Newsletter 4/2020: Achèvement de la révision totale de la loi fédérale sur la protection des données (LPD)


Vue d'ensemble Après de nombreux allers-retours, le Parlement suisse, ayant réglé les dernières divergences, a adopté la révision totale de la loi fédérale sur la protection des données (LPD) lors de son vote final du 25 septembre 2020. Nous avons le plaisir de vous fournir de brèves informations sur le contexte du projet de loi ainsi que sur les changements les plus importants. Le but de la révision totale de la LPD (datant de 1992) est d'adapter cette loi obsolète aux conditions sociales et technologiques actuelles et de l'aligner avec les réglementations européennes plus récentes et modernes en matière de protection des données (en particulier le RGPD). Les quatre aspects suivants ont notamment été centraux : Accroître la transparence et renforcer les droits des personnes concernées ; Promouvoir les mesures préventives et la responsabilité personnelle des sous-traitants de données ; Renforcer le contrôle de la protection des données ; Développer les dispositions pénales. En conséquence, à l'avenir des règles plus strictes devront être observées lors du traitement des données à caractère personnel. Il conviendra de se conformer à ces nouvelles règles à un stade précoce afin de pouvoir revoir et, si nécessaire adapter, le concept de protection des données mis en place avant l'entrée en vigueur de la loi révisée (par exemple, en établissant des déclarations de protection des données et, si nécessaire, des listes d'activités de traitement tout en adaptant les processus de traitement des données, en nommant un délégué à la protection des données, en concluant des contrats de sous-traitance des données, etc.). C'est à l'expiration du délai référendaire de 100 jours que le Conseil fédéral décidera de la date d'entrée en vigueur de la révision. Par conséquent, la loi révisée sur la protection des données (ci-après "RévLPD") n'entrera probablement pas en vigueur avant le 1er janvier 2022, d'autant plus que l'ordonnance correspondante (i.e. OLPD) devra également être modifiée. Innovations importantes Les innovations les plus importantes apportées par la révision législative sont les suivantes : Aucune protection des données des personnes morales Alors que l'actuelle LPD s'applique aux données des personnes physiques et morales, la RévLPD limite son champ d'application, à l'instar du RGPD, aux données des personnes physiques. Données personnelles nécessitant une protection particulière (données sensibles) La RévLPD élargit la liste des données sensibles et donc soumises à des exigences légales supplémentaires (notamment en ce qui concerne le consentement, l'évaluation de l'impact sur la protection des données, la divulgation à des tiers et en matière d'évaluations des risques liés à des crédits). Par exemple, les données génétiques et les données biométriques (dont les empreintes digitales) qui identifient de manière unique une personne physique sont désormais qualifiées de données sensibles et une protection spéciale leur est accordée. Profilage et profilage à risque élevé Savoir s'il fallait inclure le "profilage à risque élevé" dans la loi, à côté du profilage "ordinaire", a été la question la plus controversée et la plus largement débattue de toute la procédure législative. Pour finir, les Chambres fédérales ont suivi les propositions de la conférence de conciliation, selon lesquelles le profilage à risque élevé devrait être défini et spécifiquement réglementé par la loi. Ainsi, dans le cas du profilage à risque élevé, tout consentement éventuellement requis devra être explicitement donné. En outre, les responsables du traitement des données pour l'évaluation des risques de crédit ne pourront plus s'appuyer sur un intérêt légitime et ne pourront donc plus justifier une violation du droit à la vie privée si ladite évaluation du risque de crédit implique un profilage à risque élevé. Si des données à caractère personnel sont traitées automatiquement et qu'une combinaison de données permet d'évaluer les "aspects essentiels de la personnalité", on sera en présence de profilage à risque élevé. La définition juridique est très ouverte et une différenciation du profilage "ordinaire" ne sera pas facile en pratique. Il est à espérer que l'OLPD apportera des précisions à ce sujet. Dans tous les cas, ce changement signifie que pour une évaluation du risque de crédit utilisant le profilage à risque élevé, il faudra s'assurer que tous les principes généraux du traitement soient respectés ou qu'il existe une autre justification (en particulier le consentement de la personne concernée). Répertoire des activités de traitement des données La RévLPD, tout comme le RGPD, prévoit l'obligation pour le responsable du traitement et le sous-traitant de tenir un répertoire des traitements de données qu'ils effectuent. Le répertoire doit au moins contenir les informations spécifiées par la loi. Par contre, le Conseil fédéral pourra prévoir des exceptions pour les entreprises qui emploient moins de 250 personnes et dont le traitement des données comporte un faible risque de préjudice pour les personnes concernées. Ces exceptions devront encore être réglementées dans l'OLPD. Sous-traitant des données Selon la RévLPD, une relation de sous-traitance des données peut être établie par contrat ou par la loi. La condition préalable est, comme dans le droit actuellement applicable, que le sous-traitant traite les données de la même manière que serait autorisé à le faire le responsable du traitement lui-même. Comme c'est déjà le cas dans l'UE, le transfert du traitement de données à un sous-traitant n'est désormais autorisé qu'avec le consentement préalable du responsable du traitement, de sorte que ce dernier conserve (au moins indirectement) le contrôle du traitement des données et qu'il doit s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. En dehors de cela, il y a eu peu de changements dans ce domaine. En particulier, le contrat de sous-traitance des données n'est toujours pas soumis à des exigences formelles particulières. Privacy-by-Design et Privacy-by-Default La RévLPD contient, comme le RGPD, les principes de "Privacy-by-Design" et de "Privacy-by-Default". Dès la phase de planification, le responsable doit concevoir le traitement des données sur le plan technique et organisationnel de manière à ce que les règles de protection des données, en particulier les principes de traitement, soient respectés (Privacy-by-Design). En outre, il doit concevoir les paramètres par défaut, par exemple pour les applications ou les sites web, de manière à ce que le traitement des données à caractère personnel soit limité au minimum nécessaire pour la finalité prévue (Privacy-by-Default). Renforcement des exigences en matière d'information Selon le RévLPD, lors de la collecte des données à caractère personnel, les informations minimales suivantes doivent désormais être fournies à la personne concernée : L'identité et les coordonnées de la personne responsable du traitement ; L'objet du traitement des données ; Le cas échéant, les destinataires ou les catégories de destinataires auxquels les données à caractère personnel sont communiquées. Si les données à caractère personnel sont divulguées à l'étranger, la personne concernée doit également être informée de l'État ou de l'organisme international et, le cas échéant, des garanties de protection des données à caractère personnel fournies par cet État. Extension des obligations d'information La RévLPD prévoit des obligations d'information élargies par rapport à la LPD actuelle. L'obligation de fournir des informations n'est plus limitée aux informations minimales définies de manière exhaustive (qui comprennent désormais également des informations sur la durée de la conservation, les transferts internationaux et les décisions individuelles automatisées), mais comprend également toutes les informations qui seraient nécessaires à la personne concernée pour faire valoir ses droits en vertu de la RévLPD. L'information sur les "données à caractère personnel traitées" est désormais également soumise au fait que ces données doivent être communiquées ou divulguées "en tant que telles". Cela devrait clarifier le fait que le droit à l'information en vertu de la loi fédérale sur la protection des données ne constitue pas un droit à la transmission de documents ou à la communication de dossiers. Droit à la portabilité des données La RévLPD introduit le droit à la portabilité des données. Ce droit permet à la personne concernée d'exiger du responsable du traitement, généralement gratuitement, la communication de ses données personnelles dans un format électronique commun ou leur transfert à un autre responsable du traitement, si le premier responsable traite les données automatiquement et si les données sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l'exécution d'un contrat. Décision automatisée sur un cas individuel La RévLPD prévoit que le responsable du traitement doit informer la personne concernée d'une décision fondée exclusivement sur un traitement automatisé qui implique pour elle une conséquence juridique ou qui l'affecte de manière significative. La personne concernée doit avoir la possibilité d'exprimer son point de vue et peut demander que la décision soit réexaminée par une personne physique. Cette disposition ne s'applique pas lorsque la décision est directement liée à la conclusion ou à l'exécution d'un contrat entre le responsable du traitement et la personne concernée et que la demande de la personne concernée est acceptée, ou lorsque la personne concernée a expressément consenti à l'automatisation de la décision. Évaluation de l'impact sur la protection des données Selon la RévLPD, le responsable du traitement est tenu de procéder à une évaluation de l'impact sur la protection des données si un traitement de données peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Un risque élevé peut résulter du type, de l'étendue, des circonstances et de la finalité du traitement. Une évaluation de l'impact sur la protection des données doit décrire le traitement prévu et les risques qu'il comporte, ainsi que les mesures appropriées pour contrer ces derniers. Des exceptions peuvent se présenter dans certaines circonstances si la personne responsable respecte un code de conduite. Notification des violations de la protection des données Conformément à la RévLPD, les responsables du traitement sont tenus d'informer le Préposé fédéral à la protection des données et à la transparence (« PFPDT ») dans les plus brefs délais en cas de violation de la protection des données, s'il existe un risque grave pour la personnalité ou pour les droits fondamentaux des personnes concernées. Sous réserve de certaines exceptions, le responsable du traitement doit également informer la personne concernée si cela est nécessaire pour sa protection ou lorsque le PFPDT l'exige. Quant au sous-traitant de données, il doit signaler le plus rapidement possible une violation de la sécurité des données au responsable du traitement (et non au PFPDT et/ou à la personne concernée). Sanctions Selon la RévLPD, les personnes physiques peuvent désormais être condamnées à une amende allant jusqu'à CHF 250'000 (contre CHF 10'000 auparavant), notamment en cas de violation intentionnelle des obligations d'information ou de diligence. À l'avenir, le non-respect de la protection des données n'entraînera donc pas seulement des risques de réputation pour les entreprises, mais pourrait également avoir des conséquences pénales de grande envergure pour les employés considérés responsables. L'équipe « Protection des données » de KC se tient à votre disposition pour répondre à vos questions. Auteurs de ce texte : Cornelia Stengel Prof. Dr. iur., avocate, associée Luca Stäuble MLaw, avocat Nicolas Mosimann Dr. iur., LL.M., avocat, associé Christophe Rapin lic. iur., avocat, associé Stefano Perucchi lic. iur., avocat, associé Contacts Christophe Rapin Tél. +41 58 200 33 30 Fax +41 58 200 33 11 christophe.rapin@kellerhals-carrard.ch Dr. Nicolas Mosimann Tél. +41 58 200 30 49 Fax +41 58 200 30 11 nicolas.mosimann@kellerhals-carrard.ch Stefano Perucchi Tél. +41582003100 Fax +41582003111 stefano.perucchi@kellerhals-carrard.ch Prof. Dr. Cornelia Stengel Tél. +41 58 200 39 00 Fax +41 58 200 39 11 cornelia.stengel@kellerhals-carrard.ch

