Newsletter #2 9/2022 Achèvement de la loi suisse sur la protection des données (LPD)


Aperçu La révision totale de la loi suisse sur la protection des données (LPD) est désormais sous toit! Le 31 août 2022, le Conseil fédéral a publié l'ordonnance sur la protection des données (OPD) et fixe l'entrée en vigueur des nouvelles règles au 1er septembre 2023. La révision totale avait pour but d'adapter la loi suisse sur la protection des données, qui n’était plus adaptée aux conditions sociales et technologiques actuelles et de la rapprocher des réglementations plus récentes et plus modernes de l'environnement européen de la protection des données (en particulier le Réglement Européen sur la Protection des données (RGPD)). La loi et l'ordonnance qui l'accompagnent correspondent certes en de nombreux points aux règles de l'UE. Néanmoins, lors de l'examen et de la mise en œuvre de la nouvelle configuration de protection des données dans une entreprise, il convient de tenir compte de certains "Swiss-Finishes". Les entreprises suisses ont désormais un an pour mettre en œuvre la nouvelle règlementation - aucun délai de transition (supplémentaire) n'est prévu. Cette newsletter a pour ambition de vous informer brièvement sur les principales nouveautés et sur notre offred’accompagnement. En annexe, vous trouverez une «check-list» des différentes mesures nécessaires à la mise en œuvre progressive des nouvelles règles de protection des données dans votre entreprise. Nouveautés importantes Nous nous limitons ci-après aux principales nouveautés par rapport au droit en vigueur : Pas de protection des données des personnes morales: Alors que la LPD actuelle s'applique aux données des personnes physiques et morales, la LPD révisée limite son champ d'application aux données des personnes physiques, tout comme le RGPD. Profilage et profilage à haut risque: une distinction est faite entre le "profilage" normal et le "profilage à haut risque". Par profilage, on entend tout type de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer, analyser ou prédire certains aspects personnels se rapportant à une personne physique (art. 5, let. f, nLPD). Le profilage à haut risque implique en outre un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 5, let. g nLPD). Le profilage ne requiert pas en soi de consentement, même en cas de risque élevé. Cette distinction est toutefois importante dans le contexte des obligations d'information, de l'obligation de journalisation et de l'analyse d'impact relative à la protection des données (voir ci-dessous). Obligations d'information et de renseignement sensiblement plus étendues: les nouvelles régles exigent que les personnes concernées soient informées en particulier de la collecte de données personnelles, en communiquant toutes les informations nécessaires pour que les personnes concernées puissent faire valoir leurs droits et pour garantir un traitement transparent des données. Il s'agit notamment des coordonnées du responsable de traitement, du but du traitement et, le cas échéant, des destinataires des données personnelles si celles-ci sont transmises à des tiers (art. 19 nLPD). Une violation intentionnelle de cette obligation est sanctionnée par le droit pénal. En outre, toute personne peut demander si des données personnelles la concernant sont traitées. Le cas échéant, toutes les informations nécessaires pour qu'elle puisse faire valoir ses droits et garantir un traitement transparent des données doivent lui être communiquées. (l’art. 25 nLPD dresse une liste des informations à communiquer). Nouvelles désignations des rôles : Les nouvelles règles introduisent les notions de "responsable du traitement" et de "sous-traitant". Pour la compréhension de la suite - ainsi que du texte de loi lui-même - il est utile de maitriser ces deux notions. Est considéré comme responsable de traitement toute personne qui [...] décide de la finalité et des moyens d'un traitement de données, c'est-à-dire, par exemple, un employeur pour le traitement des données personnelles de ses employés ou un commerçant pour le traitement des données personnelles de ses clients. Est en revanche considéré comme sous-traitant celui qui [...] traite des données personnelles pour le compte du responsable, tel que l'enregistrement de données sur un serveur externe ou par des prestataires de services en nuage. Les obligations administratives : Les obligations administratives ont également été développées. Elles comprennent par exemple: la tenue d'un registre des traitements (art. 12 nLPD). Un registre de traitement est un inventaire qui contient les différents traitements de données effectués dans l'entreprise dans lequel sont saisies les différentes finalités du traitement (par ex. RH, marketing, etc.) et les principales conditions dans lesquelles elles sont traitées. Des exceptions s'appliquent aux entreprises de moins de 250 collaborateurs (art. 24 OLPD) ; l'élaboration d'analyses d'impact sur la protection des données lorsqu'un traitement peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 22 nLPD) ; l’obligation de notification en cas de violation de la loi sur la protection des données (art. 24 nLPD et art. 15 OLPD) ; la journalisation de traitements automatisés de données personnelles sensibles à grande échelle ou le profilage à haut risque, lorsque les mesures préventives prises ne permettent pas de garantir la protection des données (art. 4 OLPD) ; et l'établissement d'un règlement pour les traitements automatisés. Celui-ci doit en outre être régulièrement mis à jour lorsque des données personnelles sensibles font l'objet d'un traitement automatisé à grande échelle ou lorsque le profilage est effectué avec un risque élevé (art. 5 OLPD). Sécurité des données : des mesures techniques et organisationnelles (p. ex. droits d'accès, pseudonymisation) doivent être prises pour garantir une sécurité adéquate des données. Cela implique que les applications soient conçues, entre autres, de manière à ce que les données personnelles soient anonymisées par défaut et/ou effacées après un certain temps. Si les données personnelles sont traitées par un sous-traitant, le responsable de traitement doit s'assurer que le sous-traitant est également en mesure de garantir la sécurité des données (p. ex. par le biais d’accords de traitement des données, Data Processing Agreement, DPA). En ce qui concerne la sécurité des données, il convient également de mentionner que "pendant toute la durée du traitement", il existe une obligation de vérifier et, le cas échéant, d'adapter les mesures prises et qu'une violation intentionnelle des exigences minimales en matière de sécurité des données est passible de sanctions. Communication de données personnelles à l'étranger : est notamment considérée comme une communication l'enregistrement des données personnelles sur un système étranger (serveur, cloud), mais aussi un accès par une équipe de support étrangère. En principe, les données personnelles peuvent être communiquées à l'étranger si la législation du pays tiers garantit une protection adéquate (art. 16, al. 1 nLPD). Les pays dont la protection est adéquate sont énumérés à l'annexe 1 de l'OLPD. En cas de communication de données personnelles dans d'autres Etats - notamment aux Etats-Unis l'application d'une disposition contractuelle spécifique ou la mise en œuvre de mesures de protection alternatives garantissant une protection adéquate des données sont requises (art. 16, al. 2, et art. 17 nLPD). Sanctions : La nouvelle loi sur la protection des données prévoit des amendes pouvant aller jusqu'à 250 000 CHF en cas de violation de certaines obligations (art. 60 et suivants nLPD). Sont punissables les actes et omissions intentionnels, mais pas la négligence. Contrairement à l'UE, où les sanctions sont dirigées contre les entreprises, en Suisse, c'est en principe la personne physique responsable qui est amendée. L'entreprise elle-même ne peut être sanctionnée que par une amende de 50 000 CHF au maximum si l'identification de la personne physique coupable au sein de l'entreprise ou de l'organisation entraînerait des frais d'enquête disproportionnés. Nous vous recommandons de vous engager sans attendre dans la mise en œuvre des nouvelles règles afin que votre entreprise soit conforme à la LPD dès le 1er septembre 2023. Commeannoncé,, une courte «check-list» qui peut vous aider à démarrer votre analyse est disponible en annexe. Notre offre Nous vous soutenons volontiers de manière pragmatique et durable dans votre démarche de mise en conformité en matière de protection des données: par des formations et des workshops; par des évaluations lors de la mise en place de votre programme de mise en conformité; par des recommandations sur des outils de protection des données; par la rédaction de déclarations de protection des données; par la rédaction de contrats avec vos partenaires; en cas de délocalisation/externalisation importante du traitement des données (par ex. en cas d'utilisation de services en nuage) ou en rapport avec les transferts de données à l'étranger. Nous espérons que ces informations vous seront utiles et restons à votre disposition pour tout renseignement complémentaire. Checklist_DE.pdf Checklist_IT.pdf Checklist_FR.pdf Checklist_EN.pdf Prof. Dr. Cornelia Stengel +41 58 200 39 00 +41 58 200 39 11 cornelia.stengel@kellerhals-carrard.ch Stefano Perucchi +41582003100 +41582003111 stefano.perucchi@kellerhals-carrard.ch Dr. Urs Marti +41 58 200 35 28 +41 58 200 35 11 urs.marti@kellerhals-carrard.ch Dr. Mario M. Marti +41 58 200 35 00 +41 58 200 35 11 mario.marti@kellerhals-carrard.ch Christophe Rapin +41 58 200 33 30 +41 58 200 33 11 christophe.rapin@kellerhals-carrard.ch Dr. Thomas Bähler +41 58 200 35 00 +41 58 200 35 11 thomas.baehler@kellerhals-carrard.ch Dr. Nicolas Mosimann +41 58 200 30 49 +41 58 200 30 11 nicolas.mosimann@kellerhals-carrard.ch Dr. Daniel Alder +41 58 200 39 33 +41 58 200 39 11 daniel.alder@kellerhals-carrard.ch Ralph Gramigna +41 58 200 39 06 +41 58 200 39 11 ralph.gramigna@kellerhals-carrard.ch

