Nouvelle loi sur la protection des données: dirigeants, soyez prêts!
La nouvelle loi sur la protection des données (nLPD) entre en vigueur le 1er septembre 2023. Dirigeants, soyez prêts!Afin de comprendre les tenants et aboutissants de cette nouvelle loi, nous nous sommes rapprochés d’Anca Draganescu-Pinawin, juriste experte en protection des données au cabinet Araucaria, qui a participé à la réalisation de cet article.
nlpd
Nouvelle loi sur la protection des données: dirigeants, soyez prêts!
La nouvelle loi sur la protection des données (nLPD) entre en vigueur le 1er septembre 2023. Dirigeants, soyez prêts!Afin de comprendre les tenants et aboutissants de cette nouvelle loi, nous nous sommes rapprochés d’Anca Draganescu-Pinawin, juriste experte en protection des données au cabinet Araucaria, qui a participé à la réalisation de cet article.
De quand date la loi suisse sur la protection des données?
La loi suisse sur la protection des données date de 1992.
Évidemment en 30 ans, les technologies et moyens d’information ont évolué et les échanges de données ont, quant à eux, explosé.
Si des remaniements partiels de la loi ont eu lieu en 2009 et 2019, il devient impératif pour la Suisse de revoir sa politique en la matière et de s’accorder avec l’Union Européenne.
Pourquoi la nlpd entre-t-elle en vigueur?
La stratégie européenne pour les données impacte la Suisse et les entreprises et associations helvétiques qui sont en lien avec l’UE», souligne Anca Draganescu-Pinawin.
D’après, l’Office fédéral de la justice (OFJ), la nLPD (nouvelle loi sur la protection des données) permet de s’assurer que l’UE «continue de reconnaître la Suisse comme un État tiers ayant un niveau adéquat de protection des données» et que les échanges transnationaux perdurent, gagnent en lisibilité et en cohérence et soient facilités.
La nLPD vise à «protéger la sphère privée des personnes physiques» à l’égard de leurs données et «d’assurer ce droit fondamental (…) dans la relation à l’État, mais également dans les relations qui lient les particuliers entre eux.»
Pour information, le RGPD (règlement européen sur la protection des données) est en vigueur depuis le 25 mai 2018 et le DGA (règlement sur la gouvernance des données) entre, quant à lui, en vigueur en septembre 2023.
De quand date la loi suisse sur la protection des données?
La loi suisse sur la protection des données date de 1992.
Évidemment en 30 ans, les technologies et moyens d’information ont évolué et les échanges de données ont, quant à eux, explosé.
Si des remaniements partiels de la loi ont eu lieu en 2009 et 2019, il devient impératif pour la Suisse de revoir sa politique en la matière et de s’accorder avec l’Union Européenne.
Pourquoi la nLPD entre-t-elle en vigueur?.
La stratégie européenne pour les données impacte la Suisse et les entreprises et associations helvétiques qui sont en lien avec l’UE», souligne Anca Draganescu-Pinawin.
D’après, l’Office fédéral de la justice (OFJ), la nLPD (nouvelle loi sur la protection des données) permet de s’assurer que l’UE «continue de reconnaître la Suisse comme un État tiers ayant un niveau adéquat de protection des données»
et que les échanges transnationaux perdurent, gagnent en lisibilité et en cohérence et soient facilités.
La nLPD vise à «protéger la sphère privée des personnes physiques» à l’égard de leurs données et «d’assurer ce droit fondamental (…) dans la relation à l’État, mais également dans les relations qui lient les particuliers entre eux.»
Pour information, le RGPD (règlement européen sur la protection des données) est en vigueur depuis le 25 mai 2018 et le DGA (règlement sur la gouvernance des données) entre, quant à lui, en vigueur en septembre 2023.
NLPD
Qui est concerné par la nLPD?
«La nLPD s’applique aux entreprises suisses (grandes entreprises, PME, associations, fondations…) dès lors qu’elles traitent des données personnelles. Elle a également une application extraterritoriale – tout comme le RGPD – et s’applique aux entreprises internationales sous certaines conditions», indique Anca Draganescu-Pinawin.
