En septembre 2020, le Parlement a adopté la nouvelle loi fédérale sur la protection des données (nLPD) pour se conformer au Règlement Général sur la Protection des Données (RGPD) de l’Union européenne (UE). Elle consiste à améliorer le traitement des données personnelles et accorde de nouveaux droits aux citoyens suisses. La nLPD entrera en vigueur le 1er septembre 2023 et elle sera similaire au RGPD en termes de principes et de définitions. Sa déclinaison cantonale sera la même sur l’ensemble du territoire suisse.
Si vous êtes une entreprise qui s’est déjà conformée au règlement général de l’UE sur la protection des données, vous aurez peu de changements à entreprendre.
La Suisse s'adapte au RGPD avec la nLPD pour garantir la sécurité des données et la compétitivité des entreprises
Étant considérée comme un pays tiers par rapport à l’UE, la Suisse doit régulièrement mettre à jour sa loi pour rester en adéquation avec le RGPD et maintenir les échanges de données fluides avec les pays membres de l’UE.
La Suisse a connu un retard dans l’entrée en vigueur de sa nouvelle loi sur la protection des données en raison de la nécessité de rédiger une ordonnance d’application, qui a pris plus de temps que prévu. Toutefois, la Suisse a réussi à publier la version finale de cette ordonnance il y a plus d’un an, permettant ainsi la mise en place d’une date d’entrée en vigueur de la loi pour le 1er septembre 2023.
Cette nouvelle loi est indispensable pour garantir à la population suisse une protection adéquate de ses données, compte tenu des évolutions technologiques et sociales telles que l’usage d’Internet, des smartphones, des réseaux sociaux, du Cloud ou de l’internet des objets. La compatibilité de la loi suisse avec le RGPD est également un enjeu clé pour maintenir la libre circulation des données avec l’UE et éviter une perte de compétitivité des entreprises suisses.
La LPD modifiée renforce la protection des données en Suisse
La LPD a donc été récemment modifiée pour répondre aux nouveaux enjeux de la protection des données personnelles et pour être compatible avec les normes européennes. Cette révision comprend plusieurs changements significatifs qui renforcent les droits des personnes concernées et les obligations des entreprises.
La nouvelle loi suisse sur la protection des données (nLPD) concerne toutes les entreprises qui traitent des données personnelles et des données à caractère sensible dans le cadre de leur activité. Elle impose des obligations strictes aux entreprises en matière de consentement, de transparence, de sécurité et de confidentialité des données.
Avec l’arrivée de la loi, le préposé (l’entité d’autorité de surveillance à la protection des données en Suisse), voit ses compétences renforcées et a donc un plus grand pouvoir décisionnel. Il pourra décider qu’une entreprise suspende le traitement des données personnelles et aura la possibilité d’imposer des sanctions pénales. Les entreprises doivent donc se conformer à ces nouvelles règles pour éviter les sanctions et les amendes, et assurer une protection optimale des données.
Les 8 changements majeurs apportés par la révision de la LPD
D’après les informations disponibles sur le site du Conseil Fédéral, la nouvelle loi de protection des données suisse va introduire huit changements majeurs pour les entreprises :
- Cette loi ne s’applique qu’aux données des personnes réelles, pas celles des entreprises ou personnes morales.
- Les données génétiques et biométriques sont considérées comme des données sensibles.
- Il y a deux nouvelles mesures concernant les développeurs : (a) le « Privacy by Design » : les développeurs doivent inclure des mesures de protection de la vie privée dès la conception de leurs produits ou services qui collectent des données personnelles. (b) le « Privacy by Default » : les produits et services doivent être configurés pour protéger les données et la vie privée des utilisateurs dès leur mise en service.
- Si les informations collectées peuvent présenter un risque élevé pour les droits des personnes concernées, une analyse d’impact doit être réalisée.
- Avant de collecter toute information personnelle, les personnes concernées doivent être informées (et consentante).
- Les entreprises doivent tenir un registre de leurs activités de traitement de données. Les petites entreprises qui présentent un faible risque pour la vie privée des personnes concernées peuvent être exemptées.
- En cas de violation de la sécurité des données, les entreprises doivent informer rapidement le Préposé fédéral à la protection des données et à la transparence (PFPDT).
- Le profilage (c’est-à-dire le traitement automatisé des données personnelles) est maintenant inclus dans la loi.
