Nouvelle loi sur la protection des données (LPD) à partir du 1.9.2023
Le Conseil fédéral concrétise la LPD dans l’ordonnance sur la protection des données (Ordonnance sur la protection des données, OPDo) et dans l’Ordonnance sur les certifications en matière de protection des données (OCPD), toutes deux datées du 31 août 2022. Les grandes entreprises et les entreprises ayant un lien avec l’UE devraient avoir intensifié la protection des données en conséquence depuis l’entrée en vigueur du règlement général de l’UE sur la protection des données (RGPD). En effet, le RGPD s’applique également à de nombreuses entreprises suisses.
La nouvelle LPD n’est certes pas une mise en œuvre complète du RGPD. Toutefois, de nombreuses règles sont reprises dans leur principe afin d’atteindre un niveau de protection des données comparable, ce qui facilite les échanges de données transfrontaliers. En outre, la révision de la LPD permet également la ratification de l’extension de la Convention européenne 108 sur la protection des données.
Le principe suivant s’applique : Plus les données ou une opération de traitement sont sensibles du point de vue de l’atteinte à la personnalité des personnes concernées, plus il faut prendre de précautions pour qu’il n’y ait pas atteinte.
Seules les données qui se rapportent à une personne physique identifiée ou identifiable, appelées données personnelles, sont soumises à la protection légale des données. Désormais, la protection des données se limitera toutefois, comme dans le RGPD (règlement général sur la protection des données), aux données des personnes physiques. La protection qui existait jusqu’à présent pour les personnes morales est supprimée.
Dans la pratique, il est recommandé aux entreprises – même si cela n’est pas toujours obligatoire du point de vue de la protection des données – d’édicter des directives internes de protection des données (un simple ensemble de règles peut suffire), de régler clairement les responsabilités et de former et sensibiliser les collaborateurs.
Quelles règles les entreprises concernées doivent-elles respecter lors du traitement des données personnelles ?
Principe de légalité
Les données personnelles doivent être traitées de manière licite (art. 6 al. 1 LPD), c.à.d. que le traitement est en principe autorisé tant qu’il n’est pas effectué en violation d’une norme juridique.
Principe de transparence
Il découle du principe selon lequel le traitement des données doit être effectué de manière loyale et licite (art. 6 al. 2 LPD). La collecte et le traitement des données doivent en principe être effectués de manière à ce qu’ils soient connus par la personne concernée. Dans le cas contraire, la personne concernée ne peut pas faire valoir ses droits.
Principe de finalité
Selon ce principe, les données ne peuvent être collectées que dans un but précis et identifiable par la personne concernée et ne peuvent être traitées que de manière conciliable avec ce but (art. 6 al. 3 LPD). Les données doivent être détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires au but du traitement (art. 6 al. 4 LPD).
Principe de la sécurité des données
Des mesures concrètes peuvent être prises :
- Restrictions d’accès
- cryptage des données
- journalisation
- sauvegardes
- techniques d’élimination sûres
- contrôles d’accès et de l’accès
- règlements et directives
- formation et sensibilisation,
- contrats de traitement des données et de confidentialité ainsi que contrôles et améliorations périodiques.
Le principe exige la protection des données par des mesures techniques et organisationnelles (art. 8 LPD). Celles-ci garantissent les différents objectifs de protection que sont la confidentialité, la disponibilité et l’intégrité des données ainsi que la traçabilité du traitement des données.
Devoir d’information
Le devoir d’information étendu selon les art. 19 ss. LPD est un aspect important dans le cadre du principe de transparence. La personne concernée doit savoir quelles données liées à sa personne sont collectées et traitées et dans quel but. En principe, cela doit se faire avant la collecte des données.
Quels sont les (autres) droits des personnes concernées ?
Droit d’accès
Le droit d’accès des personnes concernées selon l’art. 25 LPD va plus loin que le devoir d’information du responsable. La personne concernée peut en apprendre plus que ce que le responsable doit révéler en vertu de son obligation d’informer.
