Source de l’image : www.mll-news.com

La loi suisse sur la protection des données (LPD) a pour but de protéger la personnalité et les droits fondamentaux des personnes au sujet desquelles des données sont traitées.

La première version de la LPD est entrée en vigueur en 1992, à une époque où l’Internet n’était pas encore utilisé à des fins commerciales et où la réalité numérique d’aujourd’hui n’était pas prévisible. La nLPD sera introduite le 1er septembre 2023 et tiendra compte de l’évolution de la situation.

Par exemple, les entreprises devront désormais justifier pourquoi elles collectent des informations sur leurs clients et indiquer à quels tiers elles rendent ces informations accessibles. Les personnes physiques ont également le droit de savoir combien de temps leurs données sont conservées et à quelles fins elles sont utilisées. Toute personne peut demander la rectification de données erronées sans avoir à se justifier.

Exigences de conformité de la nLPD

La nouvelle LPD s’applique à toutes les entreprises basées en Suisse et à toutes les entreprises internationales qui fournissent des biens et des services aux entreprises et aux citoyens suisses ou qui traitent des données sensibles les concernant, par exemple des dossiers médicaux, du matériel génétique et des opinions politiques. Si une entreprise n’est pas physiquement présente en Suisse, elle est tout de même soumise à la nouvelle LPD et doit désigner un représentant suisse qui fera office de personne de contact pour les autorités de surveillance et les personnes concernées en Suisse pour toutes les questions liées au traitement des données.

Révision de la LPD

Aujourd’hui, la LPD, entrée en vigueur en 1992, est toujours en vigueur. Le gouvernement suisse a donc décidé de réviser la loi afin de prendre en compte les risques actuels en matière de sécurité et de fournir aux entreprises de meilleurs garde-fous pour la protection des informations sensibles. Un autre objectif était d’harmoniser la LPD avec le règlement général sur la protection des données (RGPD) de l’UE.

Après plusieurs séries de prises de position publiques, la nLPD devait entrer en vigueur le 1er janvier 2022. L’entrée en vigueur a toutefois été reportée au 1er septembre 2023. La loi est désormais alignée sur les normes en vigueur dans l’UE et garantit ainsi que la libre circulation des données avec l’UE puisse se poursuivre et que les entreprises suisses restent compétitives.

Cinq changements importants à prendre en compte

Voici les cinq principales modifications de la LPD, y compris leurs conséquences pour les entreprises suisses et internationales :

1. Consentement étendu de l’utilisateur

La sensibilisation des utilisateurs finaux à l’utilisation de leurs données et le consentement à la collecte de données sont au cœur de la nouvelle LPD. Si une personne concernée donne son consentement, son entreprise doit communiquer clairement les droits et les possibilités dont elle dispose. En outre, les entreprises doivent fournir des informations claires sur la collecte, le stockage, le traitement et l’utilisation des données, et prendre des mesures en fonction des préférences de la personne en matière de protection des données, sans lui demander de justifier sa décision ni de la faire revenir sur sa décision

2. Amélioration du droit d’accès de la personne concernée

La nouvelle LPD permet aux personnes concernées d’exercer plus facilement leur droit d’accès. En effet, elles ne sont pas tenues de divulguer des informations personnelles ou des informations sur la manière dont elles sont liées à la personne qui a traité leurs données. Toute personne physique peut demander des détails sur les données qu’une entreprise collecte et stocke à son sujet, notamment

  • Quelles informations personnelles une entreprise possède sur un utilisateur final ?

  • Comment elle les utilise

  • Avec qui elle les partage et

  • Comment elle les collecte

Toute personne peut s’opposer au traitement de ses données lorsqu’il n’y a pas d’intérêt légitime à le faire ou lorsqu’elle décide de ne pas communiquer ses données. Dans certaines circonstances, une personne peut limiter certains types de traitement, par exemple la prise de décision automatisée ou le profilage.

3. Des sanctions plus sévères

Avec la nouvelle LPD, le Préposé fédéral à la protection des données et à la transparence (PFPDT) dispose de pouvoirs accrus pour imposer une plus grande urgence des sanctions aux entreprises qui ne respectent pas les nouvelles normes. Mais contrairement aux autorités européennes de protection des données, le PFPDT n’a pas de pouvoir de sanction. Les personnes fautives sont amendées par les autorités cantonales de poursuite pénale. Le PFPDT peut certes porter plainte et exercer les droits d’une partie civile dans la procédure, mais il n’a pas le droit de déposer une plainte pénale.

En cas d’infraction, les personnes privées s’exposent à des amendes pouvant aller jusqu’à 250 000 CHF. Sont punissables les actes et omissions intentionnels tels que le non-respect des obligations d’information et de diligence, mais pas la négligence. L’amende est en principe infligée à la personne physique responsable. Toutefois, l’entreprise elle-même peut également être amendée jusqu’à 50 000 CHF si l’identification de la personne physique coupable au sein de l’entreprise nécessiterait des efforts disproportionnés.

