Quels changements la loi révisée sur la protection des données implique-t-elle?
Nouveau champ d’application
La loi révisée sur la protection des données se limite à la protection des données des personnes physiques et n’inclut plus les données des personnes morales.
Extension des données sensibles et inclusion du terme «profilage»
Selon l’ancienne loi, les opinions ou activités religieuses, philosophiques, politiques et syndicales, la santé, la sphère intime, l’appartenance à une race, les mesures d’aide sociale, ainsi que les poursuites et sanctions administratives ou pénales, sont protégées. Avec la loi révisée, les données biométriques (empreintes digitales, scan de l’iris) et les données de profilage sont également considérées comme des données sensibles. Le «profilage» désigne le traitement automatisé de données personnelles dans le but d’analyser et de prédire des aspects personnels d’une personne physique.
Prise en compte dans la loi du principe de «privacy by design» et de «privacy by default»
Dans le cadre du principe de «privacy by design», des principes de conception et d’architecture respectueux de la protection des données sont appliqués dès le départ afin de garantir la protection de la vie privée des utilisateurs. L’objectif est de minimiser d’emblée les risques liés à la protection des données. Le principe du «privacy by default» garantit que des paramètres et fonctions respectueux de la protection des données sont appliqués par défaut lors du développement de systèmes et d’applications. La vie privée des utilisateurs est ainsi protégée dès le départ et ils peuvent décider eux-mêmes activement s’ils souhaitent divulguer davantage de données.
Développement du devoir d’informer
Les entreprises doivent informer les personnes concernées à l’avance de la collecte de leurs données personnelles. Cela ne s’applique plus seulement aux données «sensibles», mais à toutes les données personnelles. Les personnes concernées peuvent ainsi faire valoir leurs droits. L’entreprise doit communiquer à la personne concernée les catégories de données personnelles traitées, sauf si les données sont collectées directement auprès de la personne concernée. Si des données sont transmises à l’étranger, l’entreprise doit informer la personne concernée de l’État ou de l’organisme international auquel les données ont été envoyées. Pour satisfaire à cette obligation d’information, les données peuvent p. ex. être fournies de manière proactive et facilement accessible via le site web de l’entreprise.
Obligation de documentation
Les entreprises doivent non seulement documenter la collecte des données, mais également tenir un registre de l’ensemble des processus de traitement des données, contenant toutes les informations pertinentes sur les données personnelles traitées. Pour ce faire, il faut indiquer l’identité du responsable, la finalité du traitement, ainsi que les catégories de personnes concernées, les données personnelles traitées, les destinataires, la durée de conservation et les mesures prises pour assurer la sécurité des données. Si les données sont transférées à l’étranger, l’État et les garanties de protection des données doivent en outre être indiqués.
Notification en cas de violation de la sécurité des données
Les violations de la sécurité des données doivent, dans certaines circonstances, être signalées au Préposé fédéral à la protection des données et à la transparence (PFPDT).
Évaluation des conséquences de la protection des données
Les entreprises doivent désormais réaliser une analyse d’impact de la protection des données, sous forme écrite, dès lors que le traitement des données présente un risque élevé pour les droits et libertés des personnes concernées et qu’il n’existe pas de motif d’exception.
Renforcement des sanctions
En cas de non-respect de la législation sur la protection des données, des sanctions et des amendes pouvant aller jusqu’à 250 000 francs sont prévues. Le PFPDT peut ouvrir une procédure d’enquête et rendre des décisions. En outre, des actions civiles sont également possibles. Les autorités cantonales de poursuite pénale sont compétentes pour la mise en œuvre des sanctions.
Important
Les amendes et les sanctions s’adressent aux personnes physiques (et non aux personnes morales). Il s’agit notamment de cadres dirigeants tels que le CEO ou le CFO, mais aussi de spécialistes sans fonction de direction, comme les responsables de la protection des données. Les entreprises ne peuvent pas s’assurer contre cela. Si une personne physique au sein d’une entreprise enfreint la LPD révisée, des sanctions seront prises à son encontre.
Cliquez ici pour accéder à la loi officielle sur la protection des données: admin.ch