Quand la nLPD entre-t-elle en vigueur?
La nouvelle loi sur la protection des données entre en vigueur en Suisse au 1er septembre 2023 et donne lieu à deux nouvelles ordonnances, l’une sur la protection des données (OPDo), l’autre sur les certifications en matière de protection des données (OCPD).
Qui est chargé de veiller à son application?
«Le Préposé fédéral à la protection des données et à la transparence (PFPDT) veille à l’application de la loi, recueille des plaintes, etc. Il a toujours existé mais avec la nLPD, son champ d’action est plus étendu», précise Anca Draganescu-Pinawin.
Quels sont les changements principaux de la nLPD?
D’après la Confédération suisse, 8 points-clés entrent en jeu dans la nouvelle loi sur la protection des données.
- Seules les données des personnes physiques sont, désormais, couvertes par la loi. La nLPD ne s’applique plus aux personnes morales.
- Les données génétiques et biométriques entrent dans la sphère des données sensibles. Toutes les entreprises liées au domaine de la santé ou les institutions officielles sont particulièrement concernées.
- Le devoir d’informer est absolu. Il s’agit d’une importante nouveauté. Il est primordial que les politiques de confidentialité de l’entreprise soient très bien rédigées et très claires. Les politiques de confidentialité ou privacy notices doivent figurer sur le site web de l’entreprise, dans les documents contractuels, publicitaires et ceux de la politique interne. «Les sanctions s’appliquent notamment sur ce point. Dans le cadre de la nLPD, les personnes physiques doivent savoir qui traite leur données et à quelles fins. Elles doivent aussi avoir un droit d’accès à leurs données. Cela concerne toutes les données personnelles, sensibles ou non», précise Anca Draganescu-Pinawin.
En fonction de la nature de l’entreprise et de son importance, la nouvelle loi recommande la nomination d’un conseiller ou d’une conseillère à la protection des données et devra par la suite l’annoncer au PFPD. - Les « Privacy by Design » et « Privacy by Default », deux nouveaux principes qui entrent en jeu.
.
Qui est concerné par la nLPD?
«La nLPD s’applique aux entreprises suisses (grandes entreprises, PME, associations, fondations…) dès lors qu’elles traitent des données personnelles. Elle a également une application extraterritoriale – tout comme le RGPD – et s’applique aux entreprises internationales sous certaines conditions», indique Anca Draganescu-Pinawin.
Quand la nLPD entre-t-elle en vigueur?
La nouvelle loi sur la protection des données entre en vigueur en Suisse au 1er septembre 2023 et donne lieu à deux nouvelles ordonnances, l’une sur la protection des données (OPDo), l’autre sur les certifications en matière de protection des données (OCPD).
La nLPD est entrée en vigueur le 01.09
Qui est chargé de veiller à son application?
«Le Préposé fédéral à la protection des données et à la transparence (PFPDT) veille à l’application de la loi, recueille des plaintes, etc. Il a toujours existé mais avec la nLPD, son champ d’action est plus étendu», précise Anca Draganescu-Pinawin.
Quels sont les changements principaux de la nLPD?
D’après la Confédération suisse, 8 points-clés entrent en jeu dans la nouvelle loi sur la protection des données.
Seules les données des personnes physiques sont, désormais, couvertes par la loi. La nLPD ne s’applique plus aux personnes morales.
Les données génétiques et biométriques entrent dans la sphère des données sensibles. Toutes les entreprises liées au domaine de la santé ou les institutions officielles sont particulièrement concernées.
