nLPD - article de blog sur le nouvelle loi sur la protection des données en Suisse

nLPD – nouvelle loi sur la protection des données en Suisse

La nouvelle loi sur la protection des données arrive en Suisse le 1er septembre 2023.
Quels sont les changements, qu’est-ce que ça implique pour les entreprises et les indépendants en Suisse?
hello marcelle a fait appel à Me Nehanda Mauron-Mutambirwa, avocate à Genève, pour répondre à nos questions.

La nouvelle loi sur la protection des données, c'est quoi ?

La nLPD est l’abréviation de nouvelle Loi suisse sur la Protection des Données. Cette loi vise à protéger les droits des personnes physiques dont les données font l’objet d’un traitement.

Pourquoi la loi a-t'elle été modifiée ?

La première loi fédérale sur la protection des données date de 1992. La LPD a donc fait l’objet d’un remaniement complet pour :
  • Tenir compte des avancées technologiques et les nouvelles habitudes de la population suisse qui s’en sont suivies (utilisation d’Internet, des réseaux sociaux, smartphones etc.).
  • Assurer la conformité du droit suisse avec le Règlement Général sur la Protection des Données (RGPD), et ainsi garantir la libre circulation des données avec l’Union européenne et préserver la compétitivité des entreprises suisses.

Quand la nouvelle loi sur la protection des données (nLPD) entrera-t-elle en vigueur en Suisse?

La nouvelle loi suisse sur la protection des données, approuvée par le parlement le 25 septembre 2020, entre en vigueur le 1er septembre 2023. 
Pas de disposition transitoire, pas de délai de grâce pour gentiment se conformer, les obligations et les sanctions prévues par la loi seront applicables dès le 1er septembre.

Qu'est-ce que la nLPD implique pour les entrepreneurs, les entreprises ?

L’arrivée de la nLPD a un impact sur les entrepreneurs car elle exige d’eux une plus grande transparence dans la collecte et l’utilisation des données personnelles. Notamment le stockage et le partage de ces données ! Elle impose également des mesures de sécurité renforcées.

C'est quoi une donnée personnelle ?

Une donnée personnelle est une information qui permet d‘identifier une personne physique directement ou indirectement. Cela inclut des informations telles que le nom, le prénom, le numéro de téléphone, l’adresse électronique, le numéro de carte d’identité ou AVS, l’adresse IP, une photo ou encore un profil sur un réseau social.
Toutes ces données peuvent être utilisées pour identifier ou relier une personne spécifique et sont donc considérées comme des données personnelles.
La protection de ces données est essentielle pour préserver la vie privée et la sécurité des individus.

C'est quoi le traitement des données personnelles ?

Le traitement de données personnelles englobe toutes les actions sur ces données, comme les enregistrer, organiser, conserver, modifier, ou transmettre. Peu importe la méthode utilisée, c’est une opération qui touche à des informations personnelles.
Le traitement des données personnelles peut prendre différentes formes: intégration dans un mailing pour du démarchage commercial, envoyer des informations ciblées via une newsletter ou utiliser des cookies de navigation sur un site web. Ces actions visent à collecter, analyser ou exploiter les données personnelles dans divers contextes.

Suis-je concerné ?

Il faut comprendre que toute personne (ou organisation) privée qui traite des données personnelles en Suisse, qu’il s’agisse d’entreprises, d’organisations à but non lucratif ou de particuliers sont concernées. 
Les entreprises étrangères actives sur le marché suisse ou dont le traitement des données déploie des effets en Suisse sont également concernées.
Pour résumer, si tu as des clients en Suisse, ton business va devoir se mettre en règle.

Quels sont les principaux changements ?

La nLPD introduit les huit changements majeurs suivants pour les entreprises.

  1. Désormais, seules les données des personnes physiques sont couvertes par la loi, excluant celles relatives aux personnes morales.
  2. Les données génétiques et biométriques sont considérées comme des données sensibles. 
  3. Les principes de « Privacy by Design » et de « Privacy by Default » sont introduits. le principe de « Privacy by Design » (protection des données dès la conception) implique que les développeurs intègrent dès la conception les mesures de protection de la vie privée des utilisateurs dans le produit ou service qui collecte des données personnelles. Le principe de « Privacy by Default » (protection des données par défaut) garantit un niveau élevé de sécurité dès la mise en circulation du produit ou service en activant automatiquement toutes les mesures nécessaires pour protéger les données et limiter leur utilisation, sans intervention de l’utilisateur.
  4. Des analyses d’impacts doivent être réalisées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
  5. Le devoir d’informer est étendue à toutes les données personnelles, et non seulement aux données sensibles. Ainsi, toute collecte de données doit être précédée d’une information préalable à la personne concernée.
  6. La tenue d’un registre des activités de traitement est dorénavant obligatoire, sauf pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.
  7. En cas de violation de la sécurité des données, une annonce rapide de l’incident doit être adressée au Préposé fédéral à la protection des données et à la transparence (PFPDT).
  8. La loi introduit la notion de profilage, qui désigne le traitement automatisé de données personnelles.

Qu'est-ce que je risque en cas de non-conformité ?

En cas de non-conformité avec la nLPD, les amendes peuvent aller jusqu’à CHF 250’000.-.
A noter que la sanction vise tant le chef d’entreprise que la personne qui s’occupe effectivement de la mise en œuvre des obligations. Ce qui veut dire que les employés peuvent également être inquiétés.

Plan d'action pour la conformité à la nLPD

Pour t’aider, voici un résumé des actions à mettre en place pour être en conformité avec la nouvelle loi sur la protection des données en Suisse :

  • Recenser les données personnelles traitées que tu collectes
  • Évaluer les risques
  • Réviser tes contrats (clients, sous-traitants, collaborateurs s’il y en a)
  • Avoir une déclaration de protection des données
  • Établir un registre des activités
  • Sécuriser ton système informatique
  • Sensibiliser tes collaborateurs (si tu en as)
  • Organiser les procédures internes

tu veux gagner du temps ?

Et surtout te faciliter la tâche, et te mettre facilement en règle avec cette loi, à moindre coût ? Découvre notre template pour ta déclaration de protection des données personnelles

Nous espérons que ces informations t’aideront à mettre ton entreprise en conformité.

A très vite,

NGane, Elodie et Céline