Introduction
🔐 Les données personnelles sont un bien précieux. Le droit de la protection des données est un domaine en constante mutation, avec des réglementations et des lois qui évoluent notamment pour s'adapter à l'évolution de la technologie et de la société.
La révision régulière de ces lois est cruciale pour garantir aux individus la possibilité de bénéficier d'une protection adéquate de leurs données personnelles, tout en permettant aux entreprises et aux organisations de tirer le meilleur parti des données qu'elles traitent.
⚖️ En outre, comme les organisations internationales et l’Union européenne (ci-après : « l’UE ») ont durci leurs normes en matière de protection des données, il était nécessaire pour la Suisse d’adapter ses lois en la matière.
🏢 Cette révision a alors comme conséquence de concerner toutes les entreprises et en particulier celles qui n’avaient pas déjà adapté leurs pratiques aux réglementations en vigueur dans l’UE.
Il est nécessaire de comprendre non seulement les changements à venir mais aussi comment les entreprises doivent se préparer à l’entrée en vigueur de cette future loi, qui ne prévoit d’ailleurs pas de période transitoire.
I. Contexte général
➡️ ➡️ La protection des données personnelles en général
La loi fédérale sur la protection des données (ci-après : « LPD ») ainsi que l’ordonnance relative à la loi fédérale sur la protection des données (ci-après : « l’OLPD »), sont en vigueur depuis le 1er juillet 1993.
À la suite de l’entrée en vigueur de ces lois, des évolutions et des transformations très profondes ont eu lieu. Effectivement, l’évolution du numérique a bouleversé le domaine des données et tous les domaines de la société se sont retrouvés impactés. 📈
En parallèle à cela, en Suisse, la loi fédérale sur la protection des données ne s’est que très peu adaptée à ces évolutions.
Ainsi, si l’importance que ces lois en question revêtent se sont accrues au fil du temps, elles n’ont été sujettes qu’à très peu de modifications. Partant, la révision de la LPD et de l’OLPD était plus que nécessaire. ⏰
➡️ ➡️ Le cadre juridique en Suisse
🔒 En Suisse, il existe un principe selon lequel toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications et à la protection contre l’emploi abusif des données qui la concernent. Ce principe est fixé à l’article 13 de la Constitution fédérale.
En outre, ce droit constitutionnel a été inscrit dans la LPD en vigueur depuis le 1er juillet 1993. Afin de régler les détails de cette loi, l’ordonnance sur la protection des données (ci-après : l’« OLPD ») complète la LPD.
Aussi, les art. 28 et suivants du Code civil suisse (ci-après « CC ») règlent les voies de droit lors d’une éventuelle atteinte à la personnalité. Par exemple, lorsqu’une personne subit une atteinte à sa personnalité par la publication d’un article.
➡️ ➡️ Le cadre juridique européen et sa portée en Suisse
🇪🇺 Entré en vigueur le 25 mai 2018, le très médiatique Règlement général sur la protection des données (ci-après : « RGPD ») a un rôle très important en Suisse.
En effet, même si le RGPD ne fait pas partie de l’acquis Schengen et qu’il n’est pas repris par la Suisse, les acteurs économiques suisses doivent souvent en tenir compte.
En effet, le champ d’application du RGPD est large et concerne aussi bien les entreprises ayant leur siège dans l’Union européenne (ci-après : « UE ») que celles n’ayant pas leur siège dans l’UE.
📡 Le RGPD peut effectivement s’appliquer à des acteurs se situant en dehors de l’Union européenne lorsque le responsable de traitements lié à une offre de biens ou de services à des personnes concernées se trouvent dans un pays membre de l’UE. Le responsable de traitement se verrait dans ce cas contraint de respecter l’art. 3.2 du RGPD. En d’autres termes, lorsque le public cible du traitement de données se trouve dans l’Union européenne, le RGPD trouvera à s’appliquer, nonobstant le fait que le responsable de traitement se trouve en dehors de l’UE.
🌐 Au vu de la portée extraterritoriale du RGPD et des liens économiques étroits qu’entretient la Suisse avec l’UE, la nécessité de la révision est d’autant plus justifiée. La circulation des données entre l’UE et la Suisse ne peut se faire fluidement uniquement si la Suisse présente un niveau de protection adéquat du point de vue du RGPD.
