Le règlement général sur la protection des données (RGPD) est un enjeu stratégique pour toutes les entreprises européennes. En Suisse, les organisations doivent relever un défi encore plus grand : respecter les exigences du RGPD et d’une législation nationale, la nouvelle loi sur la protection des données en Suisse (nLPD).
Après trois années de débat, la révision totale de la loi précédente, la LPD, a été adoptée par l’Assemblée fédérale en automne 2020. À l’origine planifiée pour le deuxième semestre 2022, l'entrée en vigueur de la nouvelle législation suisse sur la protection des données (nLPD) a eu lieu le 1er septembre 2023.
Avec cette nouvelle loi, les entreprises doivent désormais respecter des règles plus strictes. Continuez votre lecture pour en apprendre plus.
Mise à jour Google 2024: A partir du 31 juillet 2024, les éditeurs suisses utilisant les produits de monétisation de Google devront mettre en place une CMP certifiée par Google, se conformer à la EU user consent policy de Google et intégrer le TCF pour le trafic suisse. Apprenez en plus dans notre article sur le sujet.
Nouvelles directives de la nLPD suisse
Face à l’évolution technologique rapide, l’ancienne loi fédérale suisse sur la protection des données personnelles s’est averée dépassée. La révision totale de la LPD a permis d’adapter les directives aux enjeux technologiques et sociaux contemporains.
Avec le renforcement du texte de loi, la Suisse compte rapprocher la législation suisse des exigences du RGPD. Pour le pays, l’enjeu est de continuer à être reconnu comme un État tiers, ayant un niveau de protection suffisant pour procéder à des échanges de données.
Nécessaire, cette nouvelle loi s'applique à tout ressortissant de la Suisse. Elle améliore le traitement des données personnelles des citoyens suisses tout en leur accordant de nouveaux droits.
10 principaux changements entre la LPD suisse et la nLPD
La nLPD suisse introduit de nouvelles directives pour les entreprises :
- La nouvelle loi fédérale couvre uniquement la protection des données à caractère personnel des individus ou personnes physiques. Elle ne s’applique plus aux données des personnes morales (associations, fondations, sociétés commerciales, etc.)
- La définition des données personnelles sensibles (appartenance syndicale, santé, opinions politiques, etc.) intègre les données génétiques et biométriques (empreintes digitales, ADN, etc.), lorsqu’elles donnent la possibilité de reconnaître une personne de manière univoque.
- Deux nouveaux principes de protection des données sont inscrits dans la nLPD suisse :
- "Privacy by Design", ou protection des données dès la conception, qui définit le fait de prendre en compte, dès la conception des applications ou autres supports, la protection des données des utilisateurs et le respect de leur vie privée.
- "Privacy by Default ", ou protection des données par défaut, qui exige que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie. Une autorisation de traitement plus poussée devra être recueillie par l’entreprise pour exploiter les autres données.
- "Privacy by Design", ou protection des données dès la conception, qui définit le fait de prendre en compte, dès la conception des applications ou autres supports, la protection des données des utilisateurs et le respect de leur vie privée.
- Un conseiller à la protection des données peut être désigné par une entreprise privée, et est obligatoire pour les organes fédéraux. Il ne doit pas avoir de lien contractuel avec cette dernière. Son rôle est de conseiller, former, concourir à l’élaboration, puis à l’application de conditions d’utilisation, dispositions en lien avec la protection des données personnelles.
- En présence d’un traitement de données susceptibles d’engendrer un risque notable pour les droits fondamentaux et de la personnalité des utilisateurs, la nouvelle LPD suisse impose la réalisation d’une analyse d’impact préalable.
- L’obligation d’informer est renforcée. Dans un objectif de transparence, le responsable chargé du traitement privé des données devra informer la personne concernée de la collecte de l’ensemble de ses données personnelles, et non plus seulement de ses données sensibles.
- Il devient obligatoire de tenir un registre de l’ensemble des activités liées au traitement de données. Seules les PME de moins de 250 salariés pour lesquelles le traitement ne présente pas de risque élevé d’atteinte à la personnalité ou aux droits fondamentaux en sont exemptées.
- En cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, une annonce rapide doit être communiquée au Préposé fédéral à la protection des données et à la transparence (PFPDT).
- Le concept de profilage est introduit dans la nouvelle loi. Elle se rapporte au traitement automatisé de données personnelles.
- La nouvelle LPD suisse prévoit une amende maximale de 250 000 francs suisses en cas de non-respect intentionnel du devoir d’informer, de renseigner ou d’annoncer, et de violation du devoir de diligence ou de discrétion.
Champ d’application de la nLPD suisse
La nouvelle loi fédérale sur la protection des données à caractère personnel vise à préserver la personnalité et les droits fondamentaux des individus résidant en Suisse. Elle encadre le traitement et évite l’utilisation abusive de leurs données par des sociétés privées ou par l’État. La sécurité des données des personnes morales n’est quant à elle plus assurée.
La révision totale de la loi offre aux Suisses une plus grande transparence. Elle renforce leurs droits (accès, rectification, effacement, portabilité) sur leurs données personnelles. Au sein des entreprises, la nLPD encourage l’adoption de mesures de prévention. Avec ses nouvelles dispositions pénales et sa surveillance accrue, elle responsabilise les personnes chargées du traitement des données.