Aperçu

La révision totale de la loi suisse sur la protection des données (LPD) est désormais sous toit! Le 31 août 2022, le Conseil fédéral a publié l'ordonnance sur la protection des données (OPD) et fixe l'entrée en vigueur des nouvelles règles au 1er septembre 2023. La révision totale avait pour but d'adapter la loi suisse sur la protection des données, qui n’était plus adaptée aux conditions sociales et technologiques actuelles et de la rapprocher des réglementations plus récentes et plus modernes de l'environnement européen de la protection des données (en particulier le Réglement Européen sur la Protection des données (RGPD)). La loi et l'ordonnance qui l'accompagnent correspondent certes en de nombreux points aux règles de l'UE. Néanmoins, lors de l'examen et de la mise en œuvre de la nouvelle configuration de protection des données dans une entreprise, il convient de tenir compte de certains "Swiss-Finishes".

Les entreprises suisses ont désormais un an pour mettre en œuvre la nouvelle règlementation - aucun délai de transition (supplémentaire) n'est prévu. Cette newsletter a pour ambition de vous informer brièvement sur les principales nouveautés et sur notre offred’accompagnement. En annexe, vous trouverez une «check-list» des différentes mesures nécessaires à la mise en œuvre progressive des nouvelles règles de protection des données dans votre entreprise.

Nouveautés importantes

Nous nous limitons ci-après aux principales nouveautés par rapport au droit en vigueur :

Pas de protection des données des personnes morales: Alors que la LPD actuelle s'applique aux données des personnes physiques et morales, la LPD révisée limite son champ d'application aux données des personnes physiques, tout comme le RGPD.
Profilage et profilage à haut risque: une distinction est faite entre le "profilage" normal et le "profilage à haut risque". Par profilage, on entend tout type de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer, analyser ou prédire certains aspects personnels se rapportant à une personne physique (art. 5, let. f, nLPD). Le profilage à haut risque implique en outre un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 5, let. g nLPD). Le profilage ne requiert pas en soi de consentement, même en cas de risque élevé. Cette distinction est toutefois importante dans le contexte des obligations d'information, de l'obligation de journalisation et de l'analyse d'impact relative à la protection des données (voir ci-dessous).
Obligations d'information et de renseignement sensiblement plus étendues: les nouvelles régles exigent que les personnes concernées soient informées en particulier de la collecte de données personnelles, en communiquant toutes les informations nécessaires pour que les personnes concernées puissent faire valoir leurs droits et pour garantir un traitement transparent des données. Il s'agit notamment des coordonnées du responsable de traitement, du but du traitement et, le cas échéant, des destinataires des données personnelles si celles-ci sont transmises à des tiers (art. 19 nLPD). Une violation intentionnelle de cette obligation est sanctionnée par le droit pénal.

En outre, toute personne peut demander si des données personnelles la concernant sont traitées. Le cas échéant, toutes les informations nécessaires pour qu'elle puisse faire valoir ses droits et garantir un traitement transparent des données doivent lui être communiquées. (l’art. 25 nLPD dresse une liste des informations à communiquer).

