Protection des données – Tout savoir sur la nouvelle loi suisse

La révolution numérique a transformé notre façon de vivre, de travailler et même de penser. Mais cette transformation a un coût : notre vie privée.  

À partir du 1er septembre 2023, la Suisse franchit une étape cruciale pour protéger les données personnelles de ses citoyens avec la nouvelle loi fédérale sur la protection des données (nLPD).  

Préparez-vous à naviguer dans ce nouveau paysage législatif où la confidentialité n’est pas une option, mais un droit. 

Contexte historique

La protection des données n’est pas un concept nouveau en Suisse. En fait, elle a évolué au fil des ans pour répondre aux besoins changeants de la société et aux avancées technologiques. 

Évolution de la loi sur la protection des données depuis 1992 

La première loi fédérale sur la protection des données en Suisse remonte à 1992. À cette époque, l’Internet en était encore à ses balbutiements, et les smartphones n’existaient pas.  

Cette loi a été conçue pour protéger les informations personnelles des citoyens suisses à une époque où la digitalisation n’était pas aussi omniprésente qu’aujourd’hui.  

Avec l’essor de l’Internet, des réseaux sociaux et des technologies mobiles, des mises à jour partielles ont été apportées en 2009 et 2019. 

Pourquoi une mise à jour de la LPD était-elle nécessaire ? 

La technologie a progressé à un rythme fulgurant depuis la dernière mise à jour de la loi. L’utilisation quotidienne d’Internet, des smartphones, du Cloud et de l’Internet des objets par la population suisse a rendu nécessaire une refonte complète de la loi.  

De plus, pour rester compétitive et garantir la libre circulation des données avec l’Union européenne, la Suisse devait s’assurer que sa législation était compatible avec le Règlement européen sur la protection des données (RGPD). 

Les changements majeurs de la nouvelle loi sur la protection des données

La nouvelle loi sur la protection des données (nLPD) apporte plusieurs modifications significatives pour renforcer la protection des données personnelles des citoyens suisses. Voici les principaux changements : 

Protection des données des personnes physiques uniquement 

Contrairement à la législation précédente, la nLPD se concentre uniquement sur les données des personnes physiques excluant ainsi les données des personnes morales. 

Introduction des données génétiques et biométriques 

La définition des données sensibles a été élargie pour inclure les données génétiques et biométriques, offrant ainsi une protection accrue à ces informations particulièrement délicates. 

Principes de « Privacy by Design » et « Privacy by Default » 

Ces deux principes, présents également dans le RGPD, ont été intégrés dans la nLPD.  

Le « Privacy by Design » exige que la protection des données soit intégrée dès la conception d’un produit ou service.  

Le « Privacy by Default » quant à lui garantit que les paramètres de confidentialité les plus stricts soient appliqués par défaut, sans intervention de l’utilisateur. 

Analyses d’impact 

En cas de risque élevé pour les droits fondamentaux des personnes concernées, les entreprises doivent effectuer des analyses d’impact sur la protection des données avant de procéder au traitement des données. 

Extension du devoir d’informer 

La loi étend l’obligation d’information. Désormais, toute collecte de données personnelles, et pas seulement les données sensibles, doit être précédée d’une information à la personne concernée. 

Registre des activités de traitement 

Les entreprises sont désormais tenues de tenir un registre de toutes leurs activités de traitement des données. Cependant, une exemption est prévue pour les PME dont le traitement des données présente un risque limité. 

Notification en cas de violation de la sécurité des données 

En cas de violation de la sécurité des données, les entreprises doivent rapidement en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT). 

Introduction de la notion de profilage 

La nLPD introduit le concept de profilage, qui concerne le traitement automatisé des données personnelles pour évaluer, analyser ou prédire certains aspects personnels d’un individu. 

Comprendre les concepts clés de la protection des données

Dans le monde de la protection des données, certains termes peuvent sembler complexes ou techniques.  

Pourtant, ils sont essentiels à la compréhension des obligations et des droits de chacun. Voici une explication simplifiée de certains des concepts clés de la nouvelle loi sur la protection des données. 

Qu’est-ce qu’une donnée personnelle ? 

Une donnée personnelle fait référence à toute information qui peut être utilisée pour identifier directement ou indirectement une personne physique.  

Cela peut aller de choses évidentes comme le nom, l’adresse ou le numéro de téléphone, à des éléments plus complexes comme une adresse IP ou des données biométriques.  

Si vous pouvez pointer vers une personne spécifique en utilisant une information, alors c’est probablement une donnée personnelle. 

Qu’entend-on par « traitement » des données ? 

Le terme « traitement » englobe une vaste gamme d’opérations effectuées sur des données personnelles.  

Cela inclut la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.  

En termes simples, chaque fois que vous faites quelque chose avec une donnée personnelle, vous la « traitez ». 

Explication des termes « Privacy by Default » et « Privacy by Design » 

« Privacy by Design »  

Ce concept signifie que la protection des données doit être intégrée dès la première étape de la conception d’un produit, service ou système.  

Au lieu d’ajouter des fonctionnalités de protection des données après coup, elles doivent être intégrées dès le départ. Cela garantit que la protection des données est au cœur de chaque nouvelle initiative. 

« Privacy by Default »  

Cela signifie que, lorsqu’un produit ou service est lancé, les paramètres de confidentialité les plus stricts doivent être appliqués par défaut, sans que l’utilisateur n’ait à faire quoi que ce soit.  

