nLPD suisse vs. RGPD de l'UE
Nouvelles règles de protection des données en Suisse – Ce que les entreprises et associations doivent savoir maintenant
La nouvelle Loi suisse sur la protection des données (nLPD) s'applique à partir du 1er septembre 2023.
La nLPD (ou LPD révisée) vise une harmonisation avec le Règlement européen sur la protection des données (RGPD) et a pour objectif, grâce à une adaptation aux évolutions technologiques, de mieux protéger les données des citoyens et citoyennes suisses.
À une époque où la technologie évolue rapidement et où les applications d'IA comme ChatGPT jouent un rôle de plus en plus important dans nos vies, il est plus crucial que jamais de garantir la vie privée et la protection des données. Avec la nLPD, une version moderne de la protection des données est en perspective. 🔭
Une 🧭 orientation de la nLPD vers le RGPD est perceptible, même si la nLPD ne correspond pas en tous points au RGPD. Le plus souvent, la nouvelle loi suisse est moins stricte, et n'est plus restrictive que la loi européenne qu'en quelques points spécifiques.
La loi européenne sur la protection des données s'applique également à de nombreuses organisations suisses.
Vous pouvez consulter quand et comment le RGPD s'applique également aux entreprises et associations suisses dans la checklist RGPD Suisse. 🧾
Ainsi, certaines organisations doivent respecter à la fois la loi européenne et la loi suisse sur la protection des données. C'est pourquoi les organisations qui respectent déjà les exigences du RGPD ont également un besoin d'agir. 🎬
Vous découvrirez ici les différences importantes entre les deux lois sur la protection des données :
nLPD vs. RGPD : 11 différences clés
| RGPD | nLPD | |
|---|---|---|
| Sanctions | Amendes infligées à l'entreprise responsable, pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise. | En cas de violation des réglementations, amendes pénales allant jusqu'à deux cent cinquante mille CHF. La sanction est, à quelques exceptions près, liée à la personne physique responsable. |
| Notification des violations de données | Obligation de notifier les violations de données présentant des risques pour les personnes concernées à l'autorité de protection des données dans les septante-deux heures. S'il existe un risque élevé pour la personnalité, la personne doit être informée. | Obligation, si cela est nécessaire pour la protection des personnes concernées. Le PFPDT ne doit être informé par le responsable qu'en cas de risque élevé, c'est-à-dire si cela est nécessaire pour la protection de la personne concernée. Il n'y a pas de délai de septante-deux heures, mais « le plus rapidement possible ». |
| Exportations de données | La Commission européenne décide de l'admissibilité. Les clauses contractuelles types de l'UE et les règles d'entreprise contraignantes sont applicables. | Le même concept. Le Conseil fédéral décide de l'admissibilité des exportations de données. Les mêmes clauses contractuelles types et règles d'entreprise contraignantes que dans l'UE sont applicables. |
| Désignation d'un délégué à la protection des données | Obligation si l'entreprise procède à une surveillance régulière et systématique à grande échelle ou traite des catégories particulières de données à grande échelle, conformément à l'art. 37. | Pas d'obligation, mais fortement recommandé. La désignation facilite le traitement des données présentant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. |
| Analyse d'impact relative à la protection des données | Si, malgré les mesures prises, un risque élevé subsiste, une consultation avec les autorités de contrôle est obligatoire. | S'il existe un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, une analyse d'impact relative à la protection des données (AIPD) doit être réalisée. Si, malgré les mesures, le risque persiste, une consultation avec un délégué à la protection des données ou le PFPDT est possible. |
| Représentation en matière de protection des données | Les entreprises ayant leur siège en dehors d'un pays de l'UE/EEE, qui proposent leurs services à des clients dans les pays de l'UE/EEE, traitent des données ou observent le comportement, doivent désigner un représentant officiel dans l'UE/EEE. | Lors du traitement de données par un responsable ayant son siège à l'étranger, une représentation en Suisse doit être désignée. De même, si le traitement des données présente un risque élevé, est étendu ou régulier. |