Vue d'ensemble

Après de nombreux allers-retours, le Parlement suisse, ayant réglé les dernières divergences, a adopté la révision totale de la loi fédérale sur la protection des données (LPD) lors de son vote final du 25 septembre 2020. Nous avons le plaisir de vous fournir de brèves informations sur le contexte du projet de loi ainsi que sur les changements les plus importants.

Le but de la révision totale de la LPD (datant de 1992) est d'adapter cette loi obsolète aux conditions sociales et technologiques actuelles et de l'aligner avec les réglementations européennes plus récentes et modernes en matière de protection des données (en particulier le RGPD). Les quatre aspects suivants ont notamment été centraux :

Accroître la transparence et renforcer les droits des personnes concernées ;
Promouvoir les mesures préventives et la responsabilité personnelle des sous-traitants de données ;
Renforcer le contrôle de la protection des données ;
Développer les dispositions pénales.

En conséquence, à l'avenir des règles plus strictes devront être observées lors du traitement des données à caractère personnel. Il conviendra de se conformer à ces nouvelles règles à un stade précoce afin de pouvoir revoir et, si nécessaire adapter, le concept de protection des données mis en place avant l'entrée en vigueur de la loi révisée (par exemple, en établissant des déclarations de protection des données et, si nécessaire, des listes d'activités de traitement tout en adaptant les processus de traitement des données, en nommant un délégué à la protection des données, en concluant des contrats de sous-traitance des données, etc.).

C'est à l'expiration du délai référendaire de 100 jours que le Conseil fédéral décidera de la date d'entrée en vigueur de la révision. Par conséquent, la loi révisée sur la protection des données (ci-après "RévLPD") n'entrera probablement pas en vigueur avant le 1er janvier 2022, d'autant plus que l'ordonnance correspondante (i.e. OLPD) devra également être modifiée.

