Pour toutes les sociétés et organisations, la nouvelle loi révisée sur la protection des données implique le traitement des données des clients, des fournisseurs, des partenaires commerciaux et des collaborateurs, et une amélioration des obligations de renseignement, d’information et de déclaration. Les nouvelles dispositions sont censées réduire considérablement les risques d’usage abusif de données personnelles. Voici les principales innovations de la nLPD:

• Expansion du catalogue des données personnelles particulièrement sensibles: les données personnelles particulièrement sensibles, parmi lesquelles notamment les données relatives à la santé, comprennent désormais également des données génétiques et biométriques qui permettent d’identifier une personne physique sans ambiguïté. Les données génétiques désignent toutes les informations en lien avec une personne, lesquelles font partie de ses caractéristiques génétiques héritées ou même acquises. Les données biométriques sont des données qui renseignent sur les caractéristiques physiques, physiologiques ou même comportementales d’une personne. Les données biométriques comprennent par exemple les empreintes digitales, la géométrie faciale et l’ADN. Seules les données de personnes physiques, et non des données de personnes morales, relèvent de la nouvelle loi sur la protection des données.

• Amélioration des droits des personnes concernées: avec la nouvelle loi sur la protection des données, les droits des personnes concernées seront renforcés. Les personnes physiques ont le droit de demander des informations sur leurs données, d’obtenir elles-mêmes leurs données et de demander leur modification ou leur suppression.
   
• «Privacy by design» et «Privacy by default». Le concept de protection des données «Privacy by design» (protection des données dès la conception) signifie que la protection des données doit déjà être pensée au moment de la planification et du développement des systèmes et processus. En outre, seules les données à caractère personnel vraiment nécessaires compte tenu des circonstances doivent être collectées de prime abord. La «Privacy by default» (protection des données par défaut) signifie que des préréglages par défaut, respectueux de la vie privée, doivent être implémentés. Les deux concepts de protection des données sont étroitement liés.

• Registre des activités de traitement. Le point essentiel de ce registre décrit l’identification et la documentation de tous les processus commerciaux, lesquels traitent des données personnelles. La tenue d’un tel registre par les entreprises est une obligation. Il est possible de faire des exceptions pour les PME dans la mesure où le traitement des données par elles ne présente qu’un faible risque de violation de la personnalité des personnes concernées.

• L’obligation d’information est renforcée: pour toute collecte de données personnelles, et non plus seulement de données particulièrement sensibles, la personne concernée doit préalablement être informée de façon transparente. De même, il existe une obligation d’information lorsqu’il s’agit de décisions individuelles automatisées, au cas où la décision entraîne des conséquences juridiques pour la personne concernée ou l’affecte de manière significative.

• Analyse d’impact de la protection des données: l’analyse d’impact de la protection des données est une analyse des risques structurée, relative à un processus de traitement des données prévu. . L’analyse d’impact de la protection des données doit être effectuée dans la mesure où le traitement des données prévu entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

• Notification de violations de la sécurité des données: les sociétés sont tenues de signaler le plus rapidement possible les violations de la sécurité des données auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT).

• Sanctions: si une organisation ou une entreprise contrevient à la nouvelle loi sur la protection des données, les responsables s’exposent à de lourdes sanctions pénales. De telles amendes ont-elles réellement un effet sur les grandes sociétés? À ce propos, Roman Böhni, avocat spécialisé en droit sur la protection des données, déclare: «D’après mon expérience, les nouvelles dispositions pénales ont tout à fait un effet. Le cadre des amendes de la nouvelle loi sur la protection des données, avec un montant maximum de 250 000 CHF, est nettement inférieur à celui prévu par le règlement général sur la protection des données de l’UE (20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial). Toutefois, la sanction en Suisse va à l’encontre des personnes physiques responsables et non à l’encontre de l’entreprise. À ce sujet, il convient néanmoins de signaler que, conformément à la nouvelle loi sur la protection des données, ‛seule’ une infraction intentionnelle est punissable, et le registre des incriminations est nettement moindre que ce qui est indiqué dans le RGPD.» 

L’avocat Roman Böhni déclare au sujet de ces nouvelles exigences: «La nLPD devra permettre d’améliorer la transparence et le traitement des données et de renforcer l’autodétermination des personnes concernées en ce qui concerne leurs données. L’UE devra également continuer de reconnaître la Suisse comme État tiers ayant un niveau approprié de protection des données. Cette décision d’adéquation est importante afin que le transfert transfrontalier de données entre l’UE et la Suisse reste possible sans mesures supplémentaires. Globalement, je considère la nLPD comme une réussite. Par rapport au RGPD, son élaboration et la charge de travail pour la mise en œuvre par les entreprises diffèrent de façon nettement plus pragmatique et d’une manière plus mesurée.»

Glossaire et abréviations:
nLPD: nouvelle loi sur la protection des données
Conseiller en matière de protection des données: conformément à la nLPD, il s’agit du point de contact pour les personnes concernées et pour les autorités, responsable de la protection des données en Suisse. De plus, il forme et conseille les différentes entreprises et leurs collaborateurs et intervient dans l’application des prescriptions sur la protection des données.
OPD: ordonnance sur la protection des données
AIPD: analyse d’impact de la protection des données
RGPD: règlement général sur la protection des données de l’UE
Délégué à la protection des données: conformément au RGPD, il s’agit du spécialiste qui supervise le traitement de données à caractère personnel au sein d’une entreprise
PFPDT: Préposé fédéral à la protection des données et à la transparence