art. 162 du code pénal, la loi sur la concurrence déloyale ou encore la loi sur les cartels.

–          L’introduction des concepts de Privacy by Design et Privacy by Default (art. 7 nLPD) : la protection des données doit être garantie dès la conception (le respect de la vie privée est intégré dans la conception et le fonctionnement des systèmes et réseaux informatiques) et par défaut (les paramètres par défaut sont réglés sur le mode le plus protecteur de la vie privée, l’utilisateur pouvant décider de les modifier a posteriori).

–          La nomination facultative d’un conseiller à la protection des données (art. 10 nLPD) : les responsables de traitement privés auront la possibilité de nommer un tel conseiller, en interne ou externe à l’entreprise. La nomination d’un tel conseiller aura des conséquences sur les obligations du responsable de traitement privé, en fonction du statut du conseiller.

–          L’obligation de tenir un registre des activités de traitement (art. 12 nLPD) : les responsables de traitement et les sous-traitants doivent tenir un registre de leurs activités de traitement, dont les exigences minimales sont définies par la loi. Néanmoins, des exceptions existent concernant les personnes privées employant moins de 250 collaborateurs et dont le traitement ne présente qu’un risque limité d’atteinte à la personnalité.

–          Des règles relatives à la communication des données personnelles à l’étranger remaniées (art. 16 et 17 nLPD) : la liste des Etats présentant un niveau de protection adéquat sera établie par le Conseil fédéral. Si l’Etat destinataire ne figure pas sur cette liste, la communication de données personnelles restera possible à certaines conditions, la liste des garanties ayant été modifiée.

–          L’introduction d’un devoir général d’informer la personne concernée de la collecte de données (art. 19 et 20 nLPD) : cette obligation d’information concomitante à la collecte concerne toutes les données personnelles et non plus seulement les données personnelles sensibles ou les profils de la personnalité comme le prévoit le droit actuel. Des exceptions à ce devoir sont également précisées dans la nLPD. La loi ne prévoit pas de forme particulière mais précise uniquement les caractéristiques que l’information doit revêtir.

–          Un renforcement des droits des personnes concernées : la nLPD consolide le droit d’accès de la personne concernée (art. 25 nLPD) et introduit un droit à la portabilité des données (droit à la remise des données personnelles sous un format électronique) (art. 28 nLPD).

–          Une obligation d’annonce des violations de la sécurité des données (art. 24 nLPD) : lorsqu’une violation de la sécurité des données engendre un risque élevé pour la personnalité ou les droits fondamentaux, le responsable du traitement a l’obligation d’informer le préposé fédéral à la protection des données (PFPDT). Le responsable du traitement pourra également être amené à informer les personnes concernées.

–          Le rôle du préposé fédéral à la protection des données et à la transparence (PFPDT) modifié (art. 49 et 50-52 nLPD) : le PFPDT dispose d’un pouvoir de surveillance renforcé et lui sont confiés de véritables pouvoirs décisionnels.

–          Des sanctions redéfinies en cas de violation de la nLPD : les personnes responsables peuvent être sanctionnées par des amendes de 250’000 francs au plus en cas de violation de certaines obligations prévues par la loi, notamment le devoir d’informer. Contrairement au RGPD, ce ne sont pas les entreprises qui sont visées à titre principal par les sanctions mais la personne responsable de la violation au sein de l’entreprise.

III.    Mise en œuvre des nouvelles exigences légales

En raison de l’absence de période transitoire à compter de l’entrée en vigueur de la nLPD, les responsables de traitement et les sous-traitants doivent s’assurer qu’ils sont en conformité avec les nouvelles exigences légales dès le 1er septembre 2023. 

La documentation d’une entreprise en matière de protection des données doit être impérativement revue afin de s’assurer qu’elle est compatible avec les nouvelles dispositions légales et nécessitera très probablement des adaptations. Chaque responsable de traitement devra en particulier s’assurer du respect des principes de protection dès la conception et par défaut, vérifier vers quel(s) Etat(s) destinataire(s) les données sont transférées et si cet Etat figure sur la liste du Conseil fédéral, revoir l’éventuelle politique/déclaration de confidentialité existante au regard des nouvelles exigences légales, voire l’éventuel formulaire de consentement existant, ou encore s’assurer que les directives internes de l’entreprise sont conformes aux nouvelles exigences légales, notamment en matière de droit d’accès ou de devoir d’annonce.

La mise en œuvre de la nLPD doit par conséquent être anticipée et les adaptations nécessaires opérées d’ici au 31 août 2023.

Nos avocats spécialisés dans le thème

t3
Gabrielle Kraus
Anil_no_bg
Anil Nair

Besoin de plus d’informations ?

Les autres actualités de l’étude

Droit fiscal
Actualités en matière de fiscalité immobilière
L’initiative parlementaire « Imposition du logement. Changement de système » déposée le 2 février 2017 par le Commission de l'Economie et des...
Droit commercial
Révision de la Loi fédérale sur la Protection des Données (LPD)
La révision de la loi fédérale sur la protection des données (nLPD) ainsi que les nouvelles ordonnances d’exécution, l’une sur...
Droit fiscal
Imposition des SCI françaises : enjeux et impacts de l’arrêt du Tribunal fédéral 2C_365/2021 du 13 décembre 2022
Dans cet arrêt, le Tribunal fédéral a tranché la question de savoir si les parts d’une société civile immobilière française...
Droit fiscal
Taux d'intérêt admis fiscalement en 2023
Publication par l'Administration fédérale des contribution (AFC) des lettres-circulaires annuelles sur les taux d’intérêt admis fiscalement en 2023 sur les...
Droit commercial
Entrée en vigueur du nouveau droit de la société anonyme
Les dispositions révisées du droit de la société anonyme (SA) sont entrées en vigueur le 1er janvier 2023. Ces dispositions...
Communication
Un nouveau Avocat Conseil chez JNC Avocat
Stefano Cavargna est spécialisé dans le domaine du droit fiscal suisse et international. Il conseille régulièrement tant des personnes physiques...
Droit fiscal
Actualités en matière de fiscalité immobilière
L’initiative parlementaire « Imposition du logement. Changement de système » déposée le 2 février 2017 par le Commission de l'Economie et des...
Droit commercial
Révision de la Loi fédérale sur la Protection des Données (LPD)
La révision de la loi fédérale sur la protection des données (nLPD) ainsi que les nouvelles ordonnances d’exécution, l’une sur...
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.