Que dit la nouvelle loi sur la protection des données (nLPD) ?

nldp suisse protection données personnelles sensible
Le août 7, 2023

Quelques points:

  • La nouvelle loi entre en vigueur le 1er Septembre 2023 et remplace la précédente de 1992.
  • Le consentement n’est pas requis pour la collecte/le traitement des données en toutes circonstances.
  • La loi s’applique aux personnes physiques (et non plus aux personnes morales) et aux entités commerciales et non commerciales qui traitent les données de citoyens suisses.
  • Les entités sont responsables du traitement conforme des données même si elles font appel à des tiers (fournisseurs ou prestataires) pour le faire.
  • Tous les sous-traitants doivent prendre des mesures organisationnelles et techniques raisonnable pour garantir la confidentialité et la sécurité des données
  • La loi s’applique aux données contenues dans des fichiers physiques et électroniques.
  • C’est une loi extraterritoriale, les entités traitant des données personnelles n’ont pas besoin d’être situées en Suisse.
  • La loi interdit les transferts de donnée personnelles de la Suisse vers des pays avec lesquels il n’existe pas d’accord d’adéquation, à moins que le consentement explicite n’ait été obtenu de la part des personnes concernées.

Que faire pour être conforme:

Pour que votre entreprise soit conforme à la nLPD, voici une liste non exhaustive des points à vérifier/faire:

  • Recenser les données personnelles et évaluer les risques afin de déterminer les exigences de mise en conformité.
  • Ajouter, mettre à jour les différentes déclarations sur la protection des données sur votre site web, vos contenus publicitaires et marketing, vos contrats, etc.
  • Mettre en place des procédures internes pour être en mesure de répondre rapidement aux demandes des prospects et clients en lien avec leurs données.
  • Etablir un registre de traitement des données.
  • Mettre en place un processus pour les analyses d’impact.
  • Examiner les contrats actuels (sous-traitants) pour veiller à ce que la sécurité des données soit assurée.
  • Nommer un conseiller à la protection des données personnelles (DPO) en interne ou bien faire appelle à une entreprise externe spécialisée.

Que se passe-t-il en cas de non-respect:

À partir du 1er Septembre 2023, aucune période transitoire n’est envisagée à l’heure actuelle. Cela signifie qu’à partir de cette date, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) pourra, si la loi n’est pas respectée, ouvrir une enquête et imposer des mesures strictes (modifications ou interruptions du traitement des données, etc).

Les procédures gratuites de voies de recours pour les civils seront possibles pour les personnes concernées par la violation de leurs données.

Finalement, une amende pourra être infligée si l’entitée n’est pas conforme à la loi.

Agissez vite et n’hésitez pas à nous contacter.

Texte officiel: https://www.fedlex.admin.ch/eli/cc/2022/491/fr