Qui est concerné par la nouvelle loi sur la protection des données ?

Tous les établissements privés ou les instances étatiques qui traitent les données personnelles d’individus sont concernés par la nouvelle LPD. Si vous gérez une entreprise, une institution ou une association qui collectent des données personnelles, vous devrez vous mettre en conformité dès septembre 2023. Les particuliers sont aussi concernés dès lors qu’ils exploitent ces données à des fins non personnelles.

La nouvelle loi LPD concerne donc tous les secteurs, que les données collectées soient utilisées pour le compte d’activités : 

• Marketing et commerciales

• Médicales et biométriques

• Contractuelles

• Transactionnelles

• Fonctionnelles

À noter : les entreprises du secteur médical et celles spécialisées dans le profilage à risque élevé devront renforcer leur niveau de cybersécurité. Consultez notre article Nouvelle LPD : qu’est-ce qui change pour les entreprises ? pour en savoir plus sur ce sujet.

Par ailleurs, la nouvelle LPD ne s’applique pas seulement aux entreprises et organisations qui siègent en Suisse. Les entreprises étrangères qui collectent et exploitent des données personnelles de citoyens suisses sont concernées par ces nouvelles obligations. Cela inclut par exemple les sociétés qui vendent des biens ou des services en Suisse.

Quelles sont les données personnelles à protéger ?

La nouvelle LPD vise à protéger la personnalité et les droits fondamentaux des personnes physiques. De ce fait, elle n’augmente pas seulement le niveau de protection des données collectées, mais elle garantit également aux individus un meilleur contrôle sur celles-ci. Les personnes physiques devront désormais être informées de la collecte de leurs données, de leur traitement et peuvent consentir ou non à leur exploitation.

Les données personnelles à protéger dans le cadre de la nouvelle LPD constituent ensuite une liste non exhaustive : 

1. 1 - Les données d’identification directe ou indirecte : nom et prénom, adresse, numéro de téléphone, e-mail, numéro de carte d’identité ou de passeport, numéro d’assuré AVS, etc.

2. 2 - Les données professionnelles : CV, fiches de salaire, évaluation des performances, etc.

3. 3 - Les données médicales : examens cliniques, résultats sanguins, ordonnances, etc.

4. 4 - Les données biométriques : ADN, données génétiques, empreintes digitales, systèmes de reconnaissance faciale, etc.

5. 5 - Les données morales : opinions ou activités politiques, religieuses, syndicales ou philosophiques.

6. 6 - Les données de localisation : tracking GPS, géolocalisation d’applications mobiles, etc.

7. 7 - Les données de comportement en ligne : habitudes d’achat, sites consultés, horodatage de sessions, interactions, etc.

Certaines informations collectées seront désormais considérées comme des données sensibles dès lors qu’elles représentent un risque pour la sécurité ou les droits de la personne. Celles-ci doivent dorénavant faire l’objet d’une sécurité renforcée pour éviter les fuites, qu’elles soient accidentelles ou intentionnelles. Elles concernent :

• Les données relatives à la santé, la génétique et biométrie.

• Les convictions religieuses, politiques, morales, syndicales, philosophiques.

• Les antécédents judiciaires, les poursuites ou sanctions pénales et administratives.

• La vie sexuelle.

• L’origine raciale ou ethnique.

• Les mesures d’aide sociale.

Comment mettre en conformité mon entreprise à la nouvelle LPD ?

Les organisations privées ou fédérales sont tenues à de nouvelles obligations dès la rentrée 2023. Parmi celles-ci : 

1. 1 - Transparence et consentement

Les entreprises doivent mettre en œuvre toutes les mesures techniques et organisationnelles pour assurer le respect des principes du traitement des données. Celles-ci ne doivent être collectées que dans des fins et des délais définis et peuvent être supprimées à tout moment. L’accès à ces données doit être limité et protégé et leur collecte doit faire l’objet du consentement éclairé et explicite de l’utilisateur. La notion de Privacy by Design et Privacy by Default est appliqué : le traitement des données personnelles doit être prévu en amont de tout projet, notamment la création de sites web ou d’outils internes.

2. 2 - Politique de confidentialité et cookies

Vos applications web doivent présenter une politique de confidentialité et de cookies à jour. Les informations collectées, ainsi que leurs finalités et leur durée de rétention, doivent être claires et détaillées. L’installation des cookies doit faire l’objet d’une bannière explicite qui permet à l’internaute d’accepter, de refuser ou de choisir distinctement les types de cookies déposés.

3. 3 - Registre des activités de traitement

Les entreprises de plus de 250 personnes doivent tenir un registre de traitement des données. Les PME sont également tenues à cette obligation si les risques d’atteinte à la personnalité des personnes concernées sont réels, notamment dans le cadre de données sensibles.

4. 4 - Communication en cas de violation de la protection des données

Si votre organisation fait face à une cyberattaque, une faille technique ou organisationnelle qui engendre la fuite de données personnelles, vous devrez en avertir le PFPDT. Le Préposé fédéral à la protection des données et à la transparence effectuera les vérifications nécessaires et vous recommandera la démarche à suivre.

5. 5 - Obligation d’informer

Les personnes physiques peuvent consulter, supprimer ou modifier à tout moment leurs informations personnelles. L’identité et les coordonnées de la personne responsable du traitement doivent être communiquées. La finalité du traitement, le destinataire, le pays et les garanties de protection des données devront être détaillés et accessibles.

6. 6 - Analyses d’impact

En cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes physiques, une analyse d’impact doit être menée.

La nouvelle LPD implique de mettre à niveau vos outils professionnels et vos plateformes. Votre CRM, ERP, votre site Web ou vos APIs exploitent peut-être des données concernées par cette nouvelle loi et nécessitent une mise en conformité. La gestion des cookies est notamment une étape primordiale pour respecter le consentement éclairé des utilisateurs. Experte en création de sites et stratégie digitale, notre équipe peut vous accompagner dans votre transformation digitale. Contactez-nous pour un audit LPD et une mise en conformité de vos outils.