Loi fédérale LPD

Loi fédérale LPD

LPD | Loi fédérale sur la protection des données

Le 25 septembre 2020, l’Assemblée Fédérale Suisse a définitivement approuvé la nouvelle loi fédérale sur la protection des données (LPD) et l’Ordonnance sur la protection des données (OPDa), qui entreront en vigueur le 1er septembre 2023.

LPD | Loi fédérale sur la protection des données

Les nouveautés et les instituts prévus par la loi

Champs d'application

La loi sur la protection des données s'applique à tous les cas de figure (lire traitement des données) ayant des effets en Suisse, même s'ils se produisent à l'extérieur du territoire de la Confédération.

Profilage

Le profilage à haut risque offre une protection spéciale aux citoyens suisses contre certains types de profilage automatisé présentant des risques élevés pour la personnalité ou les droits fondamentaux.

Consentement

Le consentement explicite des personnes concernées est requis lorsque le traitement concerne:
- des données méritant une attention particulière
- profilage à haut risque
- profilage effectué par un organisme fédéral.

Sécurité des données personnelles

La sécurité doit être ajustée en fonction des risques afin d'éviter la violation de données. Le Conseil fédéral édictera des dispositions sur les mesures de sécurité minimales.

Consultant en protection des données

Les responsables du traitement privés peuvent désigner un consultant en protection des données (CPD), dénommé Délégué à la protection des données (DPO) dans le RGPD.

Registre des activités de traitement

Le responsable du traitement et le sous-traitant tiennent un registre de leurs activités respectives dans lequel ils indiqueront la finalité du traitement, les catégories de personnes concernées et d'autres informations pertinentes.

Notification de violation de la sécurité des données

Le responsable du traitement doit notifier dans les meilleurs délais au PFPDT toute atteinte à la sécurité des données impliquant un risque élevé pour la personnalité et les droits fondamentaux de la personne.

Traitement des données par les sous-traitants

Si le responsable du traitement confie contractuellement le traitement à une autre personne, celle-ci ne peut effectuer de traitement autre que ce qui a été convenu, il doit garantir la sécurité des données à caractère personnel.

Obligation de représentation pour les entreprises européennes et non-UE

Les entreprises européennes et non européennes qui n'ont pas de siège ni de domicile en Suisse mais qui traitent les données des citoyens suisses doivent désigner un représentant dans la Confédération suisse.

Droit de la personne concernée

Les parties intéressées ont le droit d'obtenir des informations sur la collecte de données. La loi a introduit le droit à la portabilité des données par l'intéressé.

Analyse d'impact sur la protection des données

Dans certains cas, le responsable doit effectuer une analyse d'impact sur la protection des données (DPIA | Data Protection Impact Assessment).

Sanctions

La loi a renforcé les pouvoirs du PFPDT avec la possibilité d'ouvrir des enquêtes avec de larges pouvoirs. Seules les personnes physiques peuvent être sanctionnées, les entreprises uniquement pour des cas bien définis.

Champs d'application

La loi sur la protection des données s'applique à tous les cas de figure (lire traitement des données) ayant des effets en Suisse, même s'ils se produisent à l'extérieur du territoire de la Confédération.

Profilage

Le profilage à haut risque offre une protection spéciale aux citoyens suisses contre certains types de profilage automatisé présentant des risques élevés pour la personnalité ou les droits fondamentaux.

Consentement

Le consentement explicite des personnes concernées est requis lorsque le traitement concerne:
- des données méritant une attention particulière
- profilage à haut risque
- profilage effectué par un organisme fédéral.

Sécurité des données personnelles

La sécurité doit être ajustée en fonction des risques afin d'éviter la violation de données. Le Conseil fédéral édictera des dispositions sur les mesures de sécurité minimales.

Consultant en protection des données

Les responsables du traitement privés peuvent désigner un consultant en protection des données (CPD), dénommé Délégué à la protection des données (DPO) dans le RGPD.

Registre des activités de traitement

Le responsable du traitement et le sous-traitant tiennent un registre de leurs activités respectives dans lequel ils indiqueront la finalité du traitement, les catégories de personnes concernées et d'autres informations pertinentes.

Notification de violation de la sécurité des données

Le responsable du traitement doit notifier dans les meilleurs délais au PFPDT toute atteinte à la sécurité des données impliquant un risque élevé pour la personnalité et les droits fondamentaux de la personne.

Traitement des données par les sous-traitants

Si le responsable du traitement confie contractuellement le traitement à une autre personne, celle-ci ne peut effectuer de traitement autre que ce qui a été convenu, il doit garantir la sécurité des données à caractère personnel.

Obligation de représentation pour les entreprises européennes et non-UE

Les entreprises européennes et non européennes qui n'ont pas de siège ni de domicile en Suisse mais qui traitent les données des citoyens suisses doivent désigner un représentant dans la Confédération suisse.

Droit de la personne concernée

Les parties intéressées ont le droit d'obtenir des informations sur la collecte de données. La loi a introduit le droit à la portabilité des données par l'intéressé.

Analyse d'impact sur la protection des données

Dans certains cas, le responsable doit effectuer une analyse d'impact sur la protection des données (DPIA | Data Protection Impact Assessment).

Sanctions

La loi a renforcé les pouvoirs du PFPDT avec la possibilité d'ouvrir des enquêtes avec de larges pouvoirs. Seules les personnes physiques peuvent être sanctionnées, les entreprises uniquement pour des cas bien définis.