L’entrée en vigueur de la nouvelle loi suisse sur la protection des données se rapproche - et ensuite ?

Notre CISO répond aux questions les plus fréquentes.

La révision de la loi suisse sur la protection des données modifie d'importantes dispositions relatives au traitement des données personnelles. Les entreprises doivent respecter des règles plus strictes et adapter les directives et déclarations de confidentialité existantes d'ici son entrée en vigueur. Nous nous sommes entretenus à ce sujet avec notre CISO, Michael Ruppe.

Michael, pourquoi une nouvelle loi sur la protection des données (nLPD) est nécessaire en Suisse ?

Une réponse courte à cette question est que nous vivons dans une société totalement digitalisée. La première version de la loi sur la protection des données actuellement en vigueur n'est plus adaptée à notre temps et remonte à une époque où Google et les smartphones ne jouaient pas encore un rôle aussi important. Le moment est donc venu de l'adapter à la situation actuelle.

Quand la nouvelle loi sur la protection des données (nLPD) entrera-t-elle en vigueur ?

Au 1er septembre 2023 sans période transitoire.

À quelles données la nouvelle loi fait-elle référence ?

La nLPD met l'accent sur la transparence en matière de traitement des données et sur les droits des personnes concernées. Il s'agit donc en particulier de données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, telle que son nom, son adresse, sa date de naissance ou son adresse IP.

Que se passe-t-il si les règles relatives à la protection des données ne sont pas respectées ?

C’est une question clé. En effet, dans la nouvelle loi sur la protection des données, la responsabilité ne repose plus uniquement sur l'entreprise mais également sur les individus, c'est-à-dire ici les dirigeants en fonction. En cas de violation intentionnelle de la nLPD, par exemple en cas de violation de l'obligation d'informer, de renseigner, de collaborer ou de faire preuve de diligence, les particuliers peuvent être sanctionnés d'une amende pouvant atteindre 250 000 CHF.

Ainsi, en fonction des postes, les modifications apportées à la loi entraînent de nouveaux défis qui demandent d’élaborer de nouvelles pistes de résolution. Découvrez en plus ici.

Concernant la mise en œuvre de la nLPD, quel est le point le plus délicat ?

Actuellement, il n'existe pas encore de solution idéale et définitive pour le traitement des données personnelles présentes dans les sauvegardes. En cas de demande d'effacement, garantir à la fois une utilisation appropriée des sauvegardes tout en respectant l'exigence d'effacement des données représente certainement un défi majeur. Tant que cette question n'aura pas été juridiquement résolue de façon irréfutable, il s'agira de l'un des points les plus délicats en termes de mise en œuvre.

La nLPD suisse exige-t-elle l’affichage de bannières relatives aux cookies ?

La nouvelle loi sur la protection des données n'exige pas de bannière d’information sur les cookies. Mais attention, si l'entreprise est également soumise au RGPD, les directives européennes concernant les bannières de cookies s'appliquent.

La protection des données est-elle synonyme de sécurité des données ?

Non, il s’agit de deux sujets distincts. En matière de protection des données, la question centrale est la suivante : « Ai-je le droit de collecter et de traiter ces données à caractère personnel ? » Dans le domaine de la sécurité des données, l'accent est davantage mis sur la question suivante : « Comment puis-je protéger l'accès de données contre des personnes non autorisées ? » À cela s'ajoute le principe de « Privacy by Design » selon lequel le traitement des données doit être conçu, sur le plan technique et organisationnel, dès la phase de planification, de manière à respecter les prescriptions en matière de protection des données.

Et pour finir : Avez vous un conseil personnel à donner par rapport à l’introduction de la nLPD ?

Une bonne planification de la mise en oeuvre, car le statut de conformité totale avec les nouvelles exigences légales ne s’atteint pas du jour au lendemain. Cela signifie également que, dans l'idéal, il faudrait déjà avoir démarré la phase de mise en œuvre des premières mesures.