La nouvelle loi suisse sur la protection des données personnelles

GDPR pour les RH

Le 25 septembre aux États-Unis le Conseil national a adopté la révision de la nouvelle LPD. Dans la structuration de la nouvelle loi sur la protection des données, le Conseil fédéral et le Parlement ne pouvaient manquer de prendre en compte la Convention STE 108 sur le traitement automatisé des données à caractère personnel des personnes physiques, à laquelle la Suisse a adhéré.

Le 14 janvier dernier, le temps disponible pour le référendum a expiré sans être utilisé. Par conséquent, la nouvelle LPD révisée entrera vraisemblablement en vigueur au printemps 2022. D’ici cette échéance, les entreprises privées et les organismes fédéraux devront avoir aligné leurs méthodes de traitement des données personnelles sur les dispositions du nouveau texte réglementaire.

Récemment, le Commissaire fédéral du traitement des données à caractère personnel et à la transparence a publié un vade-mecum contenant les nouvelles majeures introduites par le nouveau texte. Tout d’abord, la nouvelle LPD vise à protéger uniquement les données personnelles des personnes physiques (comme déjà prévu par le RGPD). Par conséquent, la protection des données personnelles des personnes juridiques est exclue. En outre, les notions de « privacy by default » et de « privacy by design » sont introduites ; il s’agit de notions chères au RGPD et qui prévoient une planification adéquate des outils qui devront traiter les données personnelles.

Le RGPD a introduit la figure du Data Processor Officer. La nouvelle LPD, spéculairement, établit la figure du consultant d’entreprise sur le traitement des données personnelles qui peut être un sujet interne ou externe, à condition qu’il exerce ses fonctions de manière hiérarchiquement indépendante. Cette nouvelle figure, dont la nomination est obligatoire que pour les organismes fédéraux et non pour les entreprises privées, a des fonctions de conseil et de formation, aussi bien que d’intermédiation entre l’entreprise et le PFPDT.

En ce qui concerne la rédaction d’une étude d’impact, le nouveau texte ne fait que réitérer l’utilisation dans le cas de traitements considérés à risque. En outre, est introduite la possibilité de développer et d’adopter propres codes de conduite, aussi bien que prévoir la certification de ses produits afin qu’ils soient «conformes».

En référence à l’introduction de l’obligation de tenir un Registre des Traitements, il est à noter que celui-ci n’existera que pour les entreprises de plus de 250 employés et pour celles entreprises qui mettent en œuvre des traitements à grande échelle potentiellement en danger.

Un autre point fondamental est celui de la communication des données personnelles à l’étranger. Cette action est autorisée qu’aux pays auxquels le Conseil fédéral a donné son consentement. Dans le cas contraire, la transmission peut avoir lieu que si la protection est assurée par l’utilisation d’autres procédures. En particulier, en ce qui concerne la publication de données à l’étranger sur des systèmes cloud, la nouvelle législation introduit l’obligation d’indication spécifique des pays destinataires du transfert de données, en plus de la définition des procédures d’organisation et de sécurité expressément adoptées.

La nouvelle LPD est très proche de ce qui a déjà été établi par le RGPD concernant les droits pouvant être exercés par les parties intéressées et le contenu des informations à fournir aux personnes concernées avant de procéder au traitement.

Du point de vue de la fonction du PFPDT, à l’avenir, cet organe sera habilité à agir d’office en cas de violation des dispositions relatives à la protection des données personnelles. Les sanctions envisagées à aujourd’hui sont des amendes qui pouvant arriver jusqu’à Fr. 250’000 pour des actes de malveillance. Le non-respect des dispositions, en revanche, est passible d’une peine qui pouvant arriver jusqu’à Fr. 50’000 pour les personnes physiques uniquement, mais à l’avenir, on pense pouvoir étendre la peine également aux entreprises elles-mêmes.

Comme on peut le déduire facilement, la nouvelle LPD accepte largement ce qui a déjà été établi par le RGPD qui est en fait facilement appliqué déjà par les entreprises suisses depuis quelques années, tout en conservant certaines caractéristiques typiques du droit suisse, entre lesquels ils se reconnaissent la brièveté et le pragmatisme. Maintenant, Il appartient à toutes les entreprises de prendre des mesures pour prévoir l’alignement sur les nouvelles dispositions pour le début de l’année prochaine.

Évidemment, toutes les entreprises qui adoptent des outils de gestion adéquats qui leur permettent d’intervenir facilement et de s’adapter de temps en temps à autre aux normes requises par les différentes réglementations applicables restent avantagées.

