Analyse complète : Que change vraiment la nouvelle loi suisse sur la protection des données personnelles ?
En bref
La LPD révisée s’applique depuis le 1er septembre 2023 et encadre le traitement de données, y compris dans le cloud et les objets connectés.
Les organisations renforcent leur devoir d’information, tiennent un registre des activités et structurent leurs mesures techniques et organisationnelles.
Les violations de sécurité doivent être notifiées au PFPDT lorsqu’un risque élevé pour les personnes apparaît.
Les sanctions restent distinctes du RGPD, avec un régime pénal centré sur les personnes physiques et un plafond de 250’000 francs, selon la loi.
Nouvelle loi suisse sur la protection des données personnelles, ce qui change depuis septembre 2023
La loi fédérale sur la protection des données révisée est entrée en vigueur le 1er septembre 2023 et a imposé aux responsables de traitement une mise à niveau des pratiques, dans un contexte marqué par les réseaux sociaux, le cloud et l’internet des objets. Dans les groupes disposant de volumes importants de données clients, la mise à jour s’est souvent matérialisée par des politiques de confidentialité réécrites et des circuits internes de validation.
Le cadre suisse conserve une logique distincte de l’Union européenne. Selon le juriste François Charlet, le RGPD repose sur l’exigence d’une base juridique pour chaque traitement, alors que le droit suisse admet un traitement sauf atteinte à la personnalité au sens du Code civil, un écart qui pèse sur l’analyse des données sensibles et des finalités.
LPD et RGPD, obligations proches mais base juridique et sanctions différentes
Le rapprochement avec le RGPD est documenté dans les débats publics, mais des différences persistent. Jean Philippe Walter, ancien préposé fédéral suppléant, a estimé que la législation suisse restait en retrait par rapport au RGPD et à la Convention 108+, tout en relevant une parenté des principes et une application plus souple en Suisse.
Sur les sanctions, l’Union européenne applique des amendes administratives pouvant atteindre 4 pour cent du chiffre d’affaires mondial. Le régulateur irlandais a infligé une amende de 1,2 milliard d’euros à Meta, un cas emblématique cité dans les comparaisons. En Suisse, la LPD prévoit des amendes pénales visant des personnes physiques, plafonnées à 250’000 francs, avec une amende subsidiaire jusqu’à 50’000 francs pour l’entreprise si aucun auteur n’est identifié, et sous réserve d’une intention démontrée.
LPD, devoir d’information, registre et analyse d’impact, les chantiers concrets de conformité
La révision a renforcé le devoir d’informer sur la nature des traitements et sur les catégories de données obtenues auprès de tiers. Dans une situation de reprise d’un fichier marketing via un partenaire, la conformité a reposé sur une information directe des personnes lorsque la simple publication d’une politique générale ne suffisait pas, comme l’a relevé Livio di Tria.
La tenue d’un registre des activités a aussi structuré les contrôles internes, même si un régime dérogatoire existe pour les entreprises de moins de 250 employés, point signalé par Nicolas Capt. La réforme a en parallèle introduit une logique d’analyse des risques et, en cas de risque élevé, d’analyse d’impact documentant les dangers et les mesures de réduction, avec consultation du PFPDT si des risques importants subsistent.
PFPDT, pouvoirs renforcés et traitement des dénonciations
Le PFPDT supervise les personnes privées et les organes fédéraux, tandis que les cantons disposent de préposés chargés des autorités cantonales et communales. La réforme a déplacé vers le Parlement fédéral des prérogatives auparavant exercées par le Conseil fédéral, notamment sur le budget et la nomination de la direction, un changement présenté comme un renforcement de l’indépendance.
Parmi les évolutions mentionnées dans les sources figure la capacité d’interdire un traitement illicite, alors qu’une saisine du Tribunal administratif fédéral était auparavant nécessaire. L’autorité a aussi indiqué vouloir consacrer davantage de moyens à la surveillance, et la loi prévoit que toute dénonciation doit être traitée, ce qui a été associé à une hausse attendue des procédures.
Quand la LPD révisée entre-t-elle en vigueur en Suisse
Les sources disponibles indiquent une entrée en vigueur le 1er septembre 2023, date à partir de laquelle les organisations ont adapté leurs traitements, leur information et leurs mesures de sécurité.
Quand une violation de la sécurité des données doit-elle être notifiée
La notification au PFPDT intervient lorsque la violation est susceptible d’entraîner un risque élevé pour les personnes concernées, selon la formulation reprise dans les sources.
Le DPO est-il obligatoire sous la LPD
La désignation d’un conseiller à la protection des données n’est pas obligatoire en Suisse. La loi prévoit une incitation, notamment la possibilité d’éviter une consultation du PFPDT dans certains cas après analyse d’impact.
Les amendes suisses sont-elles comparables à celles du RGPD
Non. Le RGPD prévoit des amendes administratives pour les entreprises pouvant aller jusqu’à 4 pour cent du chiffre d’affaires mondial, tandis que la LPD prévoit des amendes pénales visant des personnes physiques, plafonnées à 250’000 francs, avec une amende subsidiaire jusqu’à 50’000 francs pour l’entreprise si aucun auteur n’est identifié, sous réserve d’intention.
Source: www.heidi.news
