La nouvelle loi suisse sur la protection des données

Dans notre société actuelle, vous produisez des données en continu, ou presque. Lorsque vous présentez votre Swisspass dans les transports publics, vous payez votre repas de midi à la cantine, et même la nuit, si vous suivez votre sommeil sur votre montre connectée.

Un grand nombre de vos données sont traitées par des entreprises, à des fins très diverses. Ce n’est pas interdit en tant que tel, mais il existe des règles claires concernant les données traitables, dans quel but, et les données auxquelles on ne peut pas toucher. Ces règles sont stipulées dans la loi sur la protection des données. Le problème, c’est que la dernière version datait de 1992, avant même que le CERN n’ouvre le World Wide Web au public.

Le 25 septembre 2020, le Parlement a donc adopté une révision complète de la loi fédérale sur la protection des données (LPD). Le 31 août 2022, il a décidé que la loi entrerait en vigueur le 1er septembre 2023. Cette longue période de transition devait permettre aux entreprises d’appliquer les nouvelles directives.

Que contient la révision de la loi ?

Trois composantes principales : 1. Vos droits lorsque quelqu’un traite vos données personnelles. 2. Les obligations d’autrui lorsqu’il ou elle traite vos données personnelles. 3. Les conséquences si la personne ne respecte pas ses obligations, volontairement ou involontairement.

La LPD « protège la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement ».

Quelle est son utilité ?

En Suisse, nous avons ce qu’on appelle « l’autodétermination informationnelle ». Nous pouvons en principe décider nous-mêmes de l’utilisation de nos données, du moins de celles qui se rapportent concrètement à nous. C’est inscrit dans la Constitution, à l’art. 13, paragr. 2.

Ce droit s’applique aux données que l’État ou des entreprises collectent et traitent à notre sujet. C’est le devoir de l’État de le garantir. La nouvelle loi sur la protection des données est l’instrument par lequel l’État s’acquitte de ce devoir et veille à ce que nos droits soient respectés.

Quel est l’objectif de la révision ?

Les clefs de la nouvelle LPD sont l’amélioration de la protection des données et une plus grande transparence sur ce qui en est fait. Une attention particulière est accordée aux données numériques. Vous devez pouvoir compter sur le fait que vos données sont en sécurité, et que des tiers ne peuvent pas y accéder et en faire ce qu’ils veulent. Vous avez aussi la possibilité de vérifier facilement ce qu’il advient de vos données dans certains cas. Par ailleurs, vous devez pouvoir connaître les personnes ou entités qui possèdent des données vous concernant, de quelles données il s’agit, et d’où elles proviennent.

La loi prescrit aussi comment les services qui collectent des données doivent les traiter, ce qu’ils sont autorisés à en faire, et comment procéder si un événement contraire à la LPD s’est produit. Les sanctions possibles sont également définies dans le texte.

Et qu’en est-il du rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT) ? Ses compétences sont élargies, et il possède une plus grande autonomie.

D’une manière générale, la nouvelle loi rend la protection des données beaucoup plus stricte, et les manquements sont plus sévèrement sanctionnés. Deux raisons principales expliquent cette décision : premièrement, l’ancienne LPD était obsolète. Les questions de protection des données sur Internet actuelles n’y étaient pas ou pas suffisamment réglementées.

Deuxièmement, la coopération avec l’UE nécessitait une révision. En effet, la révision complète maintient le statut de la Suisse en tant que « pays tiers offrant un niveau adéquat de protection des données ». Elle garantit ainsi que les deux parties puissent poursuivre leur collaboration sans être soumises à des contraintes.

Cela renforce la protection de vos données personnelles à l’étranger, et vice versa. C’est ce que prévoit la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108), que la Suisse a cosignée.

Quelles sont les différences entre la nouvelle LPD et le RGPD ?

Le RGPD est le règlement général sur la protection des données de l’Union européenne. C’est le pendant de notre LPD.

Les entreprises suisses doivent également se conformer au RGPD dans certains contextes. Galaxus en est un bon exemple : puisque nous vendons des marchandises dans l’UE et nous traitons des données à caractère personnel dans l’UE, nous devons respecter le RGPD. Vous trouverez des informations détaillées le concernant ici.

Quelles données sont protégées, et comment le sont-elles ?

Les données dites personnelles, c’est-à-dire votre nom, votre adresse postale, votre adresse e-mail, votre numéro de téléphone ou d’autres informations qui se rapportent concrètement à vous (LPD, art. 5).

La protection est assurée par les règles inscrites dans la LPD. On peut les classer en deux grandes catégories : les règles qu’une entreprise doit suivre lors de la collecte et du traitement de vos données, et les conditions techniques et organisationnelles qu’elle doit remplir à cet égard.

Quelles sont les mesures de protection déjà en vigueur ?

Une partie des règles qui concernent la collecte et le traitement des données, comme la proportionnalité et la finalité lors de la collecte de données, figurait déjà dans l’ancienne version de la LPD. Je vous donne un exemple concret :

– LPD, art. 6 paragr. 2 : le traitement de vos données par une entreprise doit être conforme au principe de la proportionnalité. Si vous commandez une pizza en ligne, la livreuse ou le livreur a bien sûr le droit de vous demander votre nom et votre adresse pour livrer la pizza. Par contre, il ou elle n’a pas besoin de connaître votre commune d’origine ou de votre date de naissance.

– LPD, art. 6 paragr. 3 : « Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée. » Supposons que vous plaisez à la livreuse ou au livreur. S’il ou elle vous appelle en utilisant le numéro qui figure dans la commande et vous demande si vous souhaitez aller prendre un verre, c’est une infraction. Vous trouverez plus d’informations sur le site web Fedlex.

Quelles sont les nouvelles mesures de protection ?

