,

Check-list : 7 étapes vers la nouvelle loi suisse sur la protection des données

,

Le 01.09.2023, la nouvelle loi suisse sur la protection des données (nLPD) entrera officiellement en vigueur. Elle fait suite au Règlement Général sur la Protection des Données (RGPD), qui a été adopté en 2018 par l'Union européenne.

Aperçu de toutes les nouveautés ?

Dans cet article, nous vous présentons en détail les changements centraux et expliquons les nouvelles terminologies et celles qui ont été modifiées. Étant donné que la nLPD ne concerne que rarement les particuliers, l'article se concentre principalement sur les conséquences à court et à long terme pour les PME

Voici comment les entreprises restent compétitives :

Pour rester compétitives, les entreprises suisses doivent maintenir la libre circulation des données vers l'UE. Notre check-list offre un aperçu informatif et pose dès aujourd'hui les bases d'une restructuration simple et sans stress.

Veuillez noter : Ceci est une aide, mais ne constitue pas un conseil juridique. Nous déclinons toute responsabilité.

Vous avez peu de temps ?

  1. La nLPD en bref

  2. Toutes les modifications en un coup d'œil

  3. La check-list nLPD

  4. Quelles sont les sanctions encourues ?

  5. Démarrez votre préparation maintenant

  6. Mise à jour : Les différences entre la LPD et le RGPD

  7. Réservez votre audit de conformité en matière de protection des données en ligne

  8. Chapitre bonus : Les meilleurs outils pour la protection des données

1/ La LPD en bref :

  • En vigueur dès le : 01.09.2023

  • Objectif : Protection améliorée des droits de la personnalité et des droits fondamentaux des citoyens suisses lors du traitement de leurs données personnelles

  • Modèle : RGPD de l'Union européenne datant de 2018

  • Concerne : Principalement les entreprises et les associations

  • Avantage pour les PME : Rester compétitif, éviter les amendes et renforcer la confiance des clients

  • LPD vs. RGPD : Les 11 différences principales en un coup d'œil

  • Utilisez notre Générateur de protection des données et économisez avec le code onlineKarma10

2/ LPD : Les 5 changements majeurs

1. Personnes physiques

Dans sa pleine portée, la nouvelle loi ne concerne “plus que” les données des personnes physiques. Le traitement des données des personnes morales ne relève plus entièrement de la protection de la LPD.

La LPD ne protège pas les droits d'une entreprise. Cependant, les droits de la personnalité des collaborateurs d'une entreprise restent protégés, même selon la nouvelle législation. 

2. Données génétiques et biométriques

Selon la nouvelle loi sur la protection des données, les données personnelles génétiques et biométriques seront désormais considérées comme des données particulièrement sensibles. Pour les données de cette catégorie, une obligation de diligence accrue s'applique, ainsi que l'obligation d'obtenir un consentement avant tout traitement (par exemple, avec une bannière de cookies).

Données personnelles :

  • Données de base (par exemple, nom, date de naissance, IBAN)

  • Données de comportement et de localisation (suivi physique et numérique)

  • Données de profilage (évaluation automatique des intérêts, préférences, performances, etc.)

Données personnelles particulièrement sensibles :

  • Données relatives à la santé, à l'apparence et à l'identité (par exemple, données génétiques, données biométriques, données de santé)

  • Données relatives aux convictions (engagements politiques et syndicaux / convictions, opinions religieuses)

  • Données relatives aux mesures/sanctions (par exemple, procédures pénales, exécution, mesures d'aide sociale)

3. « Privacy by Design » & « Privacy by Default »

Grâce à ces deux principes, la nLPD vise à mieux protéger les données personnelles. Ils se réfèrent à la protection des données dès la conception et aux paramètres par défaut respectueux de la vie privée

4. Introduction d'une analyse d'impact relative à la protection des données

L'analyse d'impact relative à la protection des données (AIPD) est un instrument repris du RGPD. Elle comprend :

  1. Description du traitement de données envisagé

  2. Évaluation des risques pour la personnalité et les droits fondamentaux des personnes concernées

  3. Mesures pour la protection de la personnalité et des droits fondamentaux

5. Devoir d'information étendu

Le devoir d'information étendu s'applique dès septembre pour toute collecte de données personnelles et non plus seulement pour les données particulièrement sensibles. Les personnes concernées peuvent être informées de l'étendue et de la finalité du traitement dans la déclaration de protection des données.

De plus amples informations sur les modifications apportées par la nouvelle loi sur la protection des données sont disponibles sur le site web du PFPDT.

