Que faut-il faire jusqu’à l’entrée en vigueur de la LPD révisée le 1er septembre 2023 ?

Août 31, 2022

Lors de sa séance d’aujourd’hui, le Conseil fédéral a décidé que la loi sur la protection des données entièrement révisée entrerait désormais en vigueur le 1er septembre 2023.

Le 25 septembre 2020, les deux chambres du Parlement ont approuvé le projet de révision totale de la loi sur la protection des données (LPD). Le délai de référendum était arrivé à échéance sans avoir été utilisé. La prochaine étape consiste à élaborer les ordonnances et à les mettre en consultation.

A l’avenir, des amendes d’un montant maximal de 250 000 CHF pourront être prononcées à l’encontre de personnes privés sur plainte pour:

  • renseignements faux ou incomplets
  • Violation de l’obligations d’information
  • Avoir confié le traitement de données personnelles à un sous-traitant sans que les conditions de la loi soit remplies
  • Transmission non autorisée à l’étranger
  • Non-respect des exigences minimales en matière de sécurité des données
  • Violation du devoir de confidentialité
  • Violation des obligations de procédure envers le Préposé fédéral à la protection des données et à la transparence (PFPDT).
  • Toutefois, le délit devra être fait de manière intentionnelle. Agir par négligence ne sera pas punissable.

Lorsque l’amende entrant en ligne de compte ne dépasse pas 50 000 francs et que l’enquête rendrait nécessaire à l’égard des personnes punissables des mesures d’instruction hors de proportion avec la peine encourue, l’autorité peut renoncer à poursuivre ces personnes et condamner l’entreprise au paiement de l’amende à leur place.

Que faut-il faire alors jusqu’à l’entrée en vigueur de la LPD révisée ? La liste ci-dessous doit aider à poser à temps les jalons nécessaires, de l’analyse de la situation actuelle à la mise en œuvre d’un plan de mesures

 

Actions préparatoires

  • Nommer la ou les personnes compétentes (internes/externes) pour les adaptations à la nouvelle loi sur la protection des données.
  • Planification du temps et du budget

 

Relevé du statu quo (analyse de l’état actuel) et des besoins d’adaptation (état souhaité)

  • Elaborer une liste des activités de traitement si le seuil minimal de 250 collaborateurs est atteint.
  • Identifier les données personnelles sensibles et vérifier la légalité de leur traitement.
  • Vérifier s’il existe un profilage à haut risque et, dans l’affirmative, contrôler la légalité de leur traitement.
  • S’assurer du respect des principes de protection des données lors du traitement des données personnelles (légalité, bonne foi, proportionnalité, finalité, exactitude et sécurité des données).
  • Assurer l’obligation d’information généralisée (adaptation de la déclaration de protection des données, des conditions générales).
  • Réglementer les cas particuliers de l’obligation d’information en cas de décision individuelle automatisée.
  • Garantir les droits des personnes concernées (droit d’accès, d’effacement, de blocage, d’opposition, de portabilité des données, etc.)
  • Déterminer et documenter les délais d’effacement ainsi que la procédure de mise en ouevre
  • En cas de recours à des tiers pour le traitement des données, vérifier la conformité de l’accord avec la  loi, en particulier en ce qui concerne le « droit de veto » (droit de pouvoir refuser un sous-traitant).
  • Vérifier s’il y a un transfert de données vers des pays tiers et, si c’est le cas, déterminer les garanties appropriées
  • Mise en œuvre de mesures techniques et organisationnelles appropriées.
  • Mise en œuvre des principes privacy by design/privacy by default.
  • Mise en place d’un processus en cas de violation de la protection des données.
  • effectuer une analyse d’impact sur la protection des données lorsque leur traitement comporte un risque élévée

 

Plan de mesures

  • Définir les mesures à prendre ainsi que leurs priorités
  • Planification temporelle et budgétaire
  • Mettre en œuvre les mesures
Edith Luginbühl

Assistante

Edith Luginbühl est une assistante engagée et expérimentée avec plus de 50 ans d'expérience professionnelle. Sa carrière professionnelle a commencé par une formation commerciale dans une grande banque et l'a menée dans différents secteurs, dont la restauration, l'hôtellerie, la location de voitures, les agences de voyage et la rédaction de journaux. Parmi ses points forts, on peut citer son caractère aimable et professionnel, sa fiabilité ainsi que son sens aigu du détail.

Alex Wild

L'étudiant

Alexander Wild a commencé ses études de droit à l'Université de Zurich en 2019. Avant et pendant ses études, il a déjà pu acquérir une première expérience dans un département de compliance d'une banque, a travaillé en tant que support informatique ainsi que dans un département juridique d'une entreprise pharmaceutique active au niveau international. Ses activités comprenaient entre autres la vérification/le respect des instructions bancaires, des sanctions, des clients et du risque pays ; l'évaluation du risque client général pour la banque ; le support Wet Ink ainsi que le support dans l'optimisation des processus de signature de contrats. Depuis 2022, il travaille comme assistant juridique chez Balthasar Legal AG et LR | Rechtsanwälte. Il devrait terminer ses études de master en 2025.

Sangmo Agontsang

Paralegal

Sangmo Agontsang a obtenu son diplôme d'économiste à la Kaderschule de Zurich en 2012. Après l'obtention de son diplôme, elle a travaillé comme assistante du CEO, notamment pour Freitag lab ag et CBM Suisse. Elle a en outre acquis de l'expérience dans l'organisation de la Kaderschule Zürich et a travaillé pendant trois ans dans le département Intellectual Property de Freitag lab ag. Elle y a travaillé au niveau international avec une équipe d'avocats pour défendre les droits de l'entreprise. Depuis 2022, elle travaille comme parajuriste chez Balthasar Legal AG.

Markus Bruggmann

MLaw Conseiller principal

MLaw Markus Bruggmann a terminé ses études de droit à l'Université de Zurich en 2013. Depuis, il a travaillé entre autres pour une banque, un cabinet d'avocats d'affaires et une compagnie d'assurance, où il s'est spécialisé dans le conseil ainsi que dans la vérification et la rédaction de contrats dans les domaines du droit de la communication et de la technologie (protection des données), en tenant compte du droit de la responsabilité civile et de la propriété intellectuelle. Parmi ses points forts figurent ses capacités d'analyse et sa vaste expérience.