Quelques mesures ont été rajoutées pour refléter l’époque actuelle. Je vous résume les points clefs. Si vous voulez connaître tous les détails, allez consulter la FAQ du PFPDT.

Les principes de « privacy by design » (protection des données dès la conception) et « privacy by default » (protection des données par défaut) s’appliquent aux logiciels, au matériel et à tous les services. « by design » signifie que les directives de la protection des données doivent être intégrées dès le développement d’un système. L’authentification à deux facteurs, la transmission cryptée, ou l’accès contrôlé en sont de bons exemples. « by default » doit garantir que le fournisseur prend toutes les mesures nécessaires pour protéger les données et limiter leur utilisation, et ce avant même qu’il ne propose le produit ou le service à sa clientèle.

Le devoir d’informer a été étendu (LPD, art. 19). À présent, une entreprise doit toujours vous informer avant de se procurer des données vous concernant. Vous devez également savoir qui traite vos données, et dans quel but. Elle doit aussi vous fournir un interlocuteur ou une interlocutrice à qui vous adresser. Dans la pratique, ces informations figurent souvent dans les conditions générales de vente qui accompagne un processus de commande.

Les entreprises ont l’obligation de vous renseigner (LPD, art. 25). Vous avez le droit de demander où une entreprise a obtenu vos données, quelles données elle possède, et depuis combien de temps. Par exemple, si vous recevez des prospectus publicitaires d’une société que vous ne connaissez pas, vous avez le droit de demander comment elle a obtenu votre adresse. Ou, si une compagnie ne vous laisse pas commander des articles sur facture, parce que vous n’êtes soi-disant pas solvable, vous pouvez lui demander sur quelles données elle se base, et d’où elle les tire. Le PFPDT a résumé ici comment faire valoir formellement votre droit d’accès.

Analyse d’impact sur la protection des données : supposons qu’une entreprise prévoit de traiter des données particulièrement sensibles vous concernant. Elle doit d’abord réaliser une analyse d’impact relative à la protection des données personnelles (LPD, art. 22) et y décrire comment ce traitement se déroulera, et quelles mesures de protection elle prévoit. Elle doit aussi évaluer s’il existe un risque pour votre personnalité ou vos droits fondamentaux. Si l’entreprise détermine qu’un tel risque existe, elle doit se renseigner auprès du PFPDT avant d’entamer toute procédure pour savoir si le traitement est réalisable dans la situation donnée.

Registre des activités de traitement (LPD, art. 12) : les entreprises sont désormais obligées de tenir ce que l’on appelle un « registre des activités de traitement », une sorte de protocole dans lequel figurent tous les traitements de données. Cette démarche ne concerne que les entreprises de plus de 250 collaborateur·rices, et uniquement si des données sensibles sont traitées.

Annonce des violations de la sécurité des données (LPD, art. 24) : supposons qu’un hôpital soit piraté. Les responsables doivent immédiatement déterminer quelles données ont été touchées par le piratage. S’iels se rendent compte que les données piratées sont sensibles pour la personnalité ou les droits fondamentaux (des dossiers médicaux, par exemple), ils doivent en informer le PFPDT le plus rapidement possible.

Amendes plus élevées (LPD, art. 60) : si une entreprise ne respecte pas l’obligation d’informer, de renseigner ou de collaborer imposée par la LPD, elle doit s’attendre à être punie. C’était déjà le cas jusqu’à présent, mais l’amende maximale de 10 000 francs a été augmentée à 250 000 francs. Pour une entreprise, 10 000 francs, c’était l’équivalent d’une petite tape sur les doigts. Des amendes plus élevées sont censées contribuer au meilleur respect de la loi.

Que sont les « données sensibles » ?

Les « données sensibles » (LPD, art. 5c) sont des données vous concernant qui sont particulièrement sensibles, comme des informations sur votre santé, vos allocations sociales et vos antécédents judiciaires, mais aussi votre appartenance religieuse ou ethnique, et vos opinions politiques.

Si une entreprise prévoit de collecter et de traiter de telles données à votre sujet, elle doit vous demander formellement votre autorisation au préalable. Vous en informer, comme c’est le cas des autres types de données, ne suffit pas.

Qu’en est-il des sites web d’associations ?

La nouvelle LPD ne vous impose pratiquement rien en tant que particulier. Vous bénéficiez simplement de mesures modernes de protection des données. La situation est différente si vous êtes resonsable du site web d’une association, par exemple. En effet, une association a des devoirs en matière de protection des données, par exemple en ce qui concerne les données personnelles de ses membres. Vous avez maintenant deux obligations essentielles supplémentaires.

Premièrement, vous devez publier une déclaration de confidentialité sur le site web. Vous devez y expliquer qui peut voir les données que vous collectez, et ce qui en est fait. Cela concerne aussi le formulaire numérique avec lequel quelqu’un s’inscrit à la soirée barbecue du club de bowling, puisqu’il génère des données. D’autres services externes (comme les outils servant à générer des newsletters) doivent aussi y figurer. La diffusion de données via les médias sociaux ou l’utilisation de cookies doivent également être inscrites dans la déclaration de confidentialité. Le mieux est de contacter l’hébergeur de votre site Web pour qu’il vous conseille. Voici un un modèle de déclaration de confidentialité (en allemand) pour vous aider.

Deuxièmement, vos membres doivent vous autoriser explicitement à transmettre leurs données à des tiers externes. Par exemple, la FIFA demande toujours à recevoir une liste complète de visiteurs lorsqu’un club souhaite se rendre à son musée à Zurich. Chaque membre doit vous y autoriser clairement.

D’autres détails sont prévus, selon le contexte, sur une base optionnelle. Le PFPDT donne un bon aperçu de ces informations ici.