Révision de la loi fédérale sur la protection des données

Le 25 septembre 2020, le Conseil des Etats et le Conseil national ont adopté le projet de révision totale de la loi sur la protection des données (N-LPD). La N-LPD pourrait entrer en vigueur au plus tôt début 2022. Elle vise à prendre en compte les avancées technologiques et à renforcer la protection des données personnelles des personnes physiques. En effet, à l’exception de quelques adaptations, depuis son entrée en vigueur en 1992, la loi n’a pas subi de révisions fondamentales.

Avec la N-LPD, la loi vise à protéger la personnalité et les droits fondamentaux des personnes dont les données font l’objet d’un traitement. La protection des données intègre donc le droit pour toute personne de décider elle-même à qui, quand et lesquelles de ses données personnelles peuvent être accessibles. Selon la loi en vigueur, les personnes morales sont également concernées par la protection. En revanche, dans la N-LPD elles sortiront du cadre de la protection.

Contrairement à la LPD actuelle, la N-LPD prévoit des sanctions nettes. Les violations peuvent être ainsi punies d’une amende pouvant atteindre 250 000 CHF !

Qu’est-ce que les données personnelles ?

D’après la LPD, toutes les informations qui se rapportent à une personne identifiée ou identifiable sont des données personnelles. Selon la LPD en vigueur, les données sensibles sont les données personnelles sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, les données sur la santé, la sphère intime ou l’appartenance à une race et les données sur des poursuites ou sanctions pénales et administratives. La N-LPD élargit la liste des données considérées comme « données sensibles ». Ainsi, les données génétiques et les données biométriques (p. ex. empreintes digitales) identifiant une personne physique de façon unique sont désormais prises en compte. Les conditions pour le traitement des données sensibles sont plus strictes que pour les données personnelles. En général, les dossiers du personnel contiennent des données sensibles telles que des maladies, des sanctions pénales et administratives, etc.

À quoi faut-il veiller lors du traitement de données personnelles ?

Dans chaque entreprise, les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées. La N-LPD introduit pour la première fois dans le droit suisse une obligation d’annoncer les violations de la sécurité des données. Chaque cas d’accès non autorisé au système informatique d’une entreprise par des tiers (virus, cheval de Troie, etc.) doit être annoncé aux autorités. Le responsable de l’entreprise concernée doit annoncer au préposé fédéral à la protection des données et à la transparence (PFPDT) toute violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité des personnes concernées. Une notification rapide est nécessaire.

La loi en vigueur et la N-LPD parlent toujours de « traitement » des données. On entend par traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données.

Les principes édictés dans la LPD restent applicables au traitement des données personnelles. Ainsi, le traitement des données personnelles doit être licite, c’est-à-dire que le consentement de la personne concernée est requis. En outre, les données personnelles ne peuvent être collectées à l’insu et contre la volonté de la personne concernée. Par ailleurs, seul est autorisé le traitement des données nécessaires et appropriées pour répondre au but prévu. La collecte de données personnelles, et en particulier les finalités de leur traitement, doivent être reconnaissables pour la personne concernée.

Les principes du traitement des données restent largement inchangés dans la N-LPD. Elle prévoit cependant expressément que les données doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au but du traitement.

Même si la N-LPD ne devrait pas entrer en vigueur avant 2022, les entreprises devraient prendre par anticipation des mesures pour respecter la prochaine législation (notamment des mesures techniques et organisationnelles). Il est conseillé aux entreprises de la construction de vérifier la conformité de leurs processus de traitement des données et, si besoin, de traiter et d'adapter la documentation (par exemple les déclarations de protection des données, les contrats de travail, les dossiers du personnel, les contrats avec les partenaires commerciaux, les données sur les partenaires, les inventaires, etc.) afin de garantir la protection des données.

Comme indiqué au début de cet article, les amendes pour violation peuvent atteindre 250 000 CHF. Les entreprises qui ont déjà travaillé dans l’UE savent que ces montants sont encore modestes comparé au droit européen de la protection des données. Dans l’UE, les amendes peuvent atteindre 20 millions d’euros ou un montant correspondant à 4% du chiffre d’affaires.

En 2021, la Société Suisse des Entrepreneurs (SSE) continuera d'informer et de conseiller ses membres sur l’application concrète de cette nouvelle loi.

Vladan Lazic, service légale de la SSE

A propos de l'auteur

pic

Schweizerischer Baumeisterverband

[email protected]

Partager l'article