Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Mises à jour de la LPD – Ce que vous devez savoir

La nouvelle loi fédérale sur la protection des données (LPD) est le résultat d’une révision complète de la précédente loi suisse sur la protection des données, qui a été adoptée le 25 septembre 2020 et est entrée en vigueur en septembre 2023.

La LPD contient des dispositions similaires au RGPD avec quelques différences en ce qui concerne les bases juridiques et les sanctions.

La Suisse a une loi régissant la confidentialité des données connue sous le nom de loi fédérale sur la protection des données, qui remonte à 1992 et a été partiellement mise à jour en 2019.

Le Parlement suisse a donc adopté une version entièrement révisée de la loi pour être plus alignée avec le RGPD. L’intention est qu’elle maintiendra une qualité de confidentialité et de sécurité comparable à celle du reste de l’UE, même si elle conservera les concepts originaux et variera légèrement dans certains domaines.

Mises à jour de la LPD

Dans la LPD mise à jour, la confidentialité dès la conception est introduite, ce qui entraîne des exigences de diligence raisonnable plus strictes pour les sous-traitants et les entreprises qui stockent des données privées . Les entreprises doivent désormais concevoir leurs procédures en tenant compte de la conformité .

  • Les informations biométriques et génétiques sont désormais considérées comme des données sensibles.
  • S’il existe un risque significatif pour les droits ou la vie privée des personnes concernées, des analyses d’impact doivent être réalisées.
  • L’obligation de divulguer des informations a été étendue.
  • Il est désormais obligatoire de tenir un registre des activités de traitement. Toutefois, le règlement autorise des exemptions pour les PME dont le traitement des données personnelles ne comporte qu’un faible risque de nuire à la personne concernée.
  • En cas de violation de la sécurité des données , un signalement rapide doit être fait au Préposé fédéral à la protection des données et à la transparence (PFPDT).
  • Le profilage, ou le traitement automatisé de données personnelles, est désormais une notion juridique reconnue.
  • La LPD n’exige pas de base légale pour traiter des données personnelles selon le principe général de la loi, qui maintient que l’activité de traitement de données est licite en principe et une base légale n’est requise que si le responsable du traitement doit justifier le traitement. 
  • Le mécanisme d’opt-in fonctionne différemment, car le consentement (préalable) peut être nécessaire dans un nombre plus restreint de situations: 
    • le traitement des données personnelles dignes d’une protection particulière, 
    • profilage à risque élevé par des particuliers, 
    • profilage par un organisme fédéral.
  • Les sanctions visent directement les personnes physiques même au sein de l’organisation.
  • Enfin, la LPD contient davantage de catégories de données sensibles

Assurez-vous que votre entreprise est à jour avec les principales législations internationales. Vous pouvez facilement générer et gérer vos documents avec le Générateur de Politique de Confidentialité et de Cookies de iubenda. 

Mises à jour LPD et RGPD: Quelles sont les principales différences ?

  • informations concernant la prise de décision automatisée ;
  • les destinataires ou catégories de destinataires des données personnelles, le cas échéant, auxquels les données personnelles ont été divulguées ;
  • les pays ou organisations internationales auxquels les données personnelles ont été divulguées, le cas échéant.
  • LPD RGPD
    Applicabilité La LPD s’applique à vous si votre organisation est basée en Suisse ou hors de Suisse et que vous traitez des données de personnes concernées suisses (à l’exception des traitements effectués pour des activités personnelles). Le RGPD s’applique à vous si votre organisation est basée dans l’UE ou traite des données de personnes concernées de l’UE (à l’exception des traitements effectués pour des activités personnelles ou domestiques)
    Données sensibles Dans le cadre de la LPD, les données sensibles comprennent :
    • des données concernant des opinions ou des activités religieuses, philosophiques, politiques ou syndicales ;
    • données concernant la santé, la vie privée ou l’origine raciale ou ethnique ;
    • données génétiques ;
    • les données biométriques qui identifient de manière unique une personne physique ;
    • les poursuites et sanctions administratives et pénales ;
    • données concernant les mesures d’aide sociale.
    Dans le cadre du RGPD, les données sensibles incluent :
    • des données concernant les convictions religieuses ou philosophiques, les opinions politiques ou syndicales ;
    • des données concernant la santé, l’orientation sexuelle, l’origine raciale ou ethnique ;
    • données génétiques ;
    • données biométriques
    Responsable du traitement/Sous-traitant Le responsable du traitement et le sous-traitant peuvent conclure un accord pour réglementer le traitement des données. Accord de traitement des données requis
    Conditions de traitement En ce qui concerne les personnes privées, le consentement exprès n’est requis que pour :
    • le traitement des données personnelles dignes d’une protection particulière ;
    • le traitement des données personnelles sensibles ;
    • profilage à risque élevé par des personnes privées
    • profilage par un organisme fédéral.
    Les organes fédéraux n’ont le droit de traiter des données personnelles que s’il existe une obligation légale de le faire. Ces situations incluent :
    • les données traitées consistent en des données personnelles sensibles
    • le profilage est effectué ;
    • la finalité du traitement ou le type de traitement est susceptible d’entraîner une atteinte grave aux droits fondamentaux de la personne concernée.
    Principe d’opt-in.
    Obligations de divulgation