Le devoir d’informer est absolu. Il s’agit d’une importante nouveauté. Il est primordial que les politiques de confidentialité de l’entreprise soient très bien rédigées et très claires. Les politiques de confidentialité ou privacy notices doivent figurer sur le site web de l’entreprise, dans les documents contractuels, publicitaires et ceux de la politique interne. «Les sanctions s’appliquent notamment sur ce point. Dans le cadre de la nLPD, les personnes physiques doivent savoir qui traite leur données et à quelles fins. Elles doivent aussi avoir un droit d’accès à leurs données. Cela concerne toutes les données personnelles, sensibles ou non», précise Anca Draganescu-Pinawin.
En fonction de la nature de l’entreprise et de son importance, la nouvelle loi recommande la nomination d’un conseiller ou d’une conseillère à la protection des données et devra par la suite l’annoncer au PFPD.
Les « Privacy by Design » et « Privacy by Default », deux nouveaux principes qui entrent en jeu.
Le « Privacy by Design » (protection des données dès la conception) implique que les développeurs intègrent les notions sur la protection et le respect de la vie privée des utilisateurs, dès la conception du projet, dans la structure du produit ou du service amené à collecter des données personnelles. Ces mesures visent à bloquer la collection de données sans raison légitime et supprimer les données personnelles d’une base de données, si elles ne doivent pas être conservées.
Chez BuxumLunic, nos équipes vous accompagnent sur ces questions. Nous intégrons, dès la création des maquettes, les outils et process indispensables à la mise en conformité de la loi, que ce soit via la mise en place d’un gestionnaire de cookies, d’un formulaire avec des champs de consentement explicite ou encore la création d’une page dédiée à la politique de confidentialité, etc. Nous sensibilisons nos clients sur les bonnes pratiques à mettre en place. Nos experts sont là pour répondre à toutes les questions techniques que vous auriez.
Le « Privacy by Default » (protection des données par défaut) assure le niveau de sécurité le plus haut dès qu’un service ou un produit est mis en circulation sans besoin d’une intervention extérieure. Tous les logiciels, le matériel et les services doivent être configurés afin de protéger les données, respecter la vie privée des utilisateurs et les avertir des procédures. Les experts techniques de BuxumLunic s’assurent d’intégrer des logiciels ou des services qui sont en conformité avec la loi.
- Un registre des activités de traitement des données devient obligatoire, sauf pour les PME (entre 1 et 249 salariés) dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées. En d’autres termes, les PME concernées sont celles qui traitent des données à grande échelle ou pratiquent un profilage et donc traitent des données sensibles. «Cependant, même en cas d’exemption, la tenue d’un registre en fonction des cas est recommandée. Il s’agit d’une base nécessaire pour monter un programme de gouvernance des données», recommande Anca Draganescu-Pinawin.
Le registre d’activités de traitement des données permet aussi de vérifier les contrats de sous-traitance. Les pays vers lesquels les données personnelles sont transmises doivent y être identifiés et stipulés. - Des analyses d’impacts relatives à la protection des données doivent être menées s’il existe un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
- Une annonce rapide au Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être réalisée dans les plus brefs délais en cas de violation de la sécurité des données que ce soit de manière accidentelle ou illicite (perte, effacement, destruction, modification de données ou un accès non autorisé à des données).
- Le profilage (soit le traitement automatisé de données personnelles) entre dans le cadre de la loi. Il «désigne toute forme de traitement automatisé de données personnelles servant à évaluer certains aspects personnels relatifs à une personne physique dans la mesure où il vise à analyser ou à prédire des éléments concernant par exemple le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements d’une personne physique», stipule l’OFJ (Office fédéral de la justice).
Le « Privacy by Design » (protection des données dès la conception) implique que les développeurs intègrent les notions sur la protection et le respect de la vie privée des utilisateurs, dès la conception du projet, dans la structure du produit ou du service amené à collecter des données personnelles. Ces mesures visent à bloquer la collection de données sans raison légitime et supprimer les données personnelles d’une base de données, si elles ne doivent pas être conservées.
