Selon le communiqué de presse du PFPDT du 23 juin 2021, la loi révisée sur la protection des données (LPD) aurait dû entrer en vigueur au cours du deuxième semestre 2022. En raison des discussions autour du projet d’ordonnance relatif à la LPD, le secteur avait toutefois escompté que la LPD révisée entrerait plutôt en vigueur le 1er janvier 2023. Le fait que la date ait été repoussée au 1er septembre 2023 a quelque peu surpris. Cela s’explique notamment par le fait que le texte de l’ordonnance a donné lieu à de nombreuses discussions et que la LPD révisée doit entrer en vigueur sans délai de transition.
L’entrée en vigueur de la LPD révisée devrait entraîner des nouveautés importantes pour les entreprises, telles que l’élaboration / l’adaptation de la déclaration de protection des données sur le site web, l’introduction de différents processus (p. ex. processus de renseignement) ou encore la tenue d’un registre des traitements pour les entreprises de plus de 250 collaborateurs. A cela s’ajoute une obligation de notification en cas de violation de la protection des données et des sanctions pouvant aller jusqu’à CHF 250’000. Le PFPDT a publié ce qu’il considère comme les principales nouveautés.
Le report de la date de l’entrée en vigueur laisse donc plus de temps à l’économie privée et aux autorités fédérales pour adapter leur traitement de données personnelles aux nouvelles dispositions. Etant donné qu’aucun délai de transition n’est prévu, il est toutefois recommandé de poursuivre les mesures nécessaires à la mise en œuvre des exigences de la LPD révisée. Ainsi, il convient de nommer la ou les personnes compétentes (internes/externes) et de planifier un calendrier et un budget. J’ai déjà résumé dans un article précédent ce qu’il faut faire concrètement jusqu’à l’entrée en vigueur de la LPD révisée.