La nouvelle loi suisse sur la protection des données 2023 s’applique depuis début septembre et ne concerne pas seulement les entreprises, mais aussi les associations et les particuliers qui traitent des données personnelles. En tant que fournisseur d’hébergement web suisse, cette nouvelle loi sur la protection des données concerne une grande partie de nos clients chez FireStorm. C’est pourquoi nous voulons te donner dans l’article d’aujourd’hui un aperçu bref mais en même temps aussi complet que possible des nouvelles réglementations en matière de protection des données. Nous n’abordons pas seulement les modifications apportées par la révision totale de la loi sur la protection des données (LPD), mais aussi le nouveau règlement sur la protection des données (RPD) ainsi que la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD). Bien entendu, cet article ne constitue pas un conseil juridique et sert uniquement de première information. – Nous te souhaitons beaucoup de plaisir à la lecture de cet article !

Le 1er septembre 2023, la nouvelle loi suisse sur la protection des données, que nous te présentons plus en détail dans cet article, entrera en vigueur.

Quelques informations générales sur la nouvelle loi suisse sur la protection des données 2023

Lors de sa réunion du 31 août 2022, le Conseil fédéral suisse a décidé de l’entrée en vigueur de la nouvelle loi suisse sur la protection des données en 2023. Par conséquent, non seulement la loi sur la protection des données (LPD) totalement révisée et la nouvelle ordonnance sur la protection des données (OPD), mais aussi la nouvelle ordonnance sur les certifications en matière de protection des données (OCPD) devraient être applicables à partir du 1er septembre 2023. La raison en est avant tout une meilleure protection des données personnelles ainsi que l’autodétermination sur les données personnelles. En outre, la transparence lors de la collecte de données personnelles a également été citée comme raison. Pour garantir tout cela, la protection des données doit être adaptée aux évolutions technologiques – comme l’a écrit le gouvernement suisse dans son communiqué de presse du 31 août 2022.

To whom does the new Swiss Data Protection Act apply?

Les organes fédéraux ainsi que les particuliers qui traitent des données personnelles sont concernés par la nouvelle loi sur la protection des données en Suisse. Outre les entreprises privées et les associations, il peut donc également s’agir de personnes privées. Pour l’application de la loi sur la protection des données 2023, peu importe que tu gères ton site web à titre privé ou commercial. Car en règle générale, tu traiteras des données personnelles, c’est-à-dire des données qui se rapportent à une personne physique identifiée ou identifiable. (Le mot “traitement” englobe un large spectre et va de la collecte à l’enregistrement, en passant par l’utilisation, la modification et la suppression de données.

La nouvelle loi suisse sur la protection des données 2023 s’applique aussi bien aux entreprises et aux autorités qu’aux associations et aux particuliers qui traitent des données personnelles.

Qu’est-ce qui a changé dans la nouvelle loi suisse sur la protection des données 2023 ?

Les principes du traitement des données restent pour la plupart inchangés. Ils exigent que les données ne soient utilisées qu’aux fins prévues et ne soient traitées que de manière légale et proportionnée. Dans ce contexte, certains manquements aux obligations du droit de la protection des données peuvent désormais faire l’objet de poursuites pénales. Toutefois, ce n’est pas l’entreprise, mais la personne physique responsable qui est punie d’une amende pouvant aller jusqu’à 250 000 CHF. Pour le reste, la nouvelle loi suisse sur la protection des données 2023 comporte des obligations connues, d’autres actualisées et d’autres encore nouvelles. Nous avons rassemblé ci-dessous quelques-unes des obligations les plus importantes :

Aperçu des obligations importantes découlant de la nouvelle loi suisse sur la protection des données 2023 :

• Toutes les données personnelles doivent être rendues anonymes ou supprimées lorsqu’elles ne sont plus nécessaires au but initial du traitement.
• Les entreprises de plus de 250 employés doivent tenir un inventaire de tous les traitements de données, tandis que les entreprises plus petites en sont généralement exemptées.
• Les utilisateurs doivent être informés de l’étendue et de la finalité du traitement des données par une déclaration de confidentialité facilement accessible et actualisée sur le site web, sans être obligés de l’accepter.
• Un contrat de traitement des données de commande devrait être conclu avec les fournisseurs d’hébergement web tels que FireStorm, qui traitent les données personnelles pour le compte du responsable du traitement.
• Pour garantir la sécurité des données personnelles, seules les personnes autorisées devraient y avoir accès, des mesures techniques et organisationnelles devraient être prises et les systèmes techniques devraient être à jour.
• Les violations de la confidentialité, de l’intégrité ou de la disponibilité des données personnelles doivent être annoncées au Préposé fédéral à la protection des données et à la transparence (PFPDT).
• La communication de données à l’étranger nécessite des mesures de protection des données appropriées, que les exploitants de sites web devraient vérifier auprès des fournisseurs à l’étranger avant de les utiliser.
• Les personnes dont les données sont traitées ont le droit (avec quelques restrictions) d’accéder à leurs données, de les corriger et de les supprimer, l’accès devant être gratuit dans un délai de 30 jours.
• En cas de traitement de données avec consentement volontaire, la personne concernée doit être informée des conséquences, les données personnelles sensibles nécessitant un consentement explicite.
• Les dispositions relatives à la protection des données doivent être techniquement et organisationnellement conformes à la législation sur la protection des données et être mises à disposition avec des paramètres par défaut favorables à la protection des données.
• Des conseillers à la protection des données peuvent être nommés volontairement sous le nouveau droit de la protection des données et les responsables ayant leur siège à l’étranger doivent parfois désigner un représentant en Suisse.

La loi suisse sur la protection des données impose toute une série d’obligations, dont beaucoup sont extrêmement importantes pour les exploitants de sites web.

Plus d’informations et mise en œuvre de la nouvelle loi sur la protection des données 2023

Comme tu n’as que jusqu’au 1er septembre 2023 pour mettre en œuvre la nouvelle loi suisse sur la protection des données, tu devrais commencer à le faire rapidement. Dans de nombreux cas, il est judicieux de demander une assistance juridique – surtout si tu n’es pas sûr de toi. Pour que tu puisses obtenir toi-même quelques informations supplémentaires, nous avons réuni ici les liens les plus importants :

Communiqué de presse du Conseil fédéral suisse

Loi fédérale sur la protection des données (LPD)

Ordonnance sur la protection des données (OPD)

Ordonnance sur les certifications en matière de protection des données (OCPD)