Chez BuxumLunic, nos équipes vous accompagnent sur ces questions. Nous intégrons, dès la création des maquettes, les outils et process indispensables à la mise en conformité de la loi, que ce soit via la mise en place d’un gestionnaire de cookies, d’un formulaire avec des champs de consentement explicite ou encore la création d’une page dédiée à la politique de confidentialité, etc. Nous sensibilisons nos clients sur les bonnes pratiques à mettre en place. Nos experts sont là pour répondre à toutes les questions techniques que vous auriez.
Le « Privacy by Default » (protection des données par défaut) assure le niveau de sécurité le plus haut dès qu’un service ou un produit est mis en circulation sans besoin d’une intervention extérieure. Tous les logiciels, le matériel et les services doivent être configurés afin de protéger les données, respecter la vie privée des utilisateurs et les avertir des procédures. Les experts techniques de BuxumLunic s’assurent d’intégrer des logiciels ou des services qui sont en conformité avec la loi.
Un registre des activités de traitement des données devient obligatoire, sauf pour les PME (entre 1 et 249 salariés) dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées. En d’autres termes, les PME concernées sont celles qui traitent des données à grande échelle ou pratiquent un profilage et donc traitent des données sensibles. «Cependant, même en cas d’exemption, la tenue d’un registre en fonction des cas est recommandée. Il s’agit d’une base nécessaire pour monter un programme de gouvernance des données», recommande Anca Draganescu-Pinawin.
Le registre d’activités de traitement des données permet aussi de vérifier les contrats de sous-traitance. Les pays vers lesquels les données personnelles sont transmises doivent y être identifiés et stipulés.
Des analyses d’impacts relatives à la protection des données doivent être menées s’il existe un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
Une annonce rapide au Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être réalisée dans les plus brefs délais en cas de violation de la sécurité des données que ce soit de manière accidentelle ou illicite (perte, effacement, destruction, modification de données ou un accès non autorisé à des données).
Le profilage (soit le traitement automatisé de données personnelles) entre dans le cadre de la loi. Il «désigne toute forme de traitement automatisé de données personnelles servant à évaluer certains aspects personnels relatifs à une personne physique dans la mesure où il vise à analyser ou à prédire des éléments concernant par exemple le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements d’une personne physique», stipule l’OFJ (Office fédéral de la justice).
Concrètement que doivent mettre en place les entreprises pour répondre aux obligations de la nLPD?
Afin de protéger la sphère privée des personnes physiques, l’entreprise est tenue de communiquer l’identité et les coordonnées du responsable du traitement, la finalité du traitement ainsi que les destinataires ou les catégories de destinataires auxquelles les données sont adressées.
En cas d’exportation de données à l’étranger, le nom de l’État destinataire doit être mentionné. Ceci est une des particularités suisses qui doit amener les entreprises à revoir leur politique de confidentialité ou privacy notices.
Les entreprises doivent ainsi introduire, vérifier ou adapter les notions de protection des données sur le site et dans les documents contractuels et publicitaires.
Techniquement, les entreprises doivent garantir la portabilité des données (remise des données personnelles sous un format électronique) recueillies dans le cadre d’un traitement automatisé.
Un processus technique et organisationnel du traitement des données personnelles doit être réalisé et mis en place d’ici le 1er septembre 2023.
Ce processus s’étend de la demande à la suppression des données.
Ainsi, des données qui ne seraient plus nécessaires à un traitement spécifique devront être supprimées ou rendues anonymes. Un processus en cas de violation de la protection des données doit être mis en place par l’entreprise afin que cette dernière anticipe les cas et soit la plus réactive en cas de problème.
Les sites doivent obtenir le consentement préalable, éclairé et libre de leurs utilisateurs.
Focus sur les cookies
Il est impératif de mettre en place des cookies sur un site Internet:
– ceux nécessaires aux fonctions de base du site web.
– ceux qui traitent des données personnelles à des fins marketing ou d’analyse.
Votre politique en matière de cookies est-elle à jour? Contactez-nous pour un accompagnement personnalisé.
Pour une bonne mise en conformité, la maintenance technique est une pratique clé.