Nouvelles désignations des rôles : Les nouvelles règles introduisent les notions de "responsable du traitement" et de "sous-traitant". Pour la compréhension de la suite - ainsi que du texte de loi lui-même - il est utile de maitriser ces deux notions. Est considéré comme responsable de traitement toute personne qui [...] décide de la finalité et des moyens d'un traitement de données, c'est-à-dire, par exemple, un employeur pour le traitement des données personnelles de ses employés ou un commerçant pour le traitement des données personnelles de ses clients. Est en revanche considéré comme sous-traitant celui qui [...] traite des données personnelles pour le compte du responsable, tel que l'enregistrement de données sur un serveur externe ou par des prestataires de services en nuage.
Les obligations administratives : Les obligations administratives ont également été développées. Elles comprennent par exemple:
- la tenue d'un registre des traitements (art. 12 nLPD). Un registre de traitement est un inventaire qui contient les différents traitements de données effectués dans l'entreprise dans lequel sont saisies les différentes finalités du traitement (par ex. RH, marketing, etc.) et les principales conditions dans lesquelles elles sont traitées. Des exceptions s'appliquent aux entreprises de moins de 250 collaborateurs (art. 24 OLPD) ;
- l'élaboration d'analyses d'impact sur la protection des données lorsqu'un traitement peut entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 22 nLPD) ;
- l’obligation de notification en cas de violation de la loi sur la protection des données (art. 24 nLPD et art. 15 OLPD) ;
- la journalisation de traitements automatisés de données personnelles sensibles à grande échelle ou le profilage à haut risque, lorsque les mesures préventives prises ne permettent pas de garantir la protection des données (art. 4 OLPD) ; et
- l'établissement d'un règlement pour les traitements automatisés. Celui-ci doit en outre être régulièrement mis à jour lorsque des données personnelles sensibles font l'objet d'un traitement automatisé à grande échelle ou lorsque le profilage est effectué avec un risque élevé (art. 5 OLPD).
Sécurité des données : des mesures techniques et organisationnelles (p. ex. droits d'accès, pseudonymisation) doivent être prises pour garantir une sécurité adéquate des données. Cela implique que les applications soient conçues, entre autres, de manière à ce que les données personnelles soient anonymisées par défaut et/ou effacées après un certain temps.

Si les données personnelles sont traitées par un sous-traitant, le responsable de traitement doit s'assurer que le sous-traitant est également en mesure de garantir la sécurité des données (p. ex. par le biais d’accords de traitement des données, Data Processing Agreement, DPA).

En ce qui concerne la sécurité des données, il convient également de mentionner que "pendant toute la durée du traitement", il existe une obligation de vérifier et, le cas échéant, d'adapter les mesures prises et qu'une violation intentionnelle des exigences minimales en matière de sécurité des données est passible de sanctions.

Communication de données personnelles à l'étranger : est notamment considérée comme une communication l'enregistrement des données personnelles sur un système étranger (serveur, cloud), mais aussi un accès par une équipe de support étrangère.

En principe, les données personnelles peuvent être communiquées à l'étranger si la législation du pays tiers garantit une protection adéquate (art. 16, al. 1 nLPD). Les pays dont la protection est adéquate sont énumérés à l'annexe 1 de l'OLPD. En cas de communication de données personnelles dans d'autres Etats - notamment aux Etats-Unis l'application d'une disposition contractuelle spécifique ou la mise en œuvre de mesures de protection alternatives garantissant une protection adéquate des données sont requises (art. 16, al. 2, et art. 17 nLPD).

Sanctions : La nouvelle loi sur la protection des données prévoit des amendes pouvant aller jusqu'à 250 000 CHF en cas de violation de certaines obligations (art. 60 et suivants nLPD). Sont punissables les actes et omissions intentionnels, mais pas la négligence. Contrairement à l'UE, où les sanctions sont dirigées contre les entreprises, en Suisse, c'est en principe la personne physique responsable qui est amendée. L'entreprise elle-même ne peut être sanctionnée que par une amende de 50 000 CHF au maximum si l'identification de la personne physique coupable au sein de l'entreprise ou de l'organisation entraînerait des frais d'enquête disproportionnés.

Nous vous recommandons de vous engager sans attendre dans la mise en œuvre des nouvelles règles afin que votre entreprise soit conforme à la LPD dès le 1er septembre 2023. Commeannoncé,, une courte «check-list» qui peut vous aider à démarrer votre analyse est disponible en annexe.

Notre offre

Nous vous soutenons volontiers de manière pragmatique et durable dans votre démarche de mise en conformité en matière de protection des données:

par des formations et des workshops;
par des évaluations lors de la mise en place de votre programme de mise en conformité;
par des recommandations sur des outils de protection des données;
par la rédaction de déclarations de protection des données;
par la rédaction de contrats avec vos partenaires;
en cas de délocalisation/externalisation importante du traitement des données (par ex. en cas d'utilisation de services en nuage) ou
en rapport avec les transferts de données à l'étranger.

Nous espérons que ces informations vous seront utiles et restons à votre disposition pour tout renseignement complémentaire.

Newsletter #2 9/2022 Achèvement de la loi suisse sur la protection des données (LPD)

Prof. Dr. Cornelia Stengel

Stefano Perucchi

Dr. Urs Marti

Dr. Mario M. Marti

Christophe Rapin

Dr. Thomas Bähler

Dr. Nicolas Mosimann

Dr. Daniel Alder

Ralph Gramigna