II. Les principales notions
➡️ ➡️ Le nouveau champ d’application territorial de la nLPD
Le champ d’application de la nLPD est essentiel à déterminer étant donné qu’il défini qui doit se soumettre à la nLPD ou non. À compter du 1er septembre 2023, le champ d’application de la nLPD sera étendu à tous les états de faits qui se sont produits à l’étranger et qui déploient des effets en Suisse (art. 3 nLPD).
➡️ ➡️ Le nouveau champ d’application à raison de la personne et de la matière
La nLPD régit le traitement de données personnelles concernant des personnes physiques effectué par des personnes privées et des organes fédéraux (art. 2 al. 1 nLPD).
La notion de données personnelles est définie à l’art. 5 let. a nLPD.
Désormais, les données personnelles sont toutes les informations concernant une personne physique identifiée ou identifiable. Les données des personnes morales ne sont plus des données personnelles et ne sont ainsi plus protégées par la nLPD. Ainsi, la nLPD s’aligne sur le RGPD en ce qui concerne son champ d’application matériel.
Les données des personnes morales restent toutefois protégées par l’art. 28 CC, prévoyant à son alinéa 1 que : « Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe. »
En ce qui concerne le traitement, il correspond à toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données (art. 5 let. D nLPD).
➡️ ➡️ Les données sensibles
Les données sensibles ont un statut particulier en ce sens que leur protection est élargie dans la nLPD.
Ces données sont définies à l’art. 5 let. c nLPD et sont :
Les données concernant les opinions ou les activités religieuses, philosophiques, politiques ou syndicales (ch. 1).
Les données sur la santé, la sphère intime ou l’origine raciale ou ethnique (ch. 2).
Les données génétiques (ch. 3).
Les données biométriques identifiant une personne physique de manière univoque (ch. 4).
Les données sur des poursuite ou sanctions pénales et administratives (ch. 5).
Les données sur des mesures d’aide sociale (ch. 6).
Ainsi, la nLPD ajoute à la dénomination de données sensibles, déjà protégées dans l’actuelle LPD, les données génétiques et les données biométriques identifiants une personne physique de manière univoque.
Le traitement de ces données n’est pas interdit mais créé des obligations supplémentaires. En effet, toute personne traitant ce type de données à grande échelle doit remplir l’une des conditions suivantes :
- Procéder à une analyse d’impact (art. 22 al. 2 let. a nLPD). En d’autres termes, elle doit détailler les traitements mis en œuvre, évaluer leur proportionnalité par rapport à leur finalité et établir le risque potentiel du traitement sur la vie privée des personnes concernées, ou
- Requérir le consentement des personnes concernées. Dans la nLPD toutefois, le consentement doit être exprès (art. 6 al. 6 nLPD). En d’autres termes, la personne concernée doit exprimer librement sa volonté concernant le traitement après avoir été dûment informée
➡️ ➡️ Le responsable du traitement
Dans la nLPD, la notion de responsable du traitement apparaît (art. 5 let. j nLPD) et remplace celle du maître du fichier (art. 3 let. i LPD). Désormais, le responsable du traitement est la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.
➡️ ➡️ La nomination d’un représentant en Suisse pour des entreprises étrangères
Pour les entreprises qui n’auraient pas leur siège en Suisse, il s'agira, à compter du 1er septembre 2023, de nommer un représentant en Suisse. Cette obligation existera uniquement si l’entreprise étrangère effectue un traitement de données personnelles pour lequel les personnes concernées se trouvent en Suisse.
En revanche, cette obligation existera uniquement pour les traitements réguliers qui sont à grande échelle, lorsque ceux-ci sont en rapport avec l’offre de biens ou de services ou le suivi du comportement de personnes en Suisse et si le traitement présente un risque élevé pour la personnalité des personnes concernées (art. 14 nLPD). Comme ces conditions sont cumulatives, elles ne concerneraient pas toutes les entreprises qui traiteraient des données personnelles concernant des personnes en Suisse.
III. La mise en conformité
Outre les modifications énoncées plus haut auxquelles les entreprises devront être attentives, la mise en conformité à la nLPD consistera surtout en des mesures concrètes qui devront être mises en place.
À ce propos, il est essentiel de rappeler deux choses :
👉 La nLPD et l’OLPD entrent en vigueur le 1er septembre 2023. À cette date, toutes les entreprises devront avoir préparé leur mise en conformité.
📌 📌 📌En effet, la nLPD ne prévoit pas de délai transitoire.