3/ Check-list : Se préparer en sept étapes

La nLPD protège non seulement les droits des citoyennes et citoyens suisses, mais préserve également la compétitivité des entreprises suisses. Grâce à notre check-list, les PME évitent les amendes élevées et les atteintes à leur réputation.


1. Quelles données personnelles traitez-vous ?

Pour les données personnelles particulièrement sensibles, telles que les données biométriques et génétiques, le consentement volontaire des utilisateurs et utilisatrices est requis au préalable. Les entreprises ont recours à des bannières de cookies avec option de consentement à cet effet.

Si vous traitez d'autres données personnelles, vous devez en informer de manière transparente et facilement compréhensible. Pour déposer ces informations, les entreprises disposent de plusieurs options :

  • Déclaration de confidentialité

  • CGV

  • Courrier séparé

  • Formulaire de consentement

  • Bannières de cookies informatives


2. Votre site web est-il conforme au principe de « Privacy by Design » ?

Le « Privacy by Design » signifie que la structure technique d'un produit ou d'un service doit protéger et respecter la vie privée des utilisateurs et utilisatrices. Il convient de veiller à une conception technique et organisationnelle appropriée des systèmes. 

Exemples de mesures appropriées :

  • Minimisation des données : Seules les données personnelles strictement nécessaires à la gestion des affaires sont collectées et traitées.

  • Protection sélective par mot de passe : L'accès aux données n'est autorisé qu'aux collaborateurs et collaboratrices qui en ont besoin pour leur travail.

3. Mon site web respecte-t-il le principe de protection des données par défaut ?

La protection des données par défaut décrit des configurations par défaut respectueuses de la vie privée, actives sans intervention des utilisateurs et utilisatrices. Les logiciels, tels que les applications et les sites web, doivent donc être conçus de manière à ce que le traitement des données personnelles soit limité au strict minimum nécessaire

Voici des exemples courants :

  • L'anonymisation de l'adresse IP dans Google Analytics

  • La demande de données réellement nécessaires (par exemple, un formulaire de contact)

  • Des restrictions d'accès importantes pour les profils et publications sur les réseaux sociaux

  • Des limitations d'accès des applications aux sites web

Y a-t-il une obligation d'afficher une bannière de cookies en Suisse ?

Une obligation générale d'afficher une bannière de cookies, comme dans l'UE, n'existe pas en Suisse. Pour la plupart des entreprises suisses, les bannières de cookies ne sont obligatoires que lors de l'utilisation de données particulièrement sensibles.

Ceci s'applique toutefois explicitement uniquement aux utilisateurs et utilisatrices suisses. Si les sites web suisses ont des visiteurs et visiteuses de l'UE, le RGPD s'applique, ainsi que l'obligation d'afficher une bannière de cookies.

En savoir plus sur les directives relatives aux cookies

4. Dois-je réaliser une analyse d'impact relative à la protection des données ?

Une analyse d'impact est nécessaire lorsque le traitement présente un risque potentiellement élevé pour la sécurité des données. Un risque élevé découle de l'Art. 22 de la LPD, notamment :

  • Lors de l'utilisation de nouvelles technologies

  • En raison de la nature et de l'étendue du traitement

  • En raison des circonstances du traitement

  • En raison de la finalité du traitement

Une AIPD est obligatoire selon la nLPD, par exemple, lors du traitement de données particulièrement sensibles ou de la surveillance systématique de zones publiques.


5. Ai-je une déclaration de protection des données conforme à la loi ?

Les entreprises doivent éventuellement adapter leurs déclarations de protection des données existantes en raison des obligations plus étendues. Les adaptations précédentes au RGPD de l'UE ne sont peut-être pas suffisantes.

Une déclaration de protection des données conforme à la loi doit contenir des informations sur tous les traitements de données et être facilement accessible (par exemple, dans le pied de page). Les visiteurs et visiteuses d'un site web doivent également être informés des dispositions relatives à la protection des données (par exemple, dans les formulaires de contact). Elle doit fournir des informations sur :

  • L'identité et les coordonnées du responsable du traitement (par exemple, l'entreprise)

  • La finalité du traitement

  • Les destinataires en cas de transmission de données

  • Les catégories de données lors de l'acquisition par des tiers (par exemple, une agence de marketing)

  • Mention du pays en cas d'exportation à l'étranger

Utilisez le générateur de Datenschutzpartner pour créer une déclaration de protection des données personnalisée. Avec le code onlineKarma10, nos client·e·s peuvent économiser jusqu'à 10 %.

