Blog juridique de LEXRBlog / Protection des données

La nouvelle loi suisse sur la protection des données : Ce que les entreprises du secteur technologique doivent savoir 

By Sebastian Schneider, Francisco Arga e Lima

Last Updated 01/09/2023

La nouvelle loi fédérale sur la protection des données (LPD) entre en vigueur le 1er septembre 2023 et révise profondément l’ancienne loi suisse sur la protection des données de 1992. Les changements dont vous devez être conscient en tant qu’entreprise technologique varient selon que vous êtes déjà conforme au RGPD (règlement général sur la protection des données de l’UE) ou à la LPD, ou que vous commencez tout juste votre parcours en matière de protection des données. Cet article vise à clarifier les mesures pratiques que vous devez prendre pour assurer la conformité avec la nouvelle loi sur la protection des données. 

Mesures à prendre par les entreprises conformes au RGPD 

Si votre société est déjà conforme au RGPD, la bonne nouvelle est que vous ne devrez envisager que des changements mineurs. Vous devez vous concentrer sur ces deux points de la nouvelle LPD suisse: 

  • Assurez-vous que vos politiques de confidentialité et vos contrats de sous-traitance précisent les pays vers lesquels votre entreprise transfère des données. Alors que le RGPD exige seulement que les sociétés informent les personnes concernées si elles transfèrent des données vers des pays tiers et, si oui, quelles garanties s’appliquent, la LPD est plus spécifique sur ce point, exigeant des informations sur la liste concrète des pays tiers vers lesquels les données à caractère personnel sont transférées. 
  • Vous devez vérifier si vous avez besoin d’un représentant en Suisse. Les sociétés sans établissement en Suisse sont tenues de désigner un représentant en Suisse si (1) elles traitent des données de personnes suisses lorsqu’elles offrent des biens ou des services en Suisse ou surveillent le comportement de personnes en Suisse, (2) le traitement des données est régulier, étendu et (3) entraîne un risque élevé pour la personne concernée, ce qui laisse une certaine marge d’interprétation. Toutefois, si vous traitez des données sensibles telles que des données sur la santé ou des données génétiques, vous devez absolument vérifier si vous avez besoin d’un représentant suisse. Une fois identifié, le représentant doit être officiellement désigné dans la documentation pertinente, telle que les contrats de traitement des données et les politiques de confidentialité. 

Démarches à effectuer par les sociétés en conformité avec l’actuelle loi suisse sur la protection des données 

Pour les sociétés technologiques qui sont en conformité avec la LPD actuelle, vous devrez toutefois examiner de plus près d’autres étapes afin de vous conformer aux changements juridiques à venir. Ce sont les principaux domaines dans lesquels votre société peut avoir besoin de mettre à jour ses politiques actuelles : 

  • La définition et la réglementation du profilage ont changé : il s’agit de toute forme de traitement automatisé de données visant, par exemple, à prédire ou à analyser des aspects ou des comportements des personnes concernées. La réalisation de ce simple profilage n’impose pas d’autres obligations aux sociétés privées. Toutefois, si ce profil est basé sur une évaluation automatisée ou conduit à une décision automatisée, il pourrait être qualifié de profilage “à haut risque”. Cela peut conduire à d’autres mesures nécessaires, comme la demande d’un consentement explicite ou l’élargissement des droits des personnes. 
  • Vous devez réviser vos politiques de confidentialité pour vous assurer qu’elles fournissent suffisamment d’informations sur le responsable du traitement des données, la finalité du traitement des données, les destinataires tiers des données à caractère personnel et les éventuels transferts vers des pays tiers. 
  • Dans le contexte des droits des personnes concernées, la loi actualisée introduit le droit à la portabilité des données, qui exige la mise en œuvre de mesures techniques permettant aux personnes concernées de recevoir leurs données à caractère personnel dans un format couramment utilisé si les données sont traitées automatiquement et sur la base du consentement ou dans le cadre d’un contrat. 
  • Si votre société compte plus de 250 employés, elle doit tenir des registres des activités de traitement. Cela implique de documenter toutes les activités de traitement des données, y compris, par exemple, la finalité du traitement, les catégories de données à caractère personnel, les personnes concernées et les périodes de conservation respectives. 
  • La nouvealle LPD impose également la mise en place d’une procédure de notification des violations de données. Les entreprises doivent établir une procédure pour détecter, signaler et gérer rapidement les violations de données. En outre, le personnel doit être formé à la manière de réagir efficacement aux violations de données. Si la violation de données entraîne un risque élevé pour les personnes concernées, vous devez en informer l’autorité de protection des données dans les plus brefs délais. 
  • Les sociétés doivent également vérifier si elles doivent procéder à des évaluations de l’impact sur la vie privée. Celles-ci sont nécessaires lorsque l’activité de traitement des données que vous souhaitez lancer risque de mettre en péril les droits fondamentaux des personnes concernées. Cela peut se produire lors de l’utilisation de nouvelles technologies, notamment lorsqu’il s’agit de traiter des données sensibles à grande échelle ou de surveiller systématiquement des personnes dans des espaces publics. 
  • Enfin, il est également important que vous examiniez et mettiez à jour vos contrats avec les responsables du traitement des données. Vous devez vous assurer, par exemple, que ces contrats garantissent explicitement la sécurité des données à caractère personnel traitées et qu’ils prévoient un processus sur la manière de gérer les violations de données. 