La nouvelle loi suisse sur la protection des données personnelles

GDPR pour les RH

Le 25 septembre aux États-Unis le Conseil national a adopté la révision de la nouvelle LPD. Dans la structuration de la nouvelle loi sur la protection des données, le Conseil fédéral et le Parlement ne pouvaient manquer de prendre en compte la Convention STE 108 sur le traitement automatisé des données à caractère personnel des personnes physiques, à laquelle la Suisse a adhéré.

Le 14 janvier dernier, le temps disponible pour le référendum a expiré sans être utilisé. Par conséquent, la nouvelle LPD révisée entrera vraisemblablement en vigueur au printemps 2022. D’ici cette échéance, les entreprises privées et les organismes fédéraux devront avoir aligné leurs méthodes de traitement des données personnelles sur les dispositions du nouveau texte réglementaire.

Récemment, le Commissaire fédéral du traitement des données à caractère personnel et à la transparence a publié un vade-mecum contenant les nouvelles majeures introduites par le nouveau texte. Tout d’abord, la nouvelle LPD vise à protéger uniquement les données personnelles des personnes physiques (comme déjà prévu par le RGPD). Par conséquent, la protection des données personnelles des personnes juridiques est exclue. En outre, les notions de « privacy by default » et de « privacy by design » sont introduites ; il s’agit de notions chères au RGPD et qui prévoient une planification adéquate des outils qui devront traiter les données personnelles.

Le RGPD a introduit la figure du Data Processor Officer. La nouvelle LPD, spéculairement, établit la figure du consultant d’entreprise sur le traitement des données personnelles qui peut être un sujet interne ou externe, à condition qu’il exerce ses fonctions de manière hiérarchiquement indépendante. Cette nouvelle figure, dont la nomination est obligatoire que pour les organismes fédéraux et non pour les entreprises privées, a des fonctions de conseil et de formation, aussi bien que d’intermédiation entre l’entreprise et le PFPDT.

En ce qui concerne la rédaction d’une étude d’impact, le nouveau texte ne fait que réitérer l’utilisation dans le cas de traitements considérés à risque. En outre, est introduite la possibilité de développer et d’adopter propres codes de conduite, aussi bien que prévoir la certification de ses produits afin qu’ils soient «conformes».

En référence à l’introduction de l’obligation de tenir un Registre des Traitements, il est à noter que celui-ci n’existera que pour les entreprises de plus de 250 employés et pour celles entreprises qui mettent en œuvre des traitements à grande échelle potentiellement en danger.

Un autre point fondamental est celui de la communication des données personnelles à l’étranger. Cette action est autorisée qu’aux pays auxquels le Conseil fédéral a donné son consentement. Dans le cas contraire, la transmission peut avoir lieu que si la protection est assurée par l’utilisation d’autres procédures. En particulier, en ce qui concerne la publication de données à l’étranger sur des systèmes cloud, la nouvelle législation introduit l’obligation d’indication spécifique des pays destinataires du transfert de données, en plus de la définition des procédures d’organisation et de sécurité expressément adoptées.

La nouvelle LPD est très proche de ce qui a déjà été établi par le RGPD concernant les droits pouvant être exercés par les parties intéressées et le contenu des informations à fournir aux personnes concernées avant de procéder au traitement.

Du point de vue de la fonction du PFPDT, à l’avenir, cet organe sera habilité à agir d’office en cas de violation des dispositions relatives à la protection des données personnelles. Les sanctions envisagées à aujourd’hui sont des amendes qui pouvant arriver jusqu’à Fr. 250’000 pour des actes de malveillance. Le non-respect des dispositions, en revanche, est passible d’une peine qui pouvant arriver jusqu’à Fr. 50’000 pour les personnes physiques uniquement, mais à l’avenir, on pense pouvoir étendre la peine également aux entreprises elles-mêmes.

Comme on peut le déduire facilement, la nouvelle LPD accepte largement ce qui a déjà été établi par le RGPD qui est en fait facilement appliqué déjà par les entreprises suisses depuis quelques années, tout en conservant certaines caractéristiques typiques du droit suisse, entre lesquels ils se reconnaissent la brièveté et le pragmatisme. Maintenant, Il appartient à toutes les entreprises de prendre des mesures pour prévoir l’alignement sur les nouvelles dispositions pour le début de l’année prochaine.

Évidemment, toutes les entreprises qui adoptent des outils de gestion adéquats qui leur permettent d’intervenir facilement et de s’adapter de temps en temps à autre aux normes requises par les différentes réglementations applicables restent avantagées.