Cette nouvelle loi révise entièrement la première loi fédérale sur la protection des données qui date de 1992. Ce remaniement était indispensable pour assurer aux habitants une protection de leurs données adaptées aux évolutions technologiques et sociales. Il s'agissait également de rendre compatibles le droit suisse et le droit européen, et notamment le Règlement européen sur la protection des données (RGPD). La nLPD devrait permettre de maintenir la libre circulation des données avec l'Union Européenne, et ainsi éviter une perte de compétitivité des entreprises suisses. Les entreprises qui se sont déjà conformées et familiarisées avec le RGPD auront donc peu de changements à entreprendre.
Les changements majeurs pour les entreprises:
- Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
- Les données génétiques et biométriques entrent dans la définition des données sensibles.
- Les principes de protection des données dès la conception ("Privacy by Design") et de protection des données par défaut ("Privacy by Default") sont introduits. Le principe de protection des données dès la conception implique, pour les développeurs, d'intégrer la protection et le respect de la vie privée des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de protection des données par défaut assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c'est-à-dire sans aucune intervention des utilisateurs, toute les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs.
- Des analyses d'impacts doivent être menées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées
- Le devoir d'informer est étendu: la collecte de toutes les données personnelles - et non plus uniquement de données dites sensibles -, doit donner lieu à une information préalable de la personne concernée.
- La tenue d'un registre des activités de traitement devient obligatoire. L'ordonnance d'application prévoit toutefois une exemption pour les PME qui emploient moins de 250 collaboratrices et collaborateurs et dont le traitement des données présente un risque limité d'atteinte à la personnalité des personnes concernées.
- Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT).
- La notion de profilage (soit le traitement automatisé de données personnelles) fait son entrée dans la loi.
En savoir plus:
- Nouvelle loi sur la protection des données (nLPD) (Confédération suisse)
- Protection des données: ce qu’il faut savoir (Confédération suisse)
- FAQ Protection des données (Confédération suisse)
- Protection des données: tour d’horizon de la nouvelle loi (economiesuisse)
- Enregistrement vidéo du Petit déjeuner des PME et des start-up du 30 septembre 2022 sur la thématique "PME et protection des données: comment se mettre en conformité avec la nouvelle LPD et le RGPD?"