La nouvelle loi fédérale sur la protection des données (LPD) est le résultat d’une révision complète de la précédente loi suisse sur la protection des données, qui a été adoptée le 25 septembre 2020 et est entrée en vigueur en septembre 2023.
La LPD contient des dispositions similaires au RGPD avec quelques différences en ce qui concerne les bases juridiques et les sanctions.
Le Parlement suisse a donc adopté une version entièrement révisée de la loi pour être plus alignée avec le RGPD. L’intention est qu’elle maintiendra une qualité de confidentialité et de sécurité comparable à celle du reste de l’UE, même si elle conservera les concepts originaux et variera légèrement dans certains domaines.
Dans la LPD mise à jour, la confidentialité dès la conception est introduite, ce qui entraîne des exigences de diligence raisonnable plus strictes pour les sous-traitants et les entreprises qui stockent des données privées . Les entreprises doivent désormais concevoir leurs procédures en tenant compte de la conformité .
Assurez-vous que votre entreprise est à jour avec les principales législations internationales. Vous pouvez facilement générer et gérer vos documents avec le Générateur de Politique de Confidentialité et de Cookies de iubenda.
LPD | RGPD | |
---|---|---|
Applicabilité | La LPD s’applique à vous si votre organisation est basée en Suisse ou hors de Suisse et que vous traitez des données de personnes concernées suisses (à l’exception des traitements effectués pour des activités personnelles). | Le RGPD s’applique à vous si votre organisation est basée dans l’UE ou traite des données de personnes concernées de l’UE (à l’exception des traitements effectués pour des activités personnelles ou domestiques) |
Données sensibles | Dans le cadre de la LPD, les données sensibles comprennent :
|
Dans le cadre du RGPD, les données sensibles incluent :
|
Responsable du traitement/Sous-traitant | Le responsable du traitement et le sous-traitant peuvent conclure un accord pour réglementer le traitement des données. | Accord de traitement des données requis |
Conditions de traitement | En ce qui concerne les personnes privées, le consentement exprès n’est requis que pour :
|
Principe d’opt-in. |
Obligations de divulgation | Le responsable du traitement doit fournir les informations suivantes dans les 30 jours suivant la demande d’accès de la personne concernée (concernant le traitement des données personnelles de la personne concernée) :
|
Le RGPD contient tous les mêmes éléments que la LPD mais comprend également les exigences de divulgation de la base juridique du traitement ainsi que les droits accordés à la personne concernée tels que le droit à une copie des données, le droit de déposer une plainte et le droit de retirer son consentement au traitement des données . |
Transfert de données personnelles à l’étranger | Les données personnelles ne peuvent être transférées qu’à des pays étrangers ou à des organismes internationaux réputés assurer un niveau de protection adéquat, tel que vérifié par le Conseil fédéral suisse. En l’absence d’une telle décision d’adéquation, les données personnelles peuvent être transférées à l’étranger en vertu : d’un traité international ; de dispositions contractuelles entre le responsable et le sous-traitant et son cocontractant communiquées au préalable au PFPDT ; de garanties spécifiques préparées par l’organe fédéral compétent et préalablement communiquées au PFPDT ; clauses types de protection des données soumises à l’approbation préalable du PFPDT ; et des règles d’entreprise contraignantes préalablement approuvées par le PFPDT. Plusieurs exceptions au transfert de données personnelles à l’étranger sont également prévues par la LPD. Celles-ci incluent : le consentement explicite au transfert de données personnelles accordé par la personne concernée; le transfert de données personnelles est lié à l’exécution ou à la conclusion d’un contrat entre le responsable du traitement et la personne concernée ou entre le responsable du traitement et un cocontractant dans l’intérêt de la personne concernée; le transfert est nécessaires pour sauvegarder un intérêt public supérieur, faire valoir un droit en justice devant un tribunal, pour protéger la vie de la personne concernée ou d’un tiers lorsqu’il n’est pas possible d’obtenir le consentement préalable de la personne concernée dans un délai raisonnable, la personne concernée a accordé l’accès aux données et n’a pas expressément interdit leur traitement, et les données proviennent d’un registre légal qui est accessible au public ou aux personnes qui ont un intérêt légitime à accéder à ce registre. |
|
Conseiller ou délégué à la protection des données | Dans le cadre de la LPD, vous n’êtes pas obligé d’avoir un Conseiller à la protection des données, c’est facultatif. | Le RGPD impose la nomination d’un Délégué à la protection des données pour les entreprises privées |
Notifications de violation de données | Le PFPDT doit uniquement être averti dans les meilleurs délais en cas d’atteinte à la sécurité à haut risque. La notification aux personnes concernées ne doit être effectuée que si cela est nécessaire pour la protection de la personne concernée ou à la demande du PFPDT. | Les violations de données doivent être signalées à l’APD dans les 72 heures . La personne concernée doit être informée en cas de risque élevé. |
Sanctions en cas de non-conformité | Amendes jusqu’à 250 000 CHF à l’encontre des personnes ou entités responsables. | Amendes pouvant aller jusqu’à 10/20 millions d’euros ou 2/4% du chiffre d’affaires mondial annuel de l’organisation. |
Cette loi s’applique au traitement des données personnelles concernant les personnes par :
👉 personnes privées ;
👉 agences fédérales.
Elle ne s’applique pas au traitement des données personnelles par des individus pour un usage exclusivement personnel.
iubenda continuera à vous tenir au courant des modifications apportées à la LPD ; en attendant, si vous ne l’avez pas déjà fait, assurez-vous de mettre en place une politique de confidentialité et de cookies à jour et conforme.
La révision de la loi fédérale suisse sur la protection des données (LPD) entrera en vigueur en septembre 2023.. Il est important que vous vous prépariez aux changements.
👉 Consultez notre guide Comment se préparer à la LPD pour voir quelles mesures vous pouvez prendre dès aujourd’hui !