Actualités

- Politique économique - Sandrine Hanhardt Redondo

La nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023

Le Conseil fédéral a enfin fixé l’entrée en vigueur au 1er septembre 2023 de la loi sur la protection des données (LPD), totalement révisée, ainsi que des dispositions d’exécution que sont les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) (communiqué du 31 août 2022).

Un an, c’est désormais le délai laissé aux entreprises pour se conformer aux nouvelles exigences légales. Ce processus d’adaptation pouvant prendre plusieurs mois, les entreprises seraient bien avisées de s’y prendre suffisamment tôt. Il s’agira en effet d’identifier les potentielles activités de traitement concernées, d’analyser le statut actuel de l’entreprise et d’identifier les écarts de conformité avec le nouveau droit, d’établir un plan d’action pour mettre en place les nouvelles dispositions légales et notamment les registres des actions de traitement et de contrôler ensuite que la mise en place des outils a bien été faite. Les entreprises qui respectent déjà le RGPD seront avantagées dans ce processus.

Voici un rappel des changements les plus importants :

Principes généraux : Le traitement de données doit respecter les principes de licéité, de bonne foi, de transparence, de finalité, de minimisation des données et d’exactitude. Les exigences sur le consentement, qui peut ensuite être retiré, sont renforcées. La LPD limite son champ d’application aux données des personnes physiques uniquement.

Données sensibles : la révision élargit la liste des données sensibles qui sont soumises à des exigences légales supplémentaires en matière de consentement ou de divulgation à des tiers notamment (p. ex : données sur la santé). Le profilage à risque élevé, dont la définition doit encore être précisée, est spécifiquement règlementé par la loi.

Nouveaux droits aux personnes dont les données sont traitées : les personnes concernées auront droit d’accéder à leurs données (et notamment d’en demander des copies) ainsi que d’en exiger la rectification ou l’effacement (« droit à l’oubli »). Le droit à la portabilité des données est introduit.

Nouvelles exigences pour l’auteur du traitement : la LPD impose de mettre en œuvre des mesures techniques et organisationnelles, d’appliquer les principes de protection des données dès la conception (privacy by design) et de tenir un registre du traitement des données. Toute violation grave de la protection des données devra être annoncée et les responsables de traitement privés peuvent nommer un conseiller à la protection des données (DPO).



Sandrine Hanhardt Redondo,
Responsable politique droit économique et des sociétés

Partager :