La Loi fédérale sur la protection des données (LPD) est le texte législatif suisse qui encadre le traitement des données personnelles. Son objectif principal est de protéger la vie privée des individus en garantissant que leurs données personnelles sont traitées de manière licite, transparente et sécurisée. La version révisée de la LPD est entrée en vigueur le 1er septembre 2023, adaptant la législation suisse aux avancées technologiques et aux normes internationales, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne, bien que la LPD reste moins contraignante sur certains points.

Points clés de la nouvelle LPD

Voici un résumé des aspects essentiels de la LPD :

• Champ d'application réduit aux personnes physiques : Contrairement à l'ancienne version, la nouvelle LPD ne protège que les données des personnes physiques. Les données des personnes morales (entreprises, associations, etc.) ne sont plus couvertes.

• Définition élargie des données sensibles : La LPD renforce la protection de certaines catégories de données. Outre les données de santé, les opinions politiques ou religieuses, elle inclut désormais les données génétiques et biométriques comme des données sensibles, nécessitant une protection accrue.

• Principes fondamentaux maintenus et renforcés :

  • Licéité : Le traitement des données doit toujours reposer sur une base légale (consentement, loi, intérêt légitime prépondérant).

  • Bonne foi : Le traitement doit être effectué de manière transparente et loyale envers les personnes concernées.

  • Proportionnalité : Seules les données strictement nécessaires à la finalité du traitement doivent être collectées et utilisées.

  • Finalité : Les données ne peuvent être collectées que pour des finalités spécifiques et clairement définies, et tout traitement ultérieur doit être compatible avec ces finalités.

  • Exactitude : Les données traitées doivent être exactes et à jour.

• "Privacy by Design" et "Privacy by Default" : Ces principes sont introduits, exigeant que la protection des données soit intégrée dès la conception des systèmes et applications (Privacy by Design) et que les paramètres par défaut garantissent le niveau de protection le plus élevé (Privacy by Default).

• Devoir d'information renforcé : Les entreprises ont une obligation plus stricte d'informer les personnes concernées sur la collecte et le traitement de leurs données personnelles.

• Droit d'accès et de portabilité : Les personnes ont le droit d'accéder à leurs données et de demander leur portabilité.

• Annonce des violations de données : En cas de violation de la sécurité des données (fuite, perte, accès non autorisé), le responsable du traitement doit informer "dans les meilleurs délais" le Préposé fédéral à la protection des données et à la transparence (PFPDT) si la violation est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

• Registre des activités de traitement : Les entreprises doivent tenir un registre de leurs activités de traitement de données, ce qui permet de démontrer leur conformité.

• Profilage : La notion de profilage (traitement automatisé de données personnelles pour évaluer certains aspects personnels) est introduite et encadrée, en particulier le "profilage à risque élevé".

• Conseiller à la protection des données (facultatif pour les privés) : Une entreprise privée peut désigner un conseiller à la protection des données, son rôle étant de conseiller et de veiller à la conformité. C'est obligatoire pour les organes fédéraux.

• Renforcement des sanctions : Les sanctions en cas de non-conformité ont été considérablement augmentées, pouvant atteindre des amendes allant jusqu'à CHF 250'000 pour certaines infractions commises intentionnellement. Le PFPDT dispose également de pouvoirs d'enquête et de décision accrus.

• Transfert de données à l'étranger : Les données personnelles ne peuvent être divulguées à l'étranger que si le pays de destination assure un niveau de protection adéquat. Des garanties supplémentaires sont nécessaires en l'absence de décision d'adéquation (clauses contractuelles types, règles d'entreprise contraignantes, etc.).

Pourquoi la LPD est-elle importante ?

La LPD vise à :

• Protéger les droits des individus : Assurer la vie privée et la maîtrise des personnes sur leurs propres données.

• Maintenir la reconnaissance d'adéquation avec l'UE : En se rapprochant du RGPD, la Suisse cherche à garantir la libre circulation des données avec l'Union européenne, évitant ainsi un désavantage concurrentiel pour les entreprises suisses.

• Responsabiliser les entreprises : Inciter les organisations à mettre en place des pratiques de gestion des données robustes et transparentes.

En somme, la LPD est une loi essentielle pour toute entité qui traite des données personnelles en Suisse, exigeant une gestion proactive et responsable des informations pour assurer la sécurité et la confidentialité des individus.