Lancer le générateur

6. Ai-je besoin d'un registre de tous les traitements de données ?

Dans les entreprises de plus de deux cent cinquante collaborateur·rice·s, chaque traitement de données devra être enregistré à l'avenir. Le contenu du registre est défini par la loi et se base sur le contenu de la déclaration de protection des données.

Le registre devrait en outre inclure la durée de conservation des données personnelles ainsi qu'une description générale des mesures visant à garantir la sécurité des données.


7. Quand dois-je m'annoncer auprès du PFPDT ?

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) joue un rôle de surveillance intensif en ce qui concerne la nouvelle loi sur la protection des données. En cas de violation de la protection des données, celle-ci doit être communiquée immédiatement au PFPDT.

Actuellement, une obligation de signaler les cyberattaques sur les infrastructures critiques est en cours de planification. Dans ce cas, le Centre national pour la cybersécurité (NCSC) devrait également être informé.

Demander un accompagnement dès maintenant

4/ Sanctions pénales : Quelles sont les sanctions en cas de violation de la protection des données ?

Pas d'inquiétude, selon le droit suisse, seule une violation intentionnelle d'une obligation est punissable à partir du 1er septembre 2023. Par exemple, une violation du secret reste sans conséquences pénales si la divulgation n'était pas intentionnelle. En cas d'intention, les sanctions pénales suivantes sont toutefois encourues :

      ❗ Amende allant jusqu'à CHF deux cent cinquante mille

      ❗ Procédure d'enquête de droit administratif par le PFPDT.

      ❗ En cas de non-respect du PFPDT : Amende allant jusqu'à CHF deux cent cinquante mille. 

      ❗ Actions civiles (par ex. injonction ou dommages-intérêts).

Une amende de CHF deux cent cinquante mille est notamment due pour les infractions suivantes :

  • Violation de l'obligation d'informer (par ex. déclaration de protection des données erronée)

  • Violation de la sécurité des données (par ex. Privacy by Design & Default)

  • Violation des obligations d'information

  • Absence de mesures de protection ou de consentement lors de la communication des données personnelles à des pays ne disposant pas d'un niveau de protection adéquat

  • Absence de contrat avec les partenaires contractuel·le·s

La loi suisse sur la protection des données sanctionne en règle générale les personnes responsables directement. Pour une amende allant jusqu'à CHF cinquante mille, c'est généralement l'entreprise qui paie, car une enquête complexe sur la culpabilité de la part du PFPDT n'est pas justifiée.

5/ Pour les PME : Quelles mesures sont généralement pertinentes ?

Au-delà du site web, d'autres étapes sont judicieuses pour les PME afin d'être en conformité avec la protection des données. Les mesures suivantes permettent une restructuration rapide et simple :

  • Inventaire du traitement des données personnelles

  • Évaluation des risques au sein de l'entreprise

  • Organisation des processus internes pour clarifier les responsabilités et limiter les accès au strict nécessaire

  • Examen et adaptation des déclarations de protection des données existantes et des contrats avec les partenaires, y compris le registre des activités de traitement

  • Désignation d'une personne de contact pour les questions de protection des données

Nous vous accompagnons volontiers dans la mise en œuvre de la nLPD.

Réservez votre audit de protection des données en ligne dès maintenant
Demander un accompagnement dès maintenant

6/ Les meilleurs outils pour la protection des données

Prenez la protection des données en main, en toute simplicité. Avec ces outils, économisez du temps et de l'argent lors de la mise en œuvre des nouvelles directives de protection des données :

La protection des données en 30 minutes

Obtenez votre déclaration de protection des données pour votre site web en seulement 30 minutes. Il suffit de remplir le questionnaire et Datenschutzpartner crée immédiatement une déclaration de protection des données sur mesure.

Démarrer maintenant

Bannière de cookies rapide et simple

Votre site web a besoin d'une bannière de cookies ? Créez-la maintenant en quelques étapes avec Cookiebot. Nos client·e·s bénéficient d'un rabais mensuel exclusif de 10 pour cent.

Contactez-nous
Également intéressant
Utilisation de TikTok en Suisse 2025
Utilisation de TikTok en Suisse 2025
Chiffres d'utilisation d'Instagram en Suisse 2025
Chiffres d'utilisation d'Instagram en Suisse 2025
Statistiques et utilisation de LinkedIn en Suisse 2025
Statistiques et utilisation de LinkedIn en Suisse 2025

Nous contacter sans engagement

Êtes-vous prêt pour la prochaine étape?
Contactez-nous pour un entretien sans engagement.