Par exemple, si une application propose des options de partage de données, l’option la plus privée devrait être sélectionnée par défaut. 

Ces deux principes garantissent que la protection des données est prise en compte à chaque étape, de la conception à l’utilisation par le consommateur final. 

Droits des citoyens sous la nouvelle loi de protection des données (nLPD) 

La nouvelle loi sur la protection des données renforce considérablement les droits des citoyens suisses en matière de données personnelles. Elle vise à donner aux individus un contrôle accru sur leurs informations et à garantir que leurs droits fondamentaux en matière de vie privée sont respectés. 

Droit d’accès, de rectification et de suppression 

Droit d’accès  

Chaque citoyen a le droit de savoir quelles données personnelles une entreprise détient à son sujet.  

Cela signifie que si vous demandez à une entreprise de vous fournir toutes les informations qu’elle possède sur vous, elle est légalement tenue de le faire. 

Droit de rectification  

Si une entreprise détient des informations inexactes ou incomplètes sur un individu, celui-ci a le droit de demander une correction.  

Si votre nom est par exemple mal orthographié ou si votre adresse est incorrecte, vous pouvez demander que ces informations soient corrigées. 

Droit de suppression  

Également connu sous le nom de « droit à l’oubli », cela signifie que vous pouvez demander à une entreprise de supprimer toutes les données qu’elle détient à votre sujet.  

Veuillez noter, ce droit n’est pas absolu et peut être limité dans certaines circonstances, par exemple si l’entreprise a une obligation légale de conserver ces données. 

Comment exercer ces droits ?

Exercer vos droits en vertu de la nouvelle loi est conçu pour être aussi simple que possible. Voici comment procéder : 

Etape 1 – Faire une demande écrite  

Commencez par envoyer une demande écrite à l’entreprise, en précisant clairement quels droits vous souhaitez exercer (accès, rectification, suppression). Assurez-vous d’inclure des informations suffisantes pour que l’entreprise puisse vous identifier, comme votre nom complet et votre adresse. 

Etape 2 – Réponse de l’entreprise 

La loi stipule que les entreprises doivent répondre à votre demande dans un délai de 30 jours. Si l’entreprise accepte votre demande, elle doit prendre les mesures nécessaires pour respecter vos droits. Si elle refuse, elle doit vous fournir une explication claire et détaillée. 

Etape 3 – Recours  

Si vous n’êtes pas satisfait de la réponse de l’entreprise ou si vous estimez que vos droits n’ont pas été respectés, vous pouvez déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT). 

FAQ : Questions fréquentes sur la nouvelle loi sur la protection des données en Suisse

Qu’est-ce que la nLPD? 

La nLPD, ou nouvelle loi fédérale sur la protection des données, est une mise à jour de la législation suisse visant à renforcer la protection des données personnelles des citoyens suisses. 

Quand la nLPD entrera-t-elle en vigueur ? 

La nLPD entrera en vigueur le 1er septembre 2023. 

Quelle est la différence entre une donnée personnelle et une donnée sensible ? 

Une donnée personnelle est toute information se référant à une personne physique identifiée ou identifiable. Une donnée sensible, quant à elle, comprend des informations telles que les données génétiques, biométriques ou d’autres informations qui nécessitent une protection accrue. 

Qu’entend-on par « traitement » des données ? 

Le traitement des données englobe toutes les activités liées aux données personnelles, telles que la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, la suppression ou la destruction. 

Quels sont les droits des citoyens sous la nLPD ? 

Les citoyens ont le droit d’accéder à leurs données, de les rectifier si elles sont inexactes et de demander leur suppression. Ils ont également le droit d’être informés lorsque leurs données sont collectées. 

Comment puis-je exercer mes droits en vertu de la nLPD ? 

Vous pouvez exercer vos droits en envoyant une demande écrite à l’entreprise détenant vos données. L’entreprise est légalement tenue de répondre à votre demande dans un délai de 30 jours. 

Qu’est-ce que « Privacy by Default » et « Privacy by Design » ? 

« Privacy by Default » signifie que les paramètres de confidentialité les plus stricts doivent être appliqués par défaut, sans intervention de l’utilisateur. « Privacy by Design » implique que la protection des données doit être intégrée dès la conception d’un produit ou service. 

Les entreprises étrangères sont-elles également soumises à la nLPD ? 

Si une entreprise étrangère traite des données de citoyens suisses, elle doit se conformer à la nLPD, notamment si elle offre des biens ou des services en Suisse ou surveille le comportement des résidents suisses. 

Quelles sont les sanctions en cas de non-conformité à la nLPD ? 

Les violations de la nLPD peuvent entraîner des amendes pouvant aller jusqu’à 250’000 CHF. Les personnes physiques responsables, et non l’entreprise elle-même, peuvent être tenues responsables. 

Conclusion 

La nLPD est plus qu’une simple mise à jour législative ; elle est le reflet d’une prise de conscience collective sur l’importance de la vie privée à l’ère numérique.  

Elle pose des défis mais offre aussi des opportunités pour renforcer la confiance entre les entreprises et les consommateurs. Alors que nous nous dirigeons vers une nouvelle ère de transparence et de respect de la vie privée, il est crucial de comprendre les nuances de cette loi et d’agir en conséquence.