Chez BuxumLunic, nous accompagnons nos clients sur les 3 différents types de maintenance: préventive, corrective et évolutive. Nos services assurent une vieille et des mises à jour en continu, apportent, si besoin des correctifs, et font évoluer votre site, en fonction de vos besoins et de la réglementation.
Opter pour un service de maintenance est un moyen indispensable pour garder des logiciels, des applications et des outils en ligne à jour et ainsi rester en conformité avec la loi.
Qui est légalement concerné par la nLPD?
Dans la nouvelle loi suisse, ce sont les personnes physiques et pas les entreprises qui sont légalement responsables.
Chefs d’entreprise, organes ou membres des organes, associés gérants ainsi que dirigeants effectifs sont désormais personnellement responsables de la politique des données de leurs entreprises.
.
Concrètement que doivent mettre en place les entreprises pour répondre aux obligations de la nlpd?
Afin de protéger la sphère privée des personnes physiques, l’entreprise est tenue de communiquer l’identité et les coordonnées du responsable du traitement, la finalité du traitement ainsi que les destinataires ou les catégories de destinataires auxquelles les données sont adressées.
En cas d’exportation de données à l’étranger, le nom de l’État destinataire doit être mentionné. Ceci est une des particularités suisses qui doit amener les entreprises à revoir leur politique de confidentialité ou privacy notices.
Les entreprises doivent ainsi introduire, vérifier ou adapter les notions de protection des données sur le site et dans les documents contractuels et publicitaires.
Techniquement, les entreprises doivent garantir la portabilité des données (remise des données personnelles sous un format électronique) recueillies dans le cadre d’un traitement automatisé.
Un processus technique et organisationnel du traitement des données personnelles doit être réalisé et mis en place d’ici le 1er septembre 2023.
Ce processus s’étend de la demande à la suppression des données.
Ainsi, des données qui ne seraient plus nécessaires à un traitement spécifique devront être supprimées ou rendues anonymes. Un processus en cas de violation de la protection des données doit être mis en place par l’entreprise afin que cette dernière anticipe les cas et soit la plus réactive en cas de problème.
Les sites doivent obtenir le consentement préalable, éclairé et libre de leurs utilisateurs.
Focus sur les cookies
Il est impératif de mettre en
place des cookies sur un site Internet:
– ceux nécessaires aux fonctions de base du site web.
– ceux qui traitent des données personnelles à des fins marketing ou d’analyse.
Votre politique en matière de cookies est-elle à jour? Contactez-nous pour un accompagnement personnalisé. Pour une bonne mise en conformité, la maintenance technique est une pratique clé.
Qui est légalement concerné par la nLPD?
Dans la nouvelle loi suisse, ce sont les personnes physiques et pas les entreprises qui sont légalement responsables.
Chefs d’entreprise, organes ou membres des organes, associés gérants ainsi que dirigeants effectifs sont désormais personnellement responsables de la politique des données de leurs entreprises.
Quels sont les risques et sanctions en cas de la violation des données?
La nLPD entraîne un renforcement de la surveillance de la protection des données et un durcissement des dispositions pénales. Elle couvre plus d’infractions. En cas de violation des prescriptions, les amendes qui étaient limitées à 10 000 francs pourront aller jusqu’à 250 000 francs.
Les cantons restent responsables de poursuivre et juger les infractions commises. Le PFPDT pourra dénoncer des infractions aux autorités de poursuite pénale compétentes et faire valoir les droits d’une partie plaignante dans la procédure.
«La nLPD est bien moins détaillée que le RGPD ; elle repose sur des principes. Certaines obligations sont détaillées plus avant dans l’Ordonnance sur la protection des données (OPDo) du 31 août 2022. En cas de violation des données, en Suisse, l’annonce rapide doit être faite dans les plus brefs délais alors qu’en Europe, avec le RGPD, la notification initiale doit être réalisée dans un délai de 72 heures à la suite de la constatation de la violation. Sur ce point, la nLPD est moins contraignante que le RDPD. De même, parfois, la logique est différente entre la nLPD et le RGPD ce qui peut donner cette impression qu’elle est moins contraignante, mais en fin de compte, elle l’est tout autant», précise Anca Draganescu-Pinawin.