La portabilité des données
La portabilité des données comprend désormais le droit à la restitution et à la transmission des données (art. 28 LPD). Les personnes concernées peuvent demander que les données qu’elles ont communiquées à un responsable leur soient restituées dans un format électronique courant si les données sont traitées de manière automatisée et si la personne concernée a donné son consentement au traitement ou si le traitement est effectué dans le cadre d’un contrat correspondant. Dans ces conditions, il est également possible d’exiger la transmission des données à un tiers, si cela n’entraîne pas des efforts disproportionnés.
Droit à la rectification
Conformément à l’art. 32 al. 1 LPD, une personne concernée peut exiger que des données personnelles inexactes soient rectifiées ; cela devrait notamment entrer en ligne de compte après l’exercice du droit d‘accès.
Le responsable peut refuser la rectification si une disposition légale l’interdit (par ex. prescriptions en matière de comptabilité et de conservation). Si ni l’exactitude ni l’inexactitude des données personnelles concernées ne peut être établie, la personne concernée peut demander qu’une mention de contestation soit apposée sur les données (art. 32 al. 3 LPD).
Droit à la suppression des données (« Droit à l’oubli »)
Comme nous l’avons mentionné, il y a atteinte à la personnalité au sens de l’art. 30 LPD, entre autres, lorsque des données personnelles sont traitées contre la manifestation expresse de la volonté de la personne concernée et qu’il n’existe pas de base légale ni d’intérêt privé prépondérant de tiers au sens d’une justification au sens de l’art. 31 LPD. Il en résulte pour la personne concernée un droit limité à la suppression des données.
Autres droit juridiques
En cas d’atteinte injustifiée à la personnalité, les personnes concernées peuvent faire valoir d’autres droits du Code civil. Il s’agit, selon l’art. 32 al. 2 LPD :
- l’interdiction d’un traitement déterminé de données,
- l’interdiction d’une communication déterminée de données personnelles à des tiers, et
- également l’effacement ou la destruction de données personnelles.
En raison du renvoi de l’art. 32 al. 2 LPD au Code civil, les autres droits suivants existent le cas échéant :
- la constatation, l’omission ou la suppression de la violation du droit ainsi que les prétentions en dommages-intérêts, en réparation du tort moral ainsi que la remise du gain.
Quelles sont les conséquences des violations de la protection des données ?
Comme dans la loi actuelle, la violation des prescriptions légales en matière de protection des données peut, dans la nouvelle LPD, entraîner des conséquences relevant du droit de la surveillance (art. 49 ss LPD), du droit pénal (art. 60 ss LPD) et du droit civil (art. 30 ss LPD). Alors que dans l’ancienne loi, la violation de pratiquement aucune obligation légale n’était punissable, la partie pénale de la LPD révisée est fortement développée et les amendes possibles sont considérablement plus élevées. La partie relative au droit de surveillance est également développée, puisque le PFPDT (Préposé fédéral à la protection des données et à la transparence) se voit attribuer davantage de compétences.
Le PFPDT ouvre une enquête, d’office ou sur dénonciation, lorsqu’il existe suffisamment d’indices qu’un traitement de données pourrait enfreindre les dispositions sur la protection des données (art. 49 LPD).
Contrairement aux autorités européennes de protection des données, le PFPDT n’a pas de pouvoir de sanction (direct) en matière de surveillance, même selon la nouvelle loi. Les personnes fautives sont sanctionnées par les autorités cantonales de poursuite pénale. Le PFPDT peut uniquement déposer une plainte pénale et exercer les droits de la partie civile dans la procédure (art. 65, al. 2 LPD).
La nouvelle LPD prévoit un système de sanctions pénales avec des amendes pouvant aller jusqu’à CHF 250‘000 (art. 60 ss LPD). Seuls les actes et les omissions intentionnels sont punissables, les actes de négligence ne le sont pas.
Webinaires disponibles d’EIT.swiss
EIT.swiss propose les webinaires adaptés en ce qui concerne la nouvelle loi sur la protection des données
Documents modèles disponibles de l’USAM
L’Union suisse des arts et métiers a aimablement mis des documents à notre disposition.
Notre service juridique se tient à votre disposition pour toutes questions à ce sujet.