Symbole d'une main avec un index levé, ce qui signifie numéro un ou attention.
Ton loyer va augmenter? Renseigne-toi sur tes droits

Quels sont les changements apportés par la LPD?

La LPD révisée entrera en vigueur le 1er septembre 2023. MyRight vous explique ce qui change et ce que les entreprises doivent savoir à ce sujet.

La réponse en détail

Quels sont les changements apportés par la nLPD?

Même si la nouvelle loi sur la protection des données n’apporte aucun changement fondamental, beaucoup de choses vont changer au 1er septembre 2023. Voici de quoi il s’agit concrètement.

  • Les données relatives aux personnes morales ne sont plus soumises à la loi sur la protection des données (LPD). Seules les données des personnes physiques relèvent dorénavant du champ d’application de la LPD.
  • Les obligations d’informer sont élargies. Ainsi, la personne responsable du traitement doit désormais informer les personnes concernées, notamment sur son identité, ses coordonnées, la finalité du traitement ainsi que les destinataires ou les catégories de destinataires des données. La nouvelle LPD ne fournit toutefois pas de liste exhaustive des informations nécessaires. Par conséquent, les personnes responsables doivent vérifier elles-mêmes s’il y a lieu de fournir des informations supplémentaires pour se conformer à la LPD. Celle-ci exige que soient communiquées aux personnes concernées les informations nécessaires pour qu’elles puissent faire valoir leurs droits. En outre, les informations doivent être communiquées de manière concise, transparente, compréhensible et facilement accessible.
  • Lorsque le traitement envisagé entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, les entreprises ont désormais l’obligation de procéder à une analyse d’impact relative à la protection des données personnelles. Cette analyse doit être documentée.
  • La loi introduit les principes de Privacy-by-Design et Privacy-by-Default (protection des données dès la conception et par défaut). Ces principes obligent les entreprises à prendre en compte les principes en matière de protection des données dès la conception du traitement et des applications et, p. ex., à ne pas obtenir le consentement des personnes concernées – pour un traitement allant au-delà du traitement absolument nécessaire – au moyen de préréglages correspondants.
  • La tenue d’un registre des activités de traitement est obligatoire pour les entreprises employant plus de 250 collaborateurs. Toutefois, l’ordonnance se rapportant à la loi prévoit une exception pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.
  • La nouvelle LPD introduit pour la première fois dans le droit suisse un devoir d’annoncer les violations de la sécurité des données: la personne responsable du traitement doit annoncer au préposé fédéral à la protection des données et à la transparence (PFPDT) toute violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L’annonce doit être faite dans les meilleurs délais. Par rapport à l’obligation de notification prévue par le RGPD, le seuil de déclenchement de l’obligation d’annoncer est augmenté («risque élevé» vs «risque»). La personne responsable du traitement doit informer les personnes concernées lorsque cela est nécessaire à leur protection ou lorsque le PFPDT l’exige.
  • La notion de profilage est introduite dans la loi. Le profilage est un traitement automatisé de données qui évalue des aspects de la personnalité de la personne concernée à l’aide de données. 
  • Au niveau de la terminologie, la nouvelle LPD distingue le responsable du traitement et le sous-traitant. Cette distinction existe déjà, du moins en substance, dans le droit en vigueur, mais elle est maintenant explicitée dans la loi. 
  • L’actuelle obligation de déclarer les fichiers est supprimée.
  • Les compétences du PFPDT sont considérablement élargies. Le PFPDT est désormais habilité à mener des enquêtes d’office ou sur dénonciation et à collecter les preuves. Il reçoit, en outre, une compétence décisionnelle. Au lieu de recommandations, le PFPDT peut désormais émettre des injonctions contraignantes. L’entreprise concernée peut s’opposer à l’injonction. 
  • La nouvelle LPD introduit également des sanctions plus sévères. Un grand nombre d’infractions peuvent désormais entraîner des amendes jusqu’à CHF 250 000.
     

Autres conseils juridiques et modèles concernant la protection des données:

•    Vers les douze points principaux 
•    Retour à l’aperçu des conseils juridiques