Au 1er septembre 2023, la nouvelle loi sur la protection des données et les ordonnances y relatives entreront en vigueur.

Outre le fait de tenir compte des évolutions de la technologie et de la digitalisation et la compatibilité avec le droit européen, l’objectif de cette révision était d’apporter des améliorations dans différents domaines comme la transparence, la prise en compte de la protection des données dès la conception ou encore le renforcement de la sécurité des données ou des annonces des violations.

Les principales modifications qui entreront en vigueur sont les suivantes

  • La nouvelle loi ne régit plus le traitement de données personnelles concernant des personnes morales effectuées par des personnes privées ou des organes fédéraux. Seul le traitement des données personnelles concernant des personnes physiques reste régi par la loi.
  • Les données génétiques et biométriques ont été intégrées dans la définition des données sensibles couvertes par la loi.
  • Plusieurs nouvelles notions apparaissent comme celle de profilage (traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique) ou encore de protection des données dès la conception et par défaut impliquant que le responsable de traitement est tenu de mettre en place des mesures techniques et organisationnelles permettant de respecter la protection des données dès la conception du traitement et par défaut par le biais de préréglages appropriés.
  • Un registre des activités de traitement contenant des informations minimums comme par exemple la description des catégories de personnes concernées ou la finalité du traitement doit être mis en place de manière systématique. Il existe cependant des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité.
  • Le devoir d’information par le responsable de traitement, des personnes concernées par la collecte des données, ne concerne plus uniquement les données sensibles mais toutes les données personnelles. Des devoirs d’informations en cas de décision prise exclusivement sur la base d’un traitement de données personnelles automatisé est également prévu.
  • Des analyses d’impact doivent être effectuées s’il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée dans le cadre du traitement prévu des données. L’existence d’un risque élevé dépend de l’étendue, des circonstances et de la finalité du traitement. Un risque élevé existe notamment en cas de traitement de données sensible à grande échelle.
  • En plus du droit d’accès concernant les données personnelles le concernant, toute personne pourra demander au responsable de traitement qu’il lui remette sous un format électronique courant les données personnelles le concernant si les données sont traitées de manière automatisée et si elles sont en relation directe avec la conclusion ou l’exécution d’un contrat entre elle et le responsable de traitement. La personne peut également demander un transfert à un autre responsable de traitement si les efforts demandés ne sont pas disproportionnés. Il est à noter que des restrictions à ce droit d’accès peuvent exister dans certains cas prévus par la loi.
  • Les violations de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées doivent être annoncées au préposé fédéral à la protection des données (mention de la nature, des conséquences et des mesures prises ou envisagées en lien avec la violation). Certaines exceptions à ce processus d’annonce sont cependant définies dans la loi.
  • En cas de violation d’informer, de renseigner, de collaborer ou encore des devoirs de diligence ou de discrétion, un montant d’amende maximale de CHF 250,000 a été fixé.

Une analyse et un plan d’actions pour les modifications à mettre en œuvre doivent être effectués. Selon notre appréciation, les principales thématiques à aborder sont les suivantes :

  • Revoir les directives et règlements relatifs à la protection des données en place actuellement ainsi que les contrats pour les activités sous-traitées ;
  • Revoir les mesures techniques et organisationnelles mises en place actuellement ;
  • Analyse des données traitées à l’étranger et du besoin de nommer un représentant le cas échéant ;
  • Établissement d’un registre des activités de traitement ;
  • Etablissement d’analyse d’impact pour les données traitées avec un risque élevé ;
  • Mise en place d’un processus d’informations pour l’intégralité des données personnelles et non plus uniquement pour les données sensibles ;
  • Mise en place d’un processus de transferts des données (portabilité) en plus du processus de réponses aux demandes d’accès ou de suppressions des données personnelles ;
  • Mise en place d’un processus d’annonce et de définitions des mesures des violations constatées.

Il est essentiel d’anticiper les changements relatifs à cette mise en œuvre. Ne tardez pas à l’intégrer à votre planning !