by Frédéric MERLAND

Quels changements apporte la Nouvelle Loi sur la Protection des Données (nLPD) ? Que faire pour s’y conformer et quelles différences avec le RGDP ? Décryptage et analyse.

Quels changements apporte la Nouvelle loi sur la Protection des données ?

Transparence accrue : Avec la nouvelle loi le devoir d’information des entreprises va plus loin qu’auparavant. Désormais, en tant qu’entreprise vous devez informer les personnes concernées de toute collecte de données – et pas seulement de données sensibles comme auparavant – même si les données ne sont pas collectées auprès de la personne concernée. L’identité et les coordonnées du responsable du traitement, la finalité du traitement, les destinataires ou catégories de destinataires et le nom de l’Etat destinataire doivent être communiqués en cas d’exportation de données vers l’étranger. Sur ce point, la nouvelle loi fédérale sur la protection des données (nLPD) révisée est plus stricte que le RGPD.

Nouveau champ d’application : comme le RGPD, la nouvelle loi fédérale sur la protection des données (nLPD) révisée se limite à la protection des données des personnes physiques, et n’inclut plus les données des personnes morales comme c’est le cas actuellement.

Registre des activités de traitement : les entreprises sont tenues de tenir un registre de leurs activités de traitement qui doit contenir les informations prescrites. Le Conseil fédéral prévoit actuellement des exceptions pour les entreprises comptant jusqu’à 250 employés. Cette ordonnance d’exécution est actuellement en procédure de consultation.

Extension des données sensibles : les données génétiques et biométriques sont désormais considérées comme des données personnelles sensibles.

Profilage : La nouvelle loi fédérale sur la protection des données (nLPD) réglemente également le profilage, c’est-à-dire le traitement automatisé de données visant à évaluer certains aspects personnels d’une personne, tels que sa situation économique, sa santé, ses intérêts, son comportement, sa localisation, etc. Contrairement au RGPD, la nouvelle LPD ne prévoit pas d’obligation générale de requérir le consentement de la personne concernée. Cette obligation n’existe qu’en cas de profilage à « risque élevé ».

Évaluation de l’impact sur la protection des données : Si le traitement présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l’organisation est tenue de procéder à une analyse d’impact sur la protection des données. Cette analyse doit être documentée.

Notification rapide au Préposé fédéral à la protection des données et à la transparence (PFPDT) : Toute violation de la sécurité des données qui entraîne la perte, l’effacement, la destruction, l’altération ou l’accès non autorisé à des données, de manière accidentelle ou illicite, doit désormais être signalée au PFPDT dans les meilleurs délais (dans les 72 heures selon le RGPD) si les personnes concernées sont en danger (selon le RGPD, un simple risque suffit). En général, le responsable du traitement doit notifier la personne concernée lorsque cela est nécessaire pour sa protection ou lorsque le PFPDT l’exige.

Privacy-by-Design et Privacy-by-Default : il exige que l’organisation tienne compte des principes de protection des données dans la conception des traitements et des applications, comme le fait de ne pas obtenir le consentement des personnes concernées pour les traitements qui vont au-delà du traitement nécessaire, par le biais de préréglages correspondants.

Que devez-vous faire pour vous conformer à la nouvelle loi fédérale sur la protection des données (nLPD) ?

  • Établir une procédure pour signaler les violations de la protection des données.
  • Créez une déclaration de protection des données à utiliser sur Internet, ainsi que dans vos documents publicitaires et contractuels.
  • Créez ou modifiez les directives internes de traitement des données.
  • Tenir un registre précis des activités de traitement des données nouvellement créées.
  • Mettre en place une procédure garantissant que les droits des personnes concernées sont traités en temps utile (par exemple, les demandes d’information ou de suppression de données).
  • Mettre en œuvre un processus d’analyse d’impact, notamment en cas de traitement à grande échelle de données sensibles, de surveillance systématique de vastes zones du domaine public ou d’utilisation de nouvelles technologies à haut risque.
  • Il est recommandé d’examiner les contrats d’externalisation, l’obligation de signaler les violations de la protection des données et le transfert du traitement à des tiers. L’entreprise, en particulier, doit veiller à ce que la sécurité des données soit assurée.
  • S’assurer que les données personnelles sont supprimées ou rendues anonymes dès qu’elles ne sont plus nécessaires au traitement.
  • Déterminer quels pays reçoivent les données personnelles et s’assurer qu’elles ne sont transférées que vers ceux qui offrent un niveau de protection adéquat. Cette règle s’applique également au stockage sur des systèmes étrangers (Cloud). Le Conseil fédéral (anciennement connu sous le nom de PFPDT) publie une liste des pays qui offrent une protection adéquate. L’exportation de données vers des pays ne figurant pas sur cette liste est possible sous certaines conditions, notamment le consentement exprès des personnes concernées. (Liste disponible ici).
  • Assurer la portabilité des données, c’est-à-dire la livraison des données dans un format électronique commun (comme dans le RGPD) lorsque les données sont traitées automatiquement, notamment lorsque les données sont directement liées à la conclusion ou à l’exécution d’un contrat.
  • Assurer la sécurité des données par des mesures techniques et organisationnelles appropriées. Cela implique d’éviter les violations de la sécurité des données.

Que se passe-t-il si vous ne respectez pas la nouvelle loi fédérale sur la protection des données (nLPD) ?

La nouvelle loi fédérale sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023 et aucune période transitoire n’est actuellement prévue. Grâce à ses nouvelles compétences, le Préposé fédéral à la protection des données et à la transparence (PFPDT) pourra, d’office ou par le biais d’une mise en demeure, ouvrir une enquête sur le transfert et, en cas de violation des règles de protection des données, ordonner des mesures strictes telles que des modifications ou des interruptions du traitement des données, voire des “suppressions de données”.

Par ailleurs, la nouvelle loi fédérale sur la protection des données (nLPD) prévoit désormais des voies de recours civiles permettant aux personnes concernées de faire valoir leurs droits. Simultanément, le code de procédure civile a été modifié pour permettre des procédures gratuites en la matière.

En cas de violation délibérée des obligations d’information, d’explication, de coopération ou de diligence raisonnable du nLPD, une amende peut être infligée.

Et vous, quelles mesures comptez-vous prendre pour concevoir une stratégie de mise en conformité cohérente à la nLDP ? Contactez des experts pour vous accompagner.

Source : Heike Gros.