Bulletin du 30 octobre 2023 - Les principaux changements de la LPD au 1er septembre 2023
En date du 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (ci-après : nLPD ; RS 235.1) est entrée en vigueur en Suisse. Le remaniement total de la Loi sur la protection des données était indispensable au regard des évolutions technologiques et sociales de notre époque.
Avec l’entrée en vigueur de la nLPD, de nombreuses modifications sont intervenues afin de renforcer la protection de la sphère privée et l’autodétermination des personnes en ce qui concerne leurs données personnelles.
Le présent bulletin a pour but de présenter et expliquer brièvement les principaux changements de la Loi fédérale sur la protection des données.
Champs d’application de la nLPD
La première et principale modification de la loi réside dans son champ d’application. En effet, la nLPD ne s’applique qu’aux données des personnes physiques, excluant ainsi de son champ d’application la protection des données des personnes morales ; lesquelles étaient jusqu’à présent également protégées (art. 1 al. 1 let. a LPD).
Nouvelles notions
De nouvelles notions sont également intégrées dans la nLPD. A ce titre, la définition de « données sensibles » s’est élargie englobant désormais les données génétiques ainsi que les données biométriques identifiant une personne physique de manière univoque (art. 5 let. c LPD). Par ailleurs, la notion de « profilage » - signifiant le traitement de données automatisé - est intégré dans la loi.
Protection dès le conception et protection à défaut
La nLPD prévoit que le responsable du traitement est tenu de protéger les données dès la conception (« Privacy by Design ») et à défaut (« Privacy by Default »). Il s’agit de deux manières différentes de protéger les données qui sont inscrites à l’art. 7 nLPD.
- La protection des données dès la conception implique que le responsable intègre la protection et le respect de la vie privée des personnes privées dans la structure même du produit ou du service amené à collecter les données personnelles.
- La protection des données par défaut assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des personnes privées, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation.
Analyse d’impact
Le responsable des données possède désormais l’obligation de procéder à une analyse d’impact relative à la protection des données personnelles lorsque le traitement envisagé entraine un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. On entend par « analyse d’impact », l’élaboration d’un inventaire des risques et mesures potentiellement applicable (cf. art. 22 al. 3 LPD).
L’art. 22 al. 2 LPD cite deux exemples de traitement qui génèrent des risques élevés pour les personnes concernées et qui requièrent une analyse d’impact. Il s’agit (1) du traitement de données sensibles à grande échelle et (2) de la surveillance systématique à grande échelle d’une zone accessible au public.
L’art. 22 al. 4 et 5 LPD relativise l’obligation de procéder à une analyse d’impact en exemptant notamment d’une telle analyse, le traitement de données reposant sur une base légale. Le responsable du traitement privé pourra également renoncer à établir une telle analyse d’impact lorsqu’il recourt à un système, un produit ou un service certifié pour l’utilisation prévue (cf. art. 13 nLPD) ou le traitement respectant un code de conduite préalablement soumis au Préposé fédéral de la protection des données et de la transparence (cf. art. 11 nLPD).
Devoir d’information accru
Par ailleurs, le responsable du traitement a un devoir d’information accru, il doit informer les personnes concernées de manière adéquate de toute collecte de donnée et non pas uniquement de données sensibles comme jusqu’ici. Ce devoir d’information accru vaut également lorsque les données ne sont pas collectées auprès de la personne concernée (art. 19 nLPD).
Registre des activités de traitement
Au surplus, le responsable du traitement a l’obligation de tenir un registre de ses activités de traitement qui doit contenir les indications prescrites dans l’art. 12 al. 2 LPD. Ce registre est un descriptif général des activités de traitement qui permet d’avoir une vue d’ensemble de tous les traitements et de se faire rapidement une idée sur la conformité des traitements.
Il existe toutefois des exceptions à la tenue du registre des activités de traitement (art. 24 Ordonnance sur la protection des données ; RS 235.11). En effet, les entreprises et autres organismes de droit privé employant moins de 250 collaborateurs au 1er janvier d’une année, ainsi que les personnes physiques, sont déliés de leur obligation de tenir un registre des activités de traitement, à moins que le traitement porte sur des données sensibles à grande échelle ou que le traitement constitue un profilage à risque élevé.
Annonce au PFPDT
Finalement, le responsable du traitement doit annoncer les violations de la sécurité des données dans les meilleurs délais au Préposé fédéral à la protection des données et à la transparence. La loi ne mentionne pas ce qu’il faut entendre par « meilleurs délais » mais au regard du droit européen, il s’agit d’un délai de 72h.
Conclusion
Les modifications de la Loi fédérale sur la protection des données imposent de nombreuses nouvelles obligations et démarches à un très grand nombre d’acteurs de la société, allant des services étatiques ou de la Confédération et des PME aux grandes sociétés.
En conséquence, il est conseillé de se renseigner sur les démarches à entreprendre dans son domaine d’activité. ___________________________________________________________________________________________
Si vous avez des questions complémentaires au sujet de ce qui précède, n’hésitez pas à nous contacter.