La révision de la loi fédérale sur la protection des données (nLPD) ainsi que les nouvelles ordonnances d’exécution, l’une sur la protection des données (OPDo) et l’autre sur les certifications en matière de protection des données (OCPD), entreront en vigueur le 1^er septembre 2023. La mise en œuvre de ces nouvelles dispositions doit être réalisée préalablement à leur entrée en vigueur, aucune période transitoire n’étant prévue à compter de cette date.

VERSION PDF: Newsletter - Juin 2023.pdf

I.       Introduction

Faisant suite à l’adoption par le Parlement fédéral de la nLPD le 25 septembre 2020, le Conseil fédéral a décidé le 31 août 2022 que la nLPD ainsi que les deux ordonnances d’exécution entreraient en vigueur le 1^er septembre 2023.

Une révision totale du droit suisse de la protection des données était nécessaire afin d’adapter les dispositions légales aux développements technologiques récents et de renforcer la protection des données ainsi que de la rapprocher des nouvelles exigences du droit européen.

Cette révision permet à la Suisse de ratifier la version révisée de la Convention 108 du Conseil de l’Europe sur la protection des données, la ratification ne pouvant intervenir qu’après l’entrée en vigueur de la nLPD. Elle permet également à la Suisse, selon l’avis du Conseil fédéral, de maintenir un niveau de protection des données adéquat au sens du Règlement (UE) 2016/679 relatif à la protection des données (RGPD), permettant l’échange de données avec l’Union Européenne sans conditions supplémentaires.

II.     Les principales nouveautés

Selon la nLPD, les principes généraux applicables au traitement des données personnelles (licéité, transparence, finalité, proportionnalité, exactitude et sécurité) n’ont pas été modifiés et correspondent pour l’essentiel à ceux prévus par le droit en vigueur. Quant au champ d'application géographique, l'art. 3 nLPD confirme la jurisprudence actuelle du Tribunal Fédéral en prévoyant expressément que la loi s'applique aux états de fait déployant leurs effets en Suisse, même s'ils se sont produits à l'étranger.

Néanmoins, la nLPD et ses ordonnances d’exécution procèdent à des changements notables en matière de protection des données, dont les principales nouveautés sont les suivantes :

-          Une terminologie modernisée et compatible avec le droit de l’Union Européenne (art. 5 nLPD) : la notion de « maître du fichier » est remplacée par celle de « responsable du traitement » et la notion de « sous-traitant » est introduite, ces concepts ayant été repris du RGPD. Entrent dans le champ des données sensibles, les données génétiques et biométriques et sont ajoutées les notions de profilage et de profilage à risque élevé, ce qui permet d’adapter la nLPD aux outils modernes de collecte de données.

-          Un champ d’application personnel restreint (art. 2 al. 1 nLPD) : les données des personnes morales (sociétés commerciales, associations, fondations, etc.) ne sont plus protégées. Seules les personnes physiques bénéficieront d’une protection en vertu de la nLPD. Les personnes morales devront se tourner vers d’autres dispositions légales protectrices, telles que l’art. 28 du code civil, l’art. 162 du code pénal, la loi sur la concurrence déloyale ou encore la loi sur les cartels.

-          L’introduction des concepts de Privacy by Design et Privacy by Default (art. 7 nLPD) : la protection des données doit être garantie dès la conception (le respect de la vie privée est intégré dans la conception et le fonctionnement des systèmes et réseaux informatiques) et par défaut (les paramètres par défaut sont réglés sur le mode le plus protecteur de la vie privée, l’utilisateur pouvant décider de les modifier a posteriori).

-          La nomination facultative d’un conseiller à la protection des données (art. 10 nLPD) : les responsables de traitement privés auront la possibilité de nommer un tel conseiller, en interne ou externe à l’entreprise. La nomination d’un tel conseiller aura des conséquences sur les obligations du responsable de traitement privé, en fonction du statut du conseiller.

-          L’obligation de tenir un registre des activités de traitement (art. 12 nLPD) : les responsables de traitement et les sous-traitants doivent tenir un registre de leurs activités de traitement, dont les exigences minimales sont définies par la loi. Néanmoins, des exceptions existent concernant les personnes privées employant moins de 250 collaborateurs et dont le traitement ne présente qu’un risque limité d’atteinte à la personnalité.

-          Des règles relatives à la communication des données personnelles à l’étranger remaniées (art. 16 et 17 nLPD) : la liste des Etats présentant un niveau de protection adéquat sera établie par le Conseil fédéral. Si l’Etat destinataire ne figure pas sur cette liste, la communication de données personnelles restera possible à certaines conditions, la liste des garanties ayant été modifiée.

-          L’introduction d’un devoir général d’informer la personne concernée de la collecte de données (art. 19 et 20 nLPD) : cette obligation d’information concomitante à la collecte concerne toutes les données personnelles et non plus seulement les données personnelles sensibles ou les profils de la personnalité comme le prévoit le droit actuel. Des exceptions à ce devoir sont également précisées dans la nLPD. La loi ne prévoit pas de forme particulière mais précise uniquement les caractéristiques que l’information doit revêtir.

-          Un renforcement des droits des personnes concernées : la nLPD consolide le droit d’accès de la personne concernée (art. 25 nLPD) et introduit un droit à la portabilité des données (droit à la remise des données personnelles sous un format électronique) (art. 28 nLPD).

-          Une obligation d’annonce des violations de la sécurité des données (art. 24 nLPD) : lorsqu’une violation de la sécurité des données engendre un risque élevé pour la personnalité ou les droits fondamentaux, le responsable du traitement a l’obligation d’informer le préposé fédéral à la protection des données (PFPDT). Le responsable du traitement pourra également être amené à informer les personnes concernées.

-          Le rôle du préposé fédéral à la protection des données et à la transparence (PFPDT) modifié (art. 49 et 50-52 nLPD) : le PFPDT dispose d'un pouvoir de surveillance renforcé et lui sont confiés de véritables pouvoirs décisionnels.

-          Des sanctions redéfinies en cas de violation de la nLPD : les personnes responsables peuvent être sanctionnées par des amendes de 250'000 francs au plus en cas de violation de certaines obligations prévues par la loi, notamment le devoir d’informer. Contrairement au RGPD, ce ne sont pas les entreprises qui sont visées à titre principal par les sanctions mais la personne responsable de la violation au sein de l’entreprise.

III.    Mise en œuvre des nouvelles exigences légales

En raison de l’absence de période transitoire à compter de l’entrée en vigueur de la nLPD, les responsables de traitement et les sous-traitants doivent s’assurer qu’ils sont en conformité avec les nouvelles exigences légales dès le 1^er septembre 2023. 

La documentation d’une entreprise en matière de protection des données doit être impérativement revue afin de s’assurer qu’elle est compatible avec les nouvelles dispositions légales et nécessitera très probablement des adaptations. Chaque responsable de traitement devra en particulier s’assurer du respect des principes de protection dès la conception et par défaut, vérifier vers quel(s) Etat(s) destinataire(s) les données sont transférées et si cet Etat figure sur la liste du Conseil fédéral, revoir l’éventuelle politique/déclaration de confidentialité existante au regard des nouvelles exigences légales, voire l’éventuel formulaire de consentement existant, ou encore s’assurer que les directives internes de l’entreprise sont conformes aux nouvelles exigences légales, notamment en matière de droit d’accès ou de devoir d’annonce.

La mise en œuvre de la nLPD doit par conséquent être anticipée et les adaptations nécessaires opérées d’ici au 31 août 2023.

Retour