Une nouvelle loi nécessaire

La première loi fédérale sur la protection des données remonte à 1992. Depuis, la population suisse a intégré dans son quotidien l'utilisation d'Internet et des smartphones et recourt de plus en plus aux réseaux sociaux, au cloud ou à l'Internet des objets. Dans ce contexte, une refonte complète de la loi sur la protection des données – et non pas seulement partielle comme ce fut le cas en 2009 et 2019 – est indispensable pour garantir à la population une protection des données adéquate et adaptée aux évolutions technologiques et sociales de notre époque.

La compatibilité du droit suisse avec le droit européen, et en particulier avec le règlement général européen sur la protection des données (RGPD), constitue l'autre défi de la nLPD. La nLPD devrait permettre de maintenir la libre circulation des données avec l'Union européenne (UE) et d'éviter ainsi une perte de compétitivité pour les entreprises suisses.

Quels sont les principaux changements ?

La nFADP introduit les huit changements majeurs suivants pour les entreprises.

1. Seules les données relatives aux personnes physiques, et noncelles relatives aux personnes morales, sont désormais couvertes.
2. Les données génétiques et biométriques relèvent de la définition des données sensibles.
3. Les principes de « Privacy by Design » (respect de la vie privée dès la conception) et « Privacy by Default » (respect de la vie privée par défaut) sont introduits. Comme son nom l'indique, le principe de « Privacy by Design » exige des développeurs qu'ils intègrent la protection et le respect de la vie privée des utilisateurs dans la structure même des produits ou services qui collectent des données à caractère personnel. Le principe de « Privacy by Default » garantit le plus haut niveau de sécurité dès la mise sur le marché des produits ou services, en activant par défaut, c'est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires pour protéger les données et limiter leur utilisation. En d'autres termes, tous les logiciels, matériels et services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs.
4. La tenue d'un registre des activités de traitement est désormais obligatoire. Toutefois, l'ordonnance prévoit des exemptions pour les PME dont le traitement des données présente un risque limité pour les personnes concernées.
5. Une notification immédiate au Préposé fédéral à la protection des données et à la transparence (PFPDT) est requise en cas de violation de la sécurité des données.
6. Le concept de profilage (c'est-à-dire le traitement automatisé des données à caractère personnel) fait désormais partie de la loi.

Le site web du PFPDT (nouvelle loi fédérale sur la protection des données) fournit des informations plus spécifiques et détaillées sur les modifications apportées par la nLPD. Si vous avez des questions concernant la protection des données, veuillez contacter directement le PFPDT : Questions sur la protection des données

Différences avec l'UE

Les entreprises qui se sont déjà conformées au Règlement général sur la protection des données (RGPD) de l'UE n'auront que très peu de modifications à apporter. L'association SwissPrivacy.Law a publié un tableau comparatif entre la nPADP et le règlement européen, qui peut être consulté en cliquant sur ce lien (en français).