4. Obligation de signaler les violations

En vertu de la nouvelle LPD, les entreprises doivent notifier le plus rapidement possible une cyberattaque ou une violation de la sécurité des données au PFPDT et à toutes les parties potentiellement concernées si elles veulent éviter des sanctions ou d’autres complications. En cas d’incident de sécurité, les responsables du traitement des données doivent prendre les mesures suivantes :

  • Annoncer immédiatement l’incident au PFPDT

  • Expliquer la nature de la violation de la protection des données

  • Décrire les conséquences possibles

  • Discuter des mesures correctives et minimiser les risques pour les personnes concernées

  • Informer les personnes concernées de la violation de la protection des données

5. Respect de la vie privée dès la conception et par défaut

Conformément à la LPD révisée, les principes actuels de protection et de traitement des données doivent être intégrés dès la planification et la conception des applications afin de tenir compte de la sphère privée des utilisateurs. Ainsi, les entreprises développent des applications selon le principe de la “sécurité d’abord”, au lieu d’améliorer les caractéristiques de sécurité après coup ou même seulement après un incident. Autres nouveautés importantes

  • La nouvelle LPD ne couvre que les données des personnes physiques.

  • La définition de “données personnelles sensibles” comprend également les données génétiques et biométriques.

  • S’il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, une analyse d’impact relative à la protection des données (AIPD) doit être effectuée.

  • La tenue d’un registre des activités de traitement est obligatoire. Des exceptions sont possibles pour les PME dont le traitement des données présente un faible risque d’atteinte à la personnalité des personnes concernées.

Pourquoi est-il important de respecter les dispositions de la nLPD ?

  • Si, en tant qu’entreprise, vous ne respectez pas les dispositions, vous risquez de payer de lourdes amendes et de nuire à votre réputation.

  • En respectant les dispositions, vous favorisez la confiance de vos clients et montrez votre engagement en faveur de la protection des données.

  • Vous garantissez en outre que les données personnelles sont traitées de manière responsable et sûre et que les individus ont le contrôle de leur utilisation. Conformité avec les exigences de l’UE : La nouvelle LPD garantit que la libre circulation des données avec l’UE peut se poursuivre et que les entreprises suisses restent compétitives.

Quelles sont les premières mesures que les entreprises devraient prendre en ce qui concerne la nouvelle LPD ?

  • Donnez la priorité à la protection des données.

  • Effectuez une analyse des écarts en matière de protection des données :

  • Analysez votre situation actuelle en matière de protection des données.

  • Identifiez les éventuelles faiblesses et les risques en matière de protection des données.

  • Etablissez une feuille de route afin d’introduire des mesures et de minimiser les risques.

  • Nommez un Data Protection Officers (DPO) qui veillera au respect de la LPD suisse et des autres lois sur la protection des données et qui fournira des conseils et des orientations en matière de protection des données.

  • Tenez un registre de toutes les activités de traitement (registre des activités de traitement).

  • Définissez des pratiques et des procédures internes pour le stockage, l’utilisation, le transfert et la suppression des données conformément à la loi.

  • Définissez des processus pour le droit d’accès, la gestion des violations de données et l’analyse d’impact de la protection des données.

  • Formez tous les collaborateurs à la nouvelle LPD et aux thèmes de la protection des données.

Quel est le rapport avec Sonio AG ?

Sonio AG est le plus grand partenaire de Veritas en Suisse avec plus de 20 ans d’expérience. Au fil des années, Veritas a développé des produits qui vous aident dans la mise en œuvre de la conformité à la loi sur la protection des données. Le portefeuille intégré de fonctions de conformité des données de Veritas regroupe des informations provenant de différentes sources de données afin d’optimiser l’accès, de garantir la conformité réglementaire, de fournir des informations, de soutenir les analyses et de minimiser les risques pour l’entreprise.

L’approche intégrée de Veritas pour la gestion des données de conformité et d’entreprise transforme de grandes quantités de données en connaissances exploitables. En outre, les fonctions de rapport et de visualisation avec les produits Veritas Insight permettent aux entreprises de classer les données à risque, d’impliquer les propriétaires de données et de bloquer, voire de supprimer l’accès aux données personnelles sensibles afin d’améliorer la conformité des données et la prise de décision.

En outre, le moteur de classification intégré de Veritas élimine les défis de la sécurité des données et de la conformité. En tant que leader du Magic Quadrant de Gartner, Veritas est un leader du marché de l’archivage des informations d’entreprise. Les utilisateurs peuvent archiver leurs données et y accéder de n’importe où.

Veritas propose une gamme de produits Insight intégrée, unique sur le marché. Il est soutenu par un écosystème technologique complet et robuste. Aucun autre fournisseur ne peut égaler l’étendue et la polyvalence des services de données d’entreprise de Veritas.

Apprenez-en plus sur les produits Insight de Veritas et contactez-nous.