👉 Toute personne privée ne se conformant pas à la nLPD sera sanctionnée (art. 60 nLPD) sur plainte par une amende pouvant aller jusqu’à CHF 250'000👮🏾 🕵🏽♂️ en cas de violation intentionnelle, ou lorsque le responsable du traitement omet d’informer, de renseigner ou de collaborer avec l’autorité. Toutefois, cette sanction visera les personnes physiques en premier lieu et nous rappelons que toute amende supérieure à CHF 5'000 sera inscrite au casier judiciaire (art. 3 de l’Ordonnance sur le casier judiciaire). Aussi, il n’est ni possible de faire payer l’amende par l’entreprise ni de s’assurer contre ce risque.
📍 Il sera d’abord nécessaire notamment de recenser les données personnelles traitées et d’évaluer les risques afin de déterminer les exigences de mise en conformité.
En d’autres termes, il faut d’abord procéder à une analyse d’impact (Analyse d’impact relative à la protection des données, ci-après : « AIPD »).
Cette analyse peut être effectuée en utilisant un outil mis à disposition directement par la Commission Nationale de l'Informatique et des Libertés (ci-après : « CNIL ») ou en contactant un expert en la matière comme une étude d'avocats.
📍Ensuite, il faut déterminer si les exigences de mise en conformité doivent être plus élevés. Il sied par exemple de définir si l’entreprise traite de données sensibles au sens de l’art. 5 nLPD, ou si l’entreprise traite un volume de données personnelles conséquent, auquel cas le consentement de ces personnes devrait être conscient et délibéré.
Aussi, il convient de réviser et de réaliser des actions telles que :
🔔 mettre à jour les contrats avec ses sous-traitants pour s’assurer que le traitement de donnée sera effectué de manière conforme à la nouvelle loi,
🔔 établir un registre de traitements contenant l’identité du responsable du traitement, la finalité de celui-ci, la description de la catégorie de personnes concernée ainsi que d’autres éléments détaillés à l’art. 12 al. 2 nLPD,
🔔 nommer un conseiller à la protection des données en droit suisse et DPO, data protection officer, en droit de l'UE (ci-après : « DPO ») qui est l’interlocuteur des personnes concernées et des autorités chargées de la protection des données (art. 10 nLPD),
🔔 mettre à jour les déclarations de confidentialité sur les sites internet de l’entreprise,
🔔 instaurer des mesures organisationnelles et techniques permettant une sécurité adéquate des données personnelles. Cela doit consister en la formation du personnel de l’entreprise en la matière et en la sécurisation du système informatique (art. 8 nLPD),
🔔 prévoir la notification sans délai au Préposé fédéral à la protection des données et à la transparence tout traitement non autorisé ou toute perte de donnée personnelle (art. 22 al. 1 nLPD) puisqu’il s’agira désormais d’une obligation légale à moins que les risques pour la personne concernée ne soient pas vraisemblables.
En résumé les entreprises doivent faire un état des lieux global de la situation en matière de protection des données, évaluer les risques à l’aide de l’AIPD, sensibiliser les salariés aux enjeux de la protection des données, être transparentes, informer continuellement les personnes concernées en cas de traitements de données, s’assurer de la sécurité de leurs systèmes informatiques, revoir leurs contrats, établir un registre des activités, établir des procédures internes en cas de pertes ou de fuites de données et collaborer avec les autorités en matière de protection des données.
Conclusion
Au vu de ce qui précède, la révision de la LPD était nécessaire pour plusieurs raisons. D’une part, elle permettra une meilleure sécurité et une meilleure protection des individus et de leur personnalité et d’autre part, elle permettra aux entreprises de mieux tirer profit de leurs traitements de données et d’être en meilleure conformité avec les différentes organisations internationales et avec l’UE.
Aussi, la nLPD reste bien moins contraignante que le RGPD.
Les entreprises suisses gardent alors une certaine souplesse dans leur activité par rapport à leurs voisins européens, dans le cas où leur activité ne comporte pas de caractère extraterritorial.
Partant, toute entreprise a le devoir de se tenir informée des modifications à venir et de s’y conformer. Aussi, la mise en conformité peut être d’une certaine ampleur pour certaines entreprises. Celles-ci ne doivent alors pas hésiter à faire appel à des experts en informatique ou à des avocats.
Cette note ne constitue pas une consultation juridique, elle a simplement vocation à vous tenir informé(es) du droit positif.
N’hésitez pas à nous solliciter nous serons heureux d’aborder ce thème avec vous et de répondre à vos questions afin de définir et déterminer avec vous un accompagnement sur-mesure.