Loi suisse révisée sur la protection des données — prochaines étapes

L'administration fédérale a annoncé qu'une loi révisée sur la protection des données entrera très probablement en vigueur le 1er septembre 2023. La décision finale sur l'entrée en vigueur sera prise par le Conseil fédéral.

 

La LPD révisée ne remplace pas la loi suisse existante sur la protection des données, mais l'adapte. Elle garantit que le "principe de base" de la Suisse en matière de confidentialité des données reste intact mais sera conforme au Règlement général européen sur la protection des données (RGPD). 

 

La LPD révisée vise à harmoniser le droit suisse avec le Règlement général européen sur la protection des données, qui est entré en vigueur le 25 mai 2018, et donc à rester adéquate au regard du RGPD. La décision d'adéquation correspondante qui doit être renouvelée par la Commission européenne est toujours en attente. La Suisse va donc boucler la boucle entre la LPDF existante et la loi révisée pour correspondre au RGPD. 

 

La loi révisée introduira plusieurs réformes en matière de protection des données, notamment : 

 

• Droit à la transparence
• Droit à la portabilité des données, 
• L'instauration d'un "droit à l'oubli".
• Registres des activités de traitement
• Obligation de notification des violations de la protection des données (sécurité des données)
• Le RGPD révisé s'appliquera à tout futur règlement européen sur la protection des données

 

La nouvelle loi sur la protection des données aidera les entreprises Suisse et des autres États membres à transférer librement des données dans les limites des réglementations suisse et européenne. Elle permettra également aux entreprises suisses de proposer leurs services dans d'autres États membres, renforçant ainsi le marché intérieur au sein de l'UE.

 

La LPFD suisse révisée introduira des règles pénales liées à des amendes personnelles pouvant aller jusqu'à 250 000 CHF, similaires à celles du GDPR en cas de non-conformité, mais adressées aux personnes physiques là où le GDPR tient les entreprises pour responsables. Elle impliquera un processus d'évaluation des risques, une procédure de notification et de réponse, des dommages et intérêts, des droits pour les personnes concernées, des sanctions et un mécanisme de décision contraignant.  

 

Non seulement une personne physique peut être condamnée à une amende, mais elle peut également être pénalisée pour défaut de conformité. Les entreprises peuvent choisir de faire appel à un prestataire de services pour les aider à se conformer à la loi. Elle peut obliger les entreprises à mettre en place un délégué à la protection des données, peut nommer un responsable de la protection des données. 

 

La LPFD deviendra directement applicable en Suisse dès sa publication. Cependant, le GDPR reste directement applicable en Suisse même après l'entrée en vigueur de la nouvelle LPFD, comme c'est le cas pour la LPFD révisée pour les entreprises étrangères qui font des affaires mais n'ont pas de domicile en Suisse. Ainsi, les entreprises doivent continuer à se conformer au GDPR. Les entreprises qui sont soumises au GDPR doivent déterminer si elles sont également soumises à la LDFP, auquel cas elles devront se conformer aux deux ensembles de règles.

 

Source : https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/datenschutzstaerkung.html