Innovations importantes

Les innovations les plus importantes apportées par la révision législative sont les suivantes :

Aucune protection des données des personnes morales

Alors que l'actuelle LPD s'applique aux données des personnes physiques et morales, la RévLPD limite son champ d'application, à l'instar du RGPD, aux données des personnes physiques.

Données personnelles nécessitant une protection particulière (données sensibles)

La RévLPD élargit la liste des données sensibles et donc soumises à des exigences légales supplémentaires (notamment en ce qui concerne le consentement, l'évaluation de l'impact sur la protection des données, la divulgation à des tiers et en matière d'évaluations des risques liés à des crédits). Par exemple, les données génétiques et les données biométriques (dont les empreintes digitales) qui identifient de manière unique une personne physique sont désormais qualifiées de données sensibles et une protection spéciale leur est accordée.

Profilage et profilage à risque élevé

Savoir s'il fallait inclure le "profilage à risque élevé" dans la loi, à côté du profilage "ordinaire", a été la question la plus controversée et la plus largement débattue de toute la procédure législative. Pour finir, les Chambres fédérales ont suivi les propositions de la conférence de conciliation, selon lesquelles le profilage à risque élevé devrait être défini et spécifiquement réglementé par la loi. Ainsi, dans le cas du profilage à risque élevé, tout consentement éventuellement requis devra être explicitement donné. En outre, les responsables du traitement des données pour l'évaluation des risques de crédit ne pourront plus s'appuyer sur un intérêt légitime et ne pourront donc plus justifier une violation du droit à la vie privée si ladite évaluation du risque de crédit implique un profilage à risque élevé.

Si des données à caractère personnel sont traitées automatiquement et qu'une combinaison de données permet d'évaluer les "aspects essentiels de la personnalité", on sera en présence de profilage à risque élevé. La définition juridique est très ouverte et une différenciation du profilage "ordinaire" ne sera pas facile en pratique. Il est à espérer que l'OLPD apportera des précisions à ce sujet.

Dans tous les cas, ce changement signifie que pour une évaluation du risque de crédit utilisant le profilage à risque élevé, il faudra s'assurer que tous les principes généraux du traitement soient respectés ou qu'il existe une autre justification (en particulier le consentement de la personne concernée).

Répertoire des activités de traitement des données

La RévLPD, tout comme le RGPD, prévoit l'obligation pour le responsable du traitement et le sous-traitant de tenir un répertoire des traitements de données qu'ils effectuent. Le répertoire doit au moins contenir les informations spécifiées par la loi. Par contre, le Conseil fédéral pourra prévoir des exceptions pour les entreprises qui emploient moins de 250 personnes et dont le traitement des données comporte un faible risque de préjudice pour les personnes concernées. Ces exceptions devront encore être réglementées dans l'OLPD.

Sous-traitant des données

Selon la RévLPD, une relation de sous-traitance des données peut être établie par contrat ou par la loi. La condition préalable est, comme dans le droit actuellement applicable, que le sous-traitant traite les données de la même manière que serait autorisé à le faire le responsable du traitement lui-même. Comme c'est déjà le cas dans l'UE, le transfert du traitement de données à un sous-traitant n'est désormais autorisé qu'avec le consentement préalable du responsable du traitement, de sorte que ce dernier conserve (au moins indirectement) le contrôle du traitement des données et qu'il doit s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. En dehors de cela, il y a eu peu de changements dans ce domaine. En particulier, le contrat de sous-traitance des données n'est toujours pas soumis à des exigences formelles particulières.

Privacy-by-Design et Privacy-by-Default

La RévLPD contient, comme le RGPD, les principes de "Privacy-by-Design" et de "Privacy-by-Default". Dès la phase de planification, le responsable doit concevoir le traitement des données sur le plan technique et organisationnel de manière à ce que les règles de protection des données, en particulier les principes de traitement, soient respectés (Privacy-by-Design). En outre, il doit concevoir les paramètres par défaut, par exemple pour les applications ou les sites web, de manière à ce que le traitement des données à caractère personnel soit limité au minimum nécessaire pour la finalité prévue (Privacy-by-Default).

Renforcement des exigences en matière d'information

Selon le RévLPD, lors de la collecte des données à caractère personnel, les informations minimales suivantes doivent désormais être fournies à la personne concernée :

L'identité et les coordonnées de la personne responsable du traitement ;
L'objet du traitement des données ;
Le cas échéant, les destinataires ou les catégories de destinataires auxquels les données à caractère personnel sont communiquées.