    Le responsable du traitement doit fournir les informations suivantes dans les 30 jours suivant la demande d’accès de la personne concernée (concernant le traitement des données personnelles de la personne concernée) :

    • l’identité et les coordonnées du responsable du traitement;
    • les catégories de données personnelles traitées ;
    • Finalités du traitement
    • la durée de conservation de ces données personnelles ou les critères utilisés pour déterminer cette durée si la première n’est pas disponible ;
    • si les données personnelles n’ont pas été collectées directement auprès de la personne concernée, la source de ces données personnelles;
    Le RGPD contient tous les mêmes éléments que la LPD mais comprend également les exigences de divulgation de la base juridique du traitement ainsi que les droits accordés à la personne concernée tels que le droit à une copie des données, le droit de déposer une plainte et le droit de retirer son consentement au traitement des données .
    Transfert de données personnelles à l’étranger Les données personnelles ne peuvent être transférées qu’à des pays étrangers ou à des organismes internationaux réputés assurer un niveau de protection adéquat, tel que vérifié par le Conseil fédéral suisse. En l’absence d’une telle décision d’adéquation, les données personnelles peuvent être transférées à l’étranger en vertu : d’un traité international ; de dispositions contractuelles entre le responsable et le sous-traitant et son cocontractant communiquées au préalable au PFPDT ; de garanties spécifiques préparées par l’organe fédéral compétent et préalablement communiquées au PFPDT ; clauses types de protection des données soumises à l’approbation préalable du PFPDT ; et des règles d’entreprise contraignantes préalablement approuvées par le PFPDT. Plusieurs exceptions au transfert de données personnelles à l’étranger sont également prévues par la LPD. Celles-ci incluent : le consentement explicite au transfert de données personnelles accordé par la personne concernée; le transfert de données personnelles est lié à l’exécution ou à la conclusion d’un contrat entre le responsable du traitement et la personne concernée ou entre le responsable du traitement et un cocontractant dans l’intérêt de la personne concernée; le transfert est nécessaires pour sauvegarder un intérêt public supérieur, faire valoir un droit en justice devant un tribunal, pour protéger la vie de la personne concernée ou d’un tiers lorsqu’il n’est pas possible d’obtenir le consentement préalable de la personne concernée dans un délai raisonnable, la personne concernée a accordé l’accès aux données et n’a pas expressément interdit leur traitement, et les données proviennent d’un registre légal qui est accessible au public ou aux personnes qui ont un intérêt légitime à accéder à ce registre.
    • Décisions d’adéquation de la Commission européenne ;
    • les clauses contractuelles types; ou
    • Règles d’entreprise contraignantes
    Conseiller ou délégué à la protection des données Dans le cadre de la LPD, vous n’êtes pas obligé d’avoir un Conseiller à la protection des données, c’est facultatif. Le RGPD impose la nomination d’un Délégué à la protection des données pour les entreprises privées
    Notifications de violation de données Le PFPDT doit uniquement être averti dans les meilleurs délais en cas d’atteinte à la sécurité à haut risque. La notification aux personnes concernées ne doit être effectuée que si cela est nécessaire pour la protection de la personne concernée ou à la demande du PFPDT. Les violations de données doivent être signalées à l’APD dans les 72 heures . La personne concernée doit être informée en cas de risque élevé.
    Sanctions en cas de non-conformité Amendes jusqu’à 250 000 CHF à l’encontre des personnes ou entités responsables. Amendes pouvant aller jusqu’à 10/20 millions d’euros ou 2/4% du chiffre d’affaires mondial annuel de l’organisation.

    Ces changements s’appliquent-ils à mon entreprise ? 

    Cette loi s’applique au traitement des données personnelles concernant les personnes par :

    👉 personnes privées ;

    👉 agences fédérales.

    Elle ne s’applique pas au traitement des données personnelles par des individus pour un usage exclusivement personnel. 

    iubenda continuera à vous tenir au courant des modifications apportées à la LPD ; en attendant, si vous ne l’avez pas déjà fait, assurez-vous de mettre en place une politique de confidentialité et de cookies à jour et conforme. 

    💡
    Comment se préparer à la LPD

    La révision de la loi fédérale suisse sur la protection des données (LPD) entrera en vigueur en septembre 2023.. Il est important que vous vous prépariez aux changements.

    👉 Consultez notre guide Comment se préparer à la LPD pour voir quelles mesures vous pouvez prendre dès aujourd’hui !