- Politique économique - Sandrine Hanhardt Redondo
Se préparer maintenant à la nouvelle loi sur la protection des données
La révision totale de la loi fédérale sur la protection des données (LPD) devrait entrer en vigueur en 2022. Dans la pratique, les entreprises seraient bien avisées de s’y prendre suffisamment tôt, le processus d’adaptation aux nouvelles exigences légales pouvant prendre plusieurs mois. Il s’agira en effet d’identifier les potentielles activités de traitement concernées, d’analyser le statut actuel de l’entreprise et d’identifier les écarts de conformité avec le nouveau droit, d’établir un plan d’action pour mettre en place les nouvelles dispositions légales et notamment les registres des actions de traitement et de contrôler ensuite que la mise en place des outils a bien été faite. Les entreprises qui respectent déjà le RGPD seront avantagées dans ce processus.
Voici une vue d’ensemble des changements les plus importants :
Principes généraux : Le traitement de données doit respecter les principes de licéité, de bonne foi, de transparence, de finalité, de minimisation des données et d’exactitude. Les exigences sur le consentement, qui peut ensuite être retiré, sont renforcées.
Pas de protection des données des personnes morales : la LPD limite son champ d’application aux données des personnes physiques uniquement.
Données sensibles : la révision élargit la liste des données sensibles qui sont soumises à des exigences légales supplémentaires en matière de consentement ou de divulgation à des tiers notamment (p. ex : données sur la santé).
Profilage à risque élevé : ce dernier, dont la définition doit encore être précisée, est spécifiquement règlementé par la loi.
Nouveaux droits aux personnes dont les données sont traitées : les personnes concernées auront droit d’accéder à leurs données (et notamment d’en demander des copies) ainsi que d’en exiger la rectification ou l’effacement (« droit à l’oubli »). Le droit à la portabilité des données est introduit.
Nouvelles exigences pour l’auteur du traitement : la LPD impose de mettre en œuvre des mesures techniques et organisationnelles (par ex. la mise en place de concepts de protection des données), d’appliquer les principes de protection des données dès la conception (privacy by design) et de tenir un registre du traitement des données. Toute violation grave de la protection des données devra être annoncée et les responsables de traitement privés peuvent nommer un conseiller à la protection des données (DPO).