D’autres changements moins importants apparaissent, comme la nomination d’un délégué à la protection des données (DPO) qui devient obligatoire pour les entreprises avec plus de 250 employés, et il est recommandé d’en nommer un pour les entreprises de plus de 200 employés.
AIPD, l'analyse d'impact relative à la protection des données
Lorsque le traitement de données à caractère personnel est susceptible de porter atteinte aux droits et libertés des personnes concernées, une analyse d’impact relative à la protection des données (AIPD) est obligatoire. Cette analyse est requise dans deux situations : si le traitement est inclus dans la liste des types d’opérations pour lesquelles la Commission nationale de l’informatique et des libertés (CNIL) a jugé nécessaire de réaliser une AIPD, ou si le traitement répond à au moins deux des neuf critères énoncés dans les lignes directrices du Groupe de travail Article 29 sur la protection des données (G29).
La CNIL est une autorité administrative indépendante française, conforme au droit des données personnelles, sur laquelle les entreprises suisses peuvent s’appuyer pour définir si une analyse d’impact est nécessaire. Les critères énoncés dans les lignes directrices du G29 sont les suivants :
- Évaluation ou scoring,
- Décision automatique avec effet légal,
- Surveillance systématique,
- Collecte de données sensibles ou à caractère hautement personnel,
- Collecte de données à grande échelle,
- Croisement de données,
- Traitement de données de personnes vulnérables,
- Usage innovant de la technologie,
- Exclusion du bénéfice d’un droit ou d’un contrat.
AIPD, quand est-elle obligatoire ?
Si vous êtes un expert du marketing et que vous collectez des données de géolocalisation à l’échelle nationale à des fins publicitaires, ce traitement répond aux critères de collecte à grande échelle et de collecte de données sensibles. Une analyse d’impact est donc nécessaire.
Il existe d’autres exemples où le traitement des données nécessite une AIPD, il est important de les connaître.
NLPD, conséquences et risques de non-conformité
Les entreprises suisses doivent se conformer à la nLPD pour éviter les conséquences et les risques de non-conformité.
Avec le renforcement des compétences du Préposé, ce dernier pourra désormais :
- Mener des enquêtes,
- Exiger l’accès à des informations internes,
- Mener des audits et d’imposer la modification ou l’effacement de données en cas de violation.
Bien que ce pouvoir soit moins important que celui de l’UE, il est important de noter que le non-respect de la loi peut entraîner des sanctions pénales et administratives.
Les tribunaux suisses peuvent imposer des amendes pénales allant jusqu’à 250 000 CHF pour une personne physique en cas de violation intentionnelle de la loi sur la protection des données. Les entreprises doivent donc se mettre en conformité pour éviter ces sanctions pénales et administratives, qui sont à titre individuel. Cela signifie que les dirigeants peuvent être tenus responsables devant le juge.
Enfin, il est crucial que les entreprises sensibilisent leur direction à cette obligation légale. En se conformant à la loi sur la protection des données en Suisse, les entreprises peuvent protéger leurs clients et leur réputation, tout en évitant les conséquences négatives de la non-conformité.
Comment maintenir la conformité à la LPD à long terme ?
Pour garantir la conformité à long terme après l’entrée en vigueur de la nLPD, il est important d’évaluer la situation actuelle et de mettre en place un plan de conformité. Voici différents points de conformité à considérer :
- Décidez si vous avez besoin d’un expert en protection des données (DPO) pour vous aider, selon la taille et la nature de votre entreprise,
- Faites une liste de tous les traitements de données que vous effectuez, mais notez que certaines exceptions s’appliquent pour les petites entreprises ou celles qui ne traitent pas de données sensibles,
- Ajoutez une politique de confidentialité, des mentions légales et un bandeau de cookies sur votre site web pour vous conformer à la règlementation,
- Ajoutez des opt-in actifs ou mettez en place des doubles opt-in pour l’inscription à vos newsletters,
- Ajoutez des opt-out dans le corps de vos mails,
- Assurez-vous que les contrats de vos fournisseurs et de vos employés contiennent des clauses de protection des données,
- Formez vos collaborateurs sur les règles de protection des données et veillez à ce qu’ils respectent ces règles,
- Appliquez les principes de protection des données dès la conception et par défaut à tout nouveau projet ou traitement de données (Privacy By Default),
- Préparez-vous à répondre aux demandes des personnes concernant leurs droits d’oublie, d’effacement, d’opposition, etc.
