MATHYS LEGAL ADVICE

View Original

La protection des données en Suisse: nouveautés

Julie Mathys

Événement de la rentrée pour toutes celles et ceux qui collectent des informations sur leurs clients ou qui ont un site Internet: depuis le 1e septembre 2023, la Suisse a une nouvelle loi sur la protection des données.

La Loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1 - LPD) a en effet été mise à jour au vu notamment de l’évolution de l’environnement digital, mais aussi du Règlement général sur la protection des données (RGPD) adopté en 2016 pour les pays de l’UE.

Alors, qu’est-ce que cette révision de la loi suisse sur la protection des données signifie concrètement? C’est ce que je vous propose de découvrir dans cet article.

Quel est le but de la loi sur la protection des données

La loi sur la protection des données a pour but d’empêcher que les données personnelles (comme leur nom, prénom, date de naissance, informations de paiement ou encore adresse IP) de vos clients ou des utilisateurs de votre site Internet, soit les données qui permettent de les identifier, soient collectées, stockées, utilisées ou divulguées sans leur accord.

Il s'agit donc de protéger la vie privée et la confidentialité de vos clients, mais aussi de leur donner les moyens de garder la maîtrise sur les données qu’ils vous confient.

Ils peuvent ainsi à tout moment vous demander quelles sont les données que vous avez en votre possession, vous demander de les les rectifier ou encore de les supprimer de vos bases de données.

Quelles sont les points les plus importants à retenir pour les indépendants ou petites entreprises

  1. La loi s’applique à vous si vous êtes basé en Suisse, mais aussi si votre entreprise se situe hors de Suisse et que vous traitez des données personnelles ayant des effets en Suisse.

  2. Depuis le 1er septembre, seules les données des personnes physiques sont couvertes par la loi.

  3. C’était déjà le cas, mais il est important de rappeler que les données d’une personne ne peuvent être collectées et traitées que dans un but déterminé. Ce but doit être indiqué ou en tout cas être reconnaissable avant leur traitement par la personne concernée. Si le but est modifié, il faut en informer les personnes concernées.

  4. Les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au traitement annoncé.

  5. On parle beaucoup de l’obligation de recevoir le consentement de la personne dont les données sont traitées depuis l’entrée en vigueur du RGPD.

    La loi suisse sur la protection des données prévoit que les personnes privées doivent recevoir le consentement exprès de la personne concernée uniquement dans les cas suivants:

    • le traitement de données personnelles dignes d’une protection spéciale

    • le traitement de données personnelles sensibles (données sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales; sur la santé, la sphère intime ou l’origine raciale ou ethnique; génétiques; biométriques; sur des poursuites ou des sanctions pénales ou administratives; sur des mesures d’aide sociale)

    • le traitement de profilage à risque élevé*

    • le transfert des données vers un pays qui n’a pas une protection adéquate selon les autorités suisses

*Profilage à risque élevé: selon la loi suisse, le profilage est toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Il est à risque élevé s’il entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, parce qu’il conduit à un rapprochement d’ensembles de données distincts (appariement de données) qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

En matière de protection des données, la transparence est de mise

En-dehors des cas indiqués un peu plus haut où votre client ou l’utilisateur de votre site Internet doit donner un consentement exprès à la collecte et au traitement de ses données, pour que la collecte et le traitement des données soient licites, il faut que:

  • la collecte ait lieu sans menace ou tromperie et que la personne concernée soit au courant de cette collecte

  • le traitement ait lieu de manière honnête, digne de confiance et prévenant ainsi que de manière proportionnée (pas de traitement superflu)

  • le but de la collecte et du traitement soit reconnaissable, soit parce qu’il est indiqué ou qu’il ressorte des circonstances

  • les données traitées soient exactes

  • la sécurité des données soit assurée

Par conséquent, il est important que vous prévoyiez une politique concernant l’utilisation des données personnelles de vos clients et utilisateurs qui indique clairement et en toute transparence, notamment:

  • dans quel but vous collectez leurs données

  • où elles sont stockées (n’oubliez pas les différents services que vous utilisez et auxquels vous transférez les données, comme les plateformes de newsletters ou de paiements)

  • comment et où ils peuvent s’adresser pour connaître les données qui sont stockées, demander une rectification ou leur suppression

  • en matière de cookies, quelles sont les données qui sont collectées grâce à eux et dans quels buts

À noter que si votre site Internet est en plusieurs langues, votre politique doit être rédigées dans toutes les langues du site Internet.

Quelques exceptions aux obligations mises en place par la loi:

  • en cas de collecte et de traitement de données personnelles pour une utilisation purement privée, vous n’avez pas à appliquer les règles décrites jusqu’ici

  • si votre entreprise emploie moins de 250 personnes, vous n’avez pas à tenir un registre des activités de traitement

Encore 2 détails qui ont leur importance

1. Obligation d’annoncer les violations au PFPDT

Si vous constatez que les données personnelles que vous avez collectées ont été violées, vous devez le signaler dans les 72 heures au Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT).

2. Sanctions en cas de violation à la loi

En cas de violation, la sanction peut aller jusqu’à CHF 250’000 pour une personne responsable. Si cette personne est difficile à identifier, l’entreprise peut être sanctionnée jusqu’à CHF 50’000.-.

Vous voulez vous assurer que votre règlement sur la politique de la protection des données respecte bien les nouvelles règles de la loi suisse sur la protection des données?

Envoyez-nous votre demande et nous nous en occuperons dans les meilleurs délais avec plaisir⤵

See this form in the original post