Adoptée en septembre 2020, il a fallu trois ans pour que la nouvelle Loi sur la protection des données (nLPD) remplace une loi obsolète datant de 1992. Celle-ci avait vu le jour avant la démocratisation de Internet, des smartphones et de leurs applications ou, encore, l’utilisation du Cloud. Il était grand temps que la Suisse mette à jour sa législation dans l’optique de protéger davantage les consommateurs.
Les caméras de surveillance dans les magasins et dans la rue ou la collecte de données sur Internet restent possibles. La nouvelle loi garantit davantage de droits pour les consommateurs. Dès leur conception et avant leur mise en circulation, un nouveau produit ou service doit respecter la protection des données et la vie privée des utilisateurs. Leur niveau de sécurité doit être maximum. L’utilisateur n’a pas à entamer une quelconque démarche pour que ses données personnelles soient protégées.
Le devoir d’informer
L’ancienne loi ne prévoyait un devoir d’informer que pour les données sensibles (données médicales, religieuses, syndicales ou politiques notamment). Désormais, dès qu’une collecte de données est envisagée, le fabricant ou fournisseur doit en informer la personne concernée au préalable, même si la collecte est réalisée par un tiers.
Et, lorsqu’une décision est automatisée, c’est-à-dire prise par un algorithme automatique, le client concerné peut demander que cette décision soit vérifiée par une personne physique. Ce cas survient souvent, par exemple, pour vérifier la solvabilité d’une personne.
L’accès à ses données
La loi dresse maintenant une liste d’informations précises à transmettre à la personne souhaitant obtenir les informations que l’entreprise possède à son propos. Cette dernière doit également ajouter la durée de conservation prévue. Et si ces données n’ont pas été collectées directement auprès de la personne concernée, la société devra également fournir les informations sur leurs origines. Enfin, la notion de portabilité est également introduite: le consommateur peut demander, gratuitement, ses données dans un format électronique couramment utilisé. Il doit pouvoir ouvrir et lire ses propres données facilement.
Les entreprises
Seules les personnes physiques sont dorénavant protégées par la nLPD. Les entreprises ou les associations ne sont plus couvertes par cette loi. Elles doivent, en revanche, tenir et mettre constamment à jour un registre sur toutes leurs activités de traitement de données personnelles. Et, en cas de violation de la sécurité des données (par un piratage par exemple), l’entreprise doit avertir le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Le profilage
La notion de profilage, à savoir le traitement automatisé de données personnelles, est dorénavant introduite dans la loi. En outre, les informations génétiques et biométriques sont à présent considérées comme des données sensibles, qui exigent donc un contrôle plus poussé.
La relation avec l’Union européenne
Dans le but de maintenir une libre circulation des données avec l’Union européenne, la Suisse devait mettre en place une loi compatible avec l’Europe. Certaines entreprises suisses sont déjà soumises au Règlement européen sur la protection des données (RGPD) lorsque le traitement des données se déroule sur le territoire de l’Union européenne (par exemple, si les données sont stockées en Allemagne) ou si l’entreprise suisse traite des données de résidents de l’Union européenne. Ainsi, les sociétés qui s’étaient déjà conformées au RGPD n’ont pas, ou peu, de changement à effectuer pour s’adapter à la nLPD. Mais, bien que ces deux lois soient compatibles, elles ne sont pas, pour autant, en tout point identiques.
Les amendes encourues
La différence majeure entre le Règlement européen et la loi suisse réside dans l’amende infligée en cas de violation de la loi. En effet, la loi européenne donne beaucoup de pouvoir aux autorités de protection. Celles-ci peuvent directement condamner des entreprises fautives à des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En revanche, la loi suisse ne prévoit qu’une amende maximale de 250 000 fr. Néanmoins, l’amende infligée par une autorité pénale est adressée non pas à l’entreprise, mais à une personne physique, habituellement le responsable de traitement.
Timko Chatagnat
Obtenir davantage d’informations
Un document détaille l’ensemble des modifications apportées à la Loi sur la protection des données sur le site du Préposé fédéral à la protection des données et à la transparence (edoeb.admin.ch).