Au niveau des sanctions, le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Quels conseils donner aux entreprises pour être prêtes en septembre 2023?
«Dans le cas où les entreprises sont déjà conformes au RGPD, ou en passe de l’être, il faudra qu’elles intègrent, en plus, les particularités suisses, tout en se focalisant sur les risques d’amendes. En effet, le régime de sanction diffère en fonction des violations identifiées.
Dans le cas où elles ne seraient pas conformes au RGPD, il est temps qu’elles se remontent les manches pour mettre en place un plan et des actions de mise en conformité, d’autant plus qu’il n’y aura pas de période transitoire à la nLPD. Les exigences de la nLPD (nouvelle loi sur la protection des données) devront donc être respectées dès son entrée en vigueur en septembre 2023», recommande Anca Draganescu-Pinawin.
Besoin d’accompagnement sur votre mise en conformité?
Vous souhaitez créer un site pour une nouvelle activité? Vous avez un doute sur la conformité de votre formulaire de contact? Vous cherchez un partenaire pour la mise en place de vos outils Cookies et traceurs?
Pour vous accompagner sur ces questions et bien d’autres encore, BuxumLunic est votre partenaire.
Contactez-nous, discutons de votre besoin !
Quels sont les risques et sanctions en cas de la violation des données?
La nLPD entraîne un renforcement de la surveillance de la protection des données et un durcissement des dispositions pénales. Elle couvre plus d’infractions. En cas de violation des prescriptions, les amendes qui étaient limitées à 10 000 francs pourront aller jusqu’à 250 000 francs.
Les cantons restent responsables de poursuivre et juger les infractions commises. Le PFPDT pourra dénoncer des infractions aux autorités de poursuite pénale compétentes et faire valoir les droits d’une partie plaignante dans la procédure.
Certains experts indiquent que la nlpd est moins contraignante que le rgpd européen. qu’en est-il?
«La nLPD est bien moins détaillée que le RGPD ; elle repose sur des principes. Certaines obligations sont détaillées plus avant dans l’Ordonnance sur la protection des données (OPDo) du 31 août 2022. En cas de violation des données, en Suisse, l’annonce rapide doit être faite dans les plus brefs délais alors qu’en Europe, avec le RGPD, la notification initiale doit être réalisée dans un délai de 72 heures à la suite de la constatation de la violation. Sur ce point, la nLPD est moins contraignante que le RDPD. De même, parfois, la logique est différente entre la nLPD et le RGPD ce qui peut donner cette impression qu’elle est moins contraignante, mais en fin de compte, elle l’est tout autant», précise Anca Draganescu-Pinawin.
Au niveau des sanctions, le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Quels conseils donner aux entreprises pour être prêtes en septembre 2023?
«Dans le cas où les entreprises sont déjà conformes au RGPD, ou en passe de l’être, il faudra qu’elles intègrent, en plus, les particularités suisses, tout en se focalisant sur les risques d’amendes. En effet, le régime de sanction diffère en fonction des violations identifiées.
Dans le cas où elles ne seraient pas conformes au RGPD, il est temps qu’elles se remontent les manches pour mettre en place un plan et des actions de mise en conformité, d’autant plus qu’il n’y aura pas de période transitoire à la nLPD. Les exigences de la nLPD (nouvelle loi sur la protection des données) devront donc être respectées dès son entrée en vigueur en septembre 2023», recommande Anca Draganescu-Pinawin.
Besoin d’accompagnement sur votre mise en conformité?
Vous souhaitez créer un site pour une nouvelle activité? Vous avez un doute sur la conformité de votre formulaire de contact? Vous cherchez un partenaire pour la mise en place de vos outils Cookies et traceurs? Pour vous accompagner sur ces questions et bien d’autres encore, BuxumLunic est votre partenaire. Contactez-nous, discutons de votre besoin !