| Profilage | Obligation générale d'obtenir le consentement. | Obligation générale d'obtenir le consentement uniquement en cas de profilage à haut risque. |
| Devoir d'information | Obligation d'informer la personne concernée lors de la collecte de données personnelles. | Le responsable du traitement doit informer la personne concernée de l'obtention de données personnelles, même si les données ne sont pas collectées directement auprès d'elle (conformément à l'Art. 18a). |
| Traitement des données personnelles | Le traitement des données personnelles est en principe interdit, à moins qu'il n'existe une base légale (par exemple, consentement, contrat, obligation légale). | Ici, le traitement des données personnelles est généralement autorisé, sauf en cas d'atteinte illicite aux droits de la personnalité. |
| Droit d'accès | Les personnes concernées ont le droit d'obtenir des informations concernant leurs données personnelles traitées. Cela inclut, entre autres, les finalités du traitement et l'origine des données. | Similaire au RGPD, mais avec plus d'exceptions. L'accès peut par exemple être refusé si la vie privée de tiers ou des intérêts prépondérants sont concernés. |
| Registre des activités de traitement | Les entreprises doivent tenir un registre de leurs activités de traitement, conformément à l'Art. 37. | Les responsables du traitement / les sous-traitants tiennent un registre des activités de traitement avec un contenu minimal requis. Une exception s'applique aux entreprises de moins de deux cent cinquante employés et dont les traitements de données présentent de faibles risques d'atteinte à la personnalité. Il n'y a cependant pas d'exception en cas de profilage à haut risque ou de traitement de données particulièrement sensibles à grande échelle. |
La nouvelle Loi suisse sur la protection des données assure que la libre circulation des données avec l'UE puisse se poursuivre et garantit la compétitivité des entreprises suisses. Il est important de respecter les dispositions afin d'éviter des amendes élevées et des atteintes à la réputation, et de soutenir la confiance des clients. 🤝
Et les cookies ?🍪
„Non, la nouvelle Loi sur la protection des données en Suisse n'impose pas de bandeau de cookies. La Suisse n'adopte pas la directive européenne sur les cookies.“
Selon Martin Steiger, la nouvelle Loi sur la protection des données en Suisse n'impose pas de bandeaux de cookies. La Suisse n'a donc pas adopté la directive européenne sur les cookies.
Plutôt qu'un consentement explicite, la loi suisse mise sur l'information et la possibilité de refus pour les utilisateurs et utilisatrices. Les responsables doivent simplement s'assurer que le traitement des données est limité au strict minimum nécessaire.
Les paramètres de confidentialité optionnels n'exigent des restrictions préconfigurées que lorsque des choix sont effectivement disponibles. 💡
Malgré la nouvelle loi, l'utilisation de bannières de cookies en Suisse reste donc facultative. 💪
✅ En bref :
Pour les sites web hébergés en Suisse, une simple information dans la déclaration de confidentialité concernant l'utilisation des cookies est suffisante.
Les visiteurs et visiteuses de l'UE restent protégés par leurs propres lois sur la protection des données et doivent donc explicitement consentir à l'utilisation des cookies.
Conclusion
La nLPD entre en scène, prête à redéfinir le jeu de la protection des données en Suisse. Elle renforce considérablement la protection des données des citoyens et citoyennes suisses et se rapproche du RGPD.
Cependant, comme pour tout jeu passionnant, il y a des différences à prendre en compte – la nLPD et le RGPD ne sont pas identiques et nécessitent donc une adaptation de nos pratiques en matière de protection des données.
Grâce à une préparation adéquate, les entreprises et associations suisses renforcent leur position sur le marché et la confiance de leurs clients. Game on! 💾
Ne perdez pas de temps pour vous préparer à la nouvelle loi ! ⏰
Avertissement
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique contraignant. Veuillez noter que l'interprétation des lois peut varier en fonction du contexte et de la situation. Nous ne sommes pas avocats et vous recommandons de bien vous familiariser avec la nouvelle loi et de vous préparer adéquatement aux changements à venir. Nous restons à votre disposition pour toute question.
Recherchez-vous une agence de marketing qui allie professionnalisme et créativité ? 🧑💻🌈
Alors contactez-nous ! 😊👇