Lors de sa séance d’aujourd’hui, le Conseil fédéral a décidé que la loi sur la protection des données entièrement révisée entrerait désormais en vigueur le 1er septembre 2023.
Le 25 septembre 2020, les deux chambres du Parlement ont approuvé le projet de révision totale de la loi sur la protection des données (LPD). Le délai de référendum était arrivé à échéance sans avoir été utilisé. La prochaine étape consiste à élaborer les ordonnances et à les mettre en consultation.
A l’avenir, des amendes d’un montant maximal de 250 000 CHF pourront être prononcées à l’encontre de personnes privés sur plainte pour:
- renseignements faux ou incomplets
- Violation de l’obligations d’information
- Avoir confié le traitement de données personnelles à un sous-traitant sans que les conditions de la loi soit remplies
- Transmission non autorisée à l’étranger
- Non-respect des exigences minimales en matière de sécurité des données
- Violation du devoir de confidentialité
- Violation des obligations de procédure envers le Préposé fédéral à la protection des données et à la transparence (PFPDT).
- Toutefois, le délit devra être fait de manière intentionnelle. Agir par négligence ne sera pas punissable.
Lorsque l’amende entrant en ligne de compte ne dépasse pas 50 000 francs et que l’enquête rendrait nécessaire à l’égard des personnes punissables des mesures d’instruction hors de proportion avec la peine encourue, l’autorité peut renoncer à poursuivre ces personnes et condamner l’entreprise au paiement de l’amende à leur place.
Que faut-il faire alors jusqu’à l’entrée en vigueur de la LPD révisée ? La liste ci-dessous doit aider à poser à temps les jalons nécessaires, de l’analyse de la situation actuelle à la mise en œuvre d’un plan de mesures
Actions préparatoires
- Nommer la ou les personnes compétentes (internes/externes) pour les adaptations à la nouvelle loi sur la protection des données.
- Planification du temps et du budget
Relevé du statu quo (analyse de l’état actuel) et des besoins d’adaptation (état souhaité)
- Elaborer une liste des activités de traitement si le seuil minimal de 250 collaborateurs est atteint.
- Identifier les données personnelles sensibles et vérifier la légalité de leur traitement.
- Vérifier s’il existe un profilage à haut risque et, dans l’affirmative, contrôler la légalité de leur traitement.
- S’assurer du respect des principes de protection des données lors du traitement des données personnelles (légalité, bonne foi, proportionnalité, finalité, exactitude et sécurité des données).
- Assurer l’obligation d’information généralisée (adaptation de la déclaration de protection des données, des conditions générales).
- Réglementer les cas particuliers de l’obligation d’information en cas de décision individuelle automatisée.
- Garantir les droits des personnes concernées (droit d’accès, d’effacement, de blocage, d’opposition, de portabilité des données, etc.)
- Déterminer et documenter les délais d’effacement ainsi que la procédure de mise en ouevre
- En cas de recours à des tiers pour le traitement des données, vérifier la conformité de l’accord avec la loi, en particulier en ce qui concerne le « droit de veto » (droit de pouvoir refuser un sous-traitant).
- Vérifier s’il y a un transfert de données vers des pays tiers et, si c’est le cas, déterminer les garanties appropriées
- Mise en œuvre de mesures techniques et organisationnelles appropriées.
- Mise en œuvre des principes privacy by design/privacy by default.
- Mise en place d’un processus en cas de violation de la protection des données.
- effectuer une analyse d’impact sur la protection des données lorsque leur traitement comporte un risque élévée
Plan de mesures
- Définir les mesures à prendre ainsi que leurs priorités
- Planification temporelle et budgétaire
- Mettre en œuvre les mesures