Une nouvelle loi nécessaire
La première loi fédérale sur la protection des données date de 1992. Depuis, la population suisse a introduit dans la vie quotidienne l’utilisation d’Internet et des smartphones et utilise de plus en plus les réseaux sociaux, le Cloud ou l’Internet des objets. Dans ce contexte, une refonte complète de la loi sur la protection des données - et pas seulement partielle comme ce fut le cas dans 2009 et 2019 - est essentielle pour garantir à la population une protection des données adéquate et adaptée aux évolutions technologiques et sociales de notre époque.
La compatibilité du droit suisse avec le droit européen, et en particulier avec le Règlement général européen sur la protection des données (RGPD), est l’autre défi de la nLPD. La nLPD doit permettre de maintenir la libre circulation des données avec l’Union européenne (UE) et d’éviter ainsi une perte de compétitivité pour les entreprises suisses.
Quels sont les principaux changements ?
La nLPD introduit les huit changements majeurs suivants pour les entreprises.
- Seules les données des personnes physiques, et non celles des personnes morales, sont désormais couvertes.
- Les données génétiques et biométriques entrent dans la définition des données sensibles.
- Les principes de « Privacy by Design » (Confidentialité dès la conception) et de « Privacy by Default » (Confidentialité par défaut) sont introduits. Comme son nom l’indique, le principe de « Privacy by Design » impose aux développeurs d’intégrer la protection et le respect de la vie privée des utilisateurs dans la structure même des produits ou services qui collectent des données personnelles. Le principe de « Privacy by Default » assure le plus haut niveau de sécurité dès la sortie des produits ou services, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires pour protéger les données et limiter leur utilisation. En d’autres termes, tous les logiciels, matériels et services doivent être configurés pour protéger les données et respecter la vie privée des utilisateurs.
- Tenir un registre des activités de traitement est désormais obligatoire. Toutefois, l’ordonnance prévoit des dérogations pour les PME dont le traitement des données présente un risque limité de préjudice pour la personne concernée.
- En cas de violation de la sécurité des données, il est nécessaire d’informer rapidement le Préposé fédéral à la protection des données et à la transparence (PFPDT).
- La notion de profilage (c’est-à-dire le traitement automatisé des données personnelles) fait désormais partie de la loi.
Le site Internet PFPDT (Nouvelle loi fédérale sur la protection des données) fournit des informations plus précises et détaillées sur les révisions apportées par la nLPD. Si vous avez des questions sur la protection des données, veuillez vous adresser directement au PFPDT : Questions sur la protection des données
Différences avec l’UE
Les entreprises qui se sont déjà conformées au Règlement général sur la protection des données (RGPD) de l’UE auront peu de changements à apporter. L’association SwissPrivacy.Law a publié un tableau comparatif entre la nLPD et le règlement de l’UE qui peut être consulté en visitant ce lien (en français).