En partant de zéro – Que faire si la protection des données est un domaine nouveau pour vous ? 

Si vous venez de démarrer votre activité et que la réglementation en matière de protection de la vie privée est totalement nouvelle pour vous, nous vous conseillons de commencer par déterminer les points suivants : 

  • La première étape consiste à déterminer quelle loi s’applique à votre société (dans la plupart des cas, la nouvelle LPD suisse, le RGPD de l’UE ou les deux) et à identifier les principaux risques liés à la protection des données pour votre idée d’entreprise. Prenez en compte des facteurs tels que votre lieu d’établissement, les types de données collectées, la finalité du traitement et tout transfert transfrontalier de données, ainsi que si vous traitez toute forme de données sensibles telles que les données de santé. 
  • De plus, il est conseillé d’obtenir une compréhension et une vue d’ensemble des activités de traitement des données au sein de votre société, y compris les ventes, le marketing, les RH et l’informatique. Vérifiez les fournisseurs de services avec lesquels votre société partage ou stocke des données, tels que les services cloud et les éditeurs de logiciels externes. Évaluez leur conformité aux exigences en matière de protection des données et assurez-vous que des contrats adéquats sont en place. 
  • Nous vous encourageons également à vous concentrer d’abord sur les secteurs en contact avec le public, tels que votre site web et vos politiques de confidentialité. Révisez et ajustez d’abord ces secteurs pour vous assurer qu’ils répondent aux nouvelles exigences de la LPD. 
  • Enfin, si votre société ne dispose pas de l’expertise ou des ressources nécessaires, envisagez de demander une aide extérieure à des consultants en protection des données ou à des experts juridiques afin de garantir une conformité totale avec les lois applicables en matière de protection de la vie privée. 

Conclusion

La nouvelle loi fédérale sur la protection des données (LPD) introduit quelques changements dont les sociétés tech doivent être conscientes. Si votre société est déjà conforme au RGPD, seuls des ajustements mineurs sont nécessaires, comme préciser les pays vers lesquels vous transférez des données dans vos documents de confidentialité et envisager la nomination d’un représentant suisse si nécessaire. 

Les sociétés qui se conforment à la LPD actuelle doivent revoir leurs processus internes, notamment en ce qui concerne le profilage, le droit à la portabilité des données, l’éventuelle nécessité de conserver des registres des activités de traitement, les processus de notification des violations de données et les contrats avec les responsables du traitement des données. Si la protection des données est totalement nouvelle pour votre société, déterminez les lois applicables, évaluez vos activités de traitement des données selon une approche basée sur les risques concernant votre idée d’entreprise, donnez la priorité aux secteurs en contact avec le public et envisagez de demander une aide externe pour la mise en conformité si nécessaire. 

Related

Allons-y !

Réserve un appel de découverte gratuit et sans engagement pour discuter de la façon dont nous pouvons t’aider à atteindre tes objectifs commerciaux.

Ou n’hésite pas à nous joindre directement par courriel à [email protected].

Réserve un appel gratuit