Si les données à caractère personnel sont divulguées à l'étranger, la personne concernée doit également être informée de l'État ou de l'organisme international et, le cas échéant, des garanties de protection des données à caractère personnel fournies par cet État.

Extension des obligations d'information

La RévLPD prévoit des obligations d'information élargies par rapport à la LPD actuelle. L'obligation de fournir des informations n'est plus limitée aux informations minimales définies de manière exhaustive (qui comprennent désormais également des informations sur la durée de la conservation, les transferts internationaux et les décisions individuelles automatisées), mais comprend également toutes les informations qui seraient nécessaires à la personne concernée pour faire valoir ses droits en vertu de la RévLPD. L'information sur les "données à caractère personnel traitées" est désormais également soumise au fait que ces données doivent être communiquées ou divulguées "en tant que telles". Cela devrait clarifier le fait que le droit à l'information en vertu de la loi fédérale sur la protection des données ne constitue pas un droit à la transmission de documents ou à la communication de dossiers.

Droit à la portabilité des données

La RévLPD introduit le droit à la portabilité des données. Ce droit permet à la personne concernée d'exiger du responsable du traitement, généralement gratuitement, la communication de ses données personnelles dans un format électronique commun ou leur transfert à un autre responsable du traitement, si le premier responsable traite les données automatiquement et si les données sont traitées avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l'exécution d'un contrat.

Décision automatisée sur un cas individuel

La RévLPD prévoit que le responsable du traitement doit informer la personne concernée d'une décision fondée exclusivement sur un traitement automatisé qui implique pour elle une conséquence juridique ou qui l'affecte de manière significative. La personne concernée doit avoir la possibilité d'exprimer son point de vue et peut demander que la décision soit réexaminée par une personne physique. Cette disposition ne s'applique pas lorsque la décision est directement liée à la conclusion ou à l'exécution d'un contrat entre le responsable du traitement et la personne concernée et que la demande de la personne concernée est acceptée, ou lorsque la personne concernée a expressément consenti à l'automatisation de la décision.

Évaluation de l'impact sur la protection des données

Selon la RévLPD, le responsable du traitement est tenu de procéder à une évaluation de l'impact sur la protection des données si un traitement de données peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Un risque élevé peut résulter du type, de l'étendue, des circonstances et de la finalité du traitement. Une évaluation de l'impact sur la protection des données doit décrire le traitement prévu et les risques qu'il comporte, ainsi que les mesures appropriées pour contrer ces derniers. Des exceptions peuvent se présenter dans certaines circonstances si la personne responsable respecte un code de conduite.

Notification des violations de la protection des données

Conformément à la RévLPD, les responsables du traitement sont tenus d'informer le Préposé fédéral à la protection des données et à la transparence (« PFPDT ») dans les plus brefs délais en cas de violation de la protection des données, s'il existe un risque grave pour la personnalité ou pour les droits fondamentaux des personnes concernées. Sous réserve de certaines exceptions, le responsable du traitement doit également informer la personne concernée si cela est nécessaire pour sa protection ou lorsque le PFPDT l'exige. Quant au sous-traitant de données, il doit signaler le plus rapidement possible une violation de la sécurité des données au responsable du traitement (et non au PFPDT et/ou à la personne concernée).

Sanctions

Selon la RévLPD, les personnes physiques peuvent désormais être condamnées à une amende allant jusqu'à CHF 250'000 (contre CHF 10'000 auparavant), notamment en cas de violation intentionnelle des obligations d'information ou de diligence. À l'avenir, le non-respect de la protection des données n'entraînera donc pas seulement des risques de réputation pour les entreprises, mais pourrait également avoir des conséquences pénales de grande envergure pour les employés considérés responsables.

L'équipe « Protection des données » de KC se tient à votre disposition pour répondre à vos questions.

Auteurs de ce texte :

Cornelia Stengel
Prof. Dr. iur., avocate, associée

Luca Stäuble
MLaw, avocat

Nicolas Mosimann
Dr. iur., LL.M., avocat, associé

Christophe Rapin
lic. iur., avocat, associé

Stefano Perucchi
lic. iur., avocat, associé

Contacts

restreindre la recherche