- Évaluez les risques liés aux traitements et transferts de données à risque élevé et réalisez des analyses d’impact si nécessaire.
- Garantissez la sécurité de toutes les données personnelles en respectant la confidentialité, l’intégrité et la disponibilité des données.
- Préparez-vous à faire face à des violations de la sécurité des données et établissez un plan de gestion de crise.
Une fois que vous avez identifié les points de conformité les plus importants, il est essentiel de mettre en place un plan pour les mettre en œuvre.
Cependant, il est important de continuer à respecter la règlementation à long terme et de suivre régulièrement l’évolution de la situation. Cela peut être effectué par un expert en protection des données ou une équipe dédiée au sein de votre entreprise. En suivant ces étapes, vous pourrez vous assurer que votre entreprise est conforme à la règlementation en matière de protection des données et éviter des sanctions.
NLPD, son impact sur le service Marketing
Les équipes marketing sont directement impactées par la nouvelle version de la Loi sur la Protection des Données en Suisse a apporté des changements majeurs pour les consommateurs suisses en matière de protection de leurs données personnelles. S’inspirant du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, la nouvelle version de la LPD impose des règles plus strictes aux entreprises en ce qui concerne le marketing direct, le consentement digital, et le droit à l’oubli, etc.
Ces mesures visent à garantir un niveau de protection plus élevé des données personnelles des utilisateurs, en leur permettant de mieux contrôler leur utilisation et leur traitement. Les entreprises doivent donc se conformer à ces nouvelles règles pour éviter les sanctions et préserver la confiance de leurs clients.
-
Marketing direct
Les entreprises doivent dorénavant obtenir le consentement libre et éclairé des consommateurs avant de les solliciter avec des offres commerciales. Les consommateurs doivent donner leur autorisation explicite pour que leurs données personnelles soient utilisées à des fins de marketing direct.
-
Cookies, Politique de Confidentialité et Opt-in
Dans le cadre de la Politique de Confidentialité et les Cookies, les entreprises doivent informer les consommateurs qu’elles vont tracer leur comportement et leur navigation sur leur site web ou leur application mobile. Les consommateurs doivent donner leur consentement avec des opt-in actifs avant de pouvoir être tracés. Il est important que les opt-in soient clairs et permettent aux consommateurs de donner leur consentement de manière explicite en évitant toute tromperie.
-
Droit à l'oubli
Pour instaurer un climat de confiance entre les entreprises et les consommateurs suisses, il est primordial de respecter leur vie privée. Ainsi, les entreprises sont tenues de répondre favorablement aux demandes de suppression de données personnelles de ces derniers, sauf dans le cas où ces données sont nécessaires pour l’exécution d’un contrat ou sont obligatoires dans un secteur spécifique. Cette démarche montre aux consommateurs que leurs données personnelles sont traitées avec respect et contribue à instaurer une relation de confiance mutuelle.
Bien que ces nouvelles règles puissent être compliquées à mettre en place pour les entreprises, elles sont indispensables pour protéger la vie privée des consommateurs et leur donner plus de contrôle sur leurs données personnelles.
En respectant ces règles, les entreprises peuvent renforcer la confiance des consommateurs et améliorer leur relation avec ces derniers. De plus, cela peut devenir un réel avantage compétitif sur lequel vos équipes marketing peuvent communiquer pour se différencier de ceux qui prendraient le risque de ne pas être en conformité avec la loi.
Conclusion
La nouvelle loi fédérale sur la protection des données en Suisse entrera en vigueur le 1er septembre 2023 pour se conformer au RGPD de l’UE. Cette nouvelle loi vise à améliorer le traitement des données personnelles et accorder de nouveaux droits aux citoyens suisses. Elle étend la notion de données personnelles sensibles et renforce les droits des personnes concernées. Les entreprises doivent se conformer à ces nouvelles règles pour éviter les sanctions et les amendes, tout en développant des bonnes pratiques et des codes de conduite pour assurer une protection optimale des données. Les huit changements majeurs de la nLPD pour les entreprises concernent le consentement, la transparence, la sécurité et la confidentialité des données. En somme, la nLPD modifiée renforce la protection des données personnelles en Suisse et garantit la compétitivité des entreprises dans un environnement où la protection des données est devenue une préoccupation majeure pour les consommateurs.