La nouvelle LPD suisse s’applique à l’ensemble des entreprises, quelle que soit leur taille. Elle concerne aussi les acteurs économiques "qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger".
Il peut s’agir de sociétés étrangères :
- Commercialement actives sur le marché suisse
- Dont le traitement des données a un lien avec la Suisse. Par exemple, une photo prise en Suisse, puis publiée sur un site web étranger.
Comment être conforme à la nouvelle loi fédérale sur la protection des données personnelles en Suisse ?
Pour se conformer à la nLPD, les entreprises suisses doivent engager dès maintenant des actions fortes en matière de protection des données personnelles :
- Recenser les données personnelles, puis évaluer les risques pour déterminer les exigences de mise en conformité ;
- Vérifier et modifier, au besoin, les déclarations sur la protection des données sur les sites web, contenus publicitaires, dans les contrats, etc. ;
- Construire des procédures internes pour apporter des réponses rapides aux demandes des clients en lien avec leurs données ;
- Établir un registre de traitement des données ;
- Mettre en place un processus pour les analyses d’impact ;
- Examiner les contrats avec les sous-traitants. La sécurité des données est-elle garantie ? Est-il nécessaire d’ajouter des clauses ?
- Nommer un conseiller à la protection des données dans l'entreprise.
nLPD suisse vs RGPD
En Suisse, les entreprises doivent respecter deux législations en matière de protection des données : la nouvelle LPD et le RGPD. Découvrez le périmètre d’application du règlement européen dans le pays et les différences majeures entre les deux textes.
Le RGPD s’applique aux entreprises suisses dans plusieurs cas de figure. Le règlement doit être respecté pour tout traitement des données personnelles :
- Effectué dans le cadre des activités d’une succursale ou filiale européenne d’une société suisse au sein de l’UE ;
- Réalisé par une société suisse en tant que sous-traitante d’une entreprise implantée dans l’Union européenne ;
- Visant à offrir des biens ou des services à des personnes concernées au sein de l’Union ;
- Relatif au suivi du comportement de résidents de l’UE.
Principales différences entre le RGPD et la LPD suisse sur la protection des données personnelles
Sur de nombreux points, la nLPD suisse se rapproche des directives du règlement européen sur la protection des données (RGPD). Toutefois, la nouvelle loi fédérale présente quelques particularités :
- Ses exigences sont globalement moins contraignantes ;
- Dans la nouvelle LPD suisse, désigner un conseiller à la protection des données est conseillé, mais non obligatoire pour les entreprises privées. Le RGPD requiert, dans certains cas, un délégué à la protection des données (DPO) ;
- En cas de violation de données, le RGPD impose un délai de 72h pour avertir les autorités compétentes. La LPD révisée exige une annonce « dans les meilleurs délais » ;
- Le plafond en matière de sanction est plus élevé du côté du RGPD : 20 millions d’euros contre 250 000 francs pour la nouvelle loi suisse sur la protection des données.
Les solutions Didomi vous permettent créer de la valeur grâce à la confiance, dans le monde entier. Faites du respect de la vie privée une expérience client unique. Avec notre Consent Management Platform (CMP) :
- Récoltez le consentement de vos clients en toute conformité
- Protégez votre réputation
- Démontrez votre transparence dans la collecte des données personnelles
- Suivez vos indicateurs de consentement
- Synchronisez les données personnelles entre les outils de CRM et d’automatisation marketing.
Pour en savoir plus sur nos solutions et découvrir comment Didomi peut vous aider, que vous soyez un éditeur, une banque, un e-commerçant, un acteur du tourisme, contactez nos équipes :
{{request-a-demo}}
Foire à Questions (FAQ)
Quand la nLPD suisse entre-t-elle en vigueur ?
La nLPD suisse est entrée en vigueur le 1er septembre 2023.
Quel est l'objectif principal de la nouvelle LPD suisse ?
La nLPD met à jour la loi suisse sur la protection des données pour tenir compte des changements technologiques et sociaux, la rapprochant ainsi des normes du RGPD. Elle vise à garantir la protection des données personnelles des citoyens suisses et à leur accorder de nouveaux droits.
En quoi la nouvelle LPD suisse diffère-t-elle de l'ancienne LPD ?
La nLPD introduit notamment des dispositions telles que "Privacy by Design" et "Privacy by Default", renforce l'obligation de transparence des entreprises, rend obligatoire la nomination d'un conseiller à la protection des données pour les organes fédéraux et introduit des sanctions en cas d'infraction.
À qui s'applique la nLPD ?
La nLPD s'applique à tous les individus en Suisse et réglemente l'utilisation des données par les entreprises privées et l'État. Elle concerne également les acteurs qui ont un impact sur la Suisse, même si leurs actions proviennent de l'étranger.
Quelles sont les différences entre la nLPD et le RGPD ?Bien qu'ils partagent de nombreuses lignes directrices, la nLPD est moins stricte dans certains domaines. Par exemple, le RGPD prévoit une règle de notification des violations de 72 heures, alors que la nLPD exige une notification "dès que possible". En outre, les sanctions prévues par le RGPD peuvent être plus lourdes.