La révision de la LPD entre en vigueur le 1er septembre !
Longtemps attendue, la révision de la loi fédérale sur la protection des données (« LPD ») entre en vigueur ce vendredi. Contrairement à ce que l’on voit souvent lorsqu’une loi est adoptée, cette révision ne prévoit pas de période transitoire. Cela signifie que dès le 1er septembre 2023, un certain nombre de nouvelles obligations s’imposent lors d’un traitement de données personnelles visées par l’art. 2 LPD. Mais concrètement, pour vous, quelles sont ces nouveautés ?
Êtes-vous concerné ?
À titre liminaire, il convient de distinguer la situation des entités qui observaient déjà les obligations découlant du Règlement général sur la protection des données (« RGPD »), des entités qui n’étaient pas concernées par celui-ci.
En effet, pour de nombreuses entreprises suisses, une mise en conformité avec le RGPD a déjà été nécessaire, par exemple parce qu’elles traitaient des données personnelles visant des résidents européens. Pour ces entreprises, la mise en œuvre des exigences de la LPD n’est normalement pas problématique, le RGPD étant réputé à quelques exceptions près plus protecteur des données personnelles que la LPD.
En revanche, pour les entreprises qui n’ont pas dû se mettre en conformité avec le RGPD, il est probable que certains ajustements de leurs processus soient nécessaires. Précisons d’emblée que pour les particuliers, l’usage à des fins personnelles n’est pas concerné par le champ d’application de la LPD (art. 2 al. 2 let. a LPD).
Quelles sont les données « personnelles » ?
Il ne s’agit pas d’une nouveauté de la LPD, mais il est opportun de rappeler que seules les données personnelles sont concernées. Pour qu’une donnée soit personnelle, il faut que celle-ci se rapporte à une personne physique identifiée ou identifiable (attention donc à la « pseudomnymisation »). Concrètement, il peut s’agir de coordonnées de contact ou de toute autre information personnelle. La définition est extrêmement large et comprend même par exemple les adresses IP lorsque celles-ci permettent d’identifier un utilisateur.
À l’inverse, les données anonymes ne sont pas concernées par l’application de la LPD. Attention toutefois, lorsque la personne concernée est identifiable, même difficilement, il ne s’agit pas de données anonymes.
Qu’est-ce qu’un traitement ?
La loi définit le traitement ainsi: « toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données; ». Bien qu’il ne s’agisse pas d’une nouveauté, il est utile de rappeler que cette définition a une portée extrêmement large.
Quelles sont les nouveautés ?
Ci-dessous figurent quelques-uns des changements les plus importants liés à la révision de la LPD. Il s’agit simplement de quelques exemples, n’ayant aucune prétention d’exhaustivité.
Prise en compte accrue de la protection des données :
Comme dans la réglementation européenne, la LPD adopte les principes de « Privacy by Design » et de « Privacy by Default » (art. 7 LPD).
Le principe de « Privacy by Design » implique que les préoccupations de protection et le respect de la vie privée soient considérées dès la conception d’un nouveau produit ou service.
Le principe de « Privacy by Default » implique quant à lui qu’un nouveau produit ou service soit d’origine paramétré de manière à respecter la sphère privée de ses utilisateurs. Autrement dit, les utilisateurs ne doivent pas avoir à modifier les paramétrages afin de se protéger contre l’utilisation de leurs données personnelles.
Transparence accrue :
La collecte d’informations personnelles doit dorénavant être préalablement annoncée aux personnes concernées (art. 19 LPD). Jusqu’à présent, ceci était le cas uniquement des données dites sensibles.
Obligation de tenir un registre des activités de traitement :
Il est désormais obligatoire de tenir un registre des activités de traitement (art. 12 LPD). Les entreprises de moins de 250 collaborateurs, qui ne s’adonnent pas à des traitements à grande échelle ou à un profilage à haut risque, sont dispensées de cette obligation.
Toutefois, même pour les entreprises dispensées, il existe de bonnes raisons de tout de même tenir un registre, afin d’être mieux à même de répondre aux autres exigences de la LPD.
Obligation d’annonce rapide des cas de violation :
En cas de violation de la sécurité susceptible de créer un risque élevé pour les droits de la personnalité et le droit fondamental de la personne concernée, l’entreprise doit informer dans les meilleurs délais le Préposé fédéral à la protection des données et à la transparence (art. 24 LPD).
Nouvelles sanctions pénales :
La LPD prévoit que des amendes allant jusqu’à CHF 250’000.- peuvent être infligées en cas de non-respect de la loi (art. 60 LPD). À la différence du RGPD, c’est la personne physique responsable du dommage qui se voit amendée et non l’entreprise.
Autres nouveautés :
Nous mentionnerons également les points suivants sans les approfondir :
- La LPD prévoit désormais une application extraterritoriale, de façon similaire à ce qui est prévu par le RGPD ;
- Les données personnelles sensibles comprennent désormais les données sur l’ethnie et la génétique ainsi que les données biométriques ;
- La notion de profilage est introduite dans le LPD, avec différentes exigences qui lui sont propres ;
- L’ analyse d’impact relative à la protection des données, connue sous l’égide du RGPD, est introduite dans la LPD.
Comment pouvons-nous vous aider ?
Si la plupart des concepts ci-dessus vous sont inconnus, il est probable qu’une évaluation de la situation de votre entreprise sous l’angle de la protection des données vous soit bénéfique. Celle-ci pourra, si nécessaire, être accompagnée d’une stratégie de mise en oeuvre des règles de protection des données.
En l’absence de période transitoire, il est conseillé aux entreprises se mettre rapidement en conformité. En effet, au vu de la révision de la LPD, l’immense majorité des professionnels devraient se poser quelques questions relatives à la protection des données personnelles qu’ils traitent.
Nous vous invitons à contacter l’auteur de ces lignes pour vos questions liées à la protection des données.
