NOUVELLE LOI SUR LA PROTECTION DES DONNÉES : CE QU’IL FAUT SAVOIR
La nouvelle loi sur la protection des données (nLPD) en Suisse, qui entrera en vigueur le 1er septembre 2023, vise à renforcer la protection des données personnelles dans le pays et ainsi à mieux protéger ses habitants. Elle se base sur le Règlement général sur la protection des données (RGPD) de l'Union européenne et vise à harmoniser les normes de protection des données en Suisse avec celles de l'UE. Les entreprises suisses doivent s’y conformer.
Définition des données personnelles et obligations générales
La loi définit les données personnelles comme toute information se rapportant à une personne identifiée ou identifiable. Elle impose aux entreprises de mettre en place des mesures appropriées pour protéger ces données contre tout accès non autorisé, leur perte, leur altération ou leur divulgation.
Consentement explicite et droits des personnes concernées
L'une des principales exigences de la nouvelle loi concerne le consentement des personnes concernées. Les entreprises doivent obtenir un consentement explicite et éclairé avant de collecter, utiliser ou partager leurs données personnelles. Le consentement doit être donné librement et peut être retiré à tout moment.
La loi accorde également aux personnes concernées certains droits en ce qui concerne leurs données personnelles. Cela inclut le droit d'accéder à leurs données, de les rectifier si elles sont inexactes, de les effacer dans certaines circonstances, de limiter leur traitement et de s'opposer à leur utilisation à des fins de marketing direct.
Sécurité des données et mesures de protection
Les entreprises doivent également mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre les violations. Cela peut inclure des mesures techniques telles que le cryptage des données, ainsi que des mesures organisationnelles telles que la formation des employés à la protection des données.
Notification des violations de données
La nouvelle loi introduit également l'obligation de notification des violations de données. Les entreprises doivent informer l'autorité de protection des données en cas de violation de données personnelles, et dans certains cas, les personnes concernées doivent également être informées.
Transferts internationaux de données
La loi prévoit des règles spécifiques pour les transferts de données à des pays en dehors de la Suisse. Les entreprises doivent s'assurer que ces transferts respectent les exigences légales en matière de protection des données, notamment en utilisant des mécanismes tels que les clauses contractuelles types ou les règles d'entreprise contraignantes.
Sanctions en cas de non-respect
La nouvelle loi prévoit des sanctions en cas de non-respect de ses dispositions. Les amendes peuvent aller jusqu'à un pourcentage du chiffre d'affaires annuel de l'entreprise.
La nouvelle loi prévoit la création d'une autorité de protection des données indépendantes pour superviser et faire appliquer les dispositions de la loi. Cette autorité aura le pouvoir d'enquêter sur les violations de données, de prononcer des sanctions administratives et de fournir des conseils et des recommandations aux entreprises.
Autonomie réglementaire et certification
Pour faciliter la conformité, la nouvelle loi encourage l'autorégulation et la certification des entreprises. Les entreprises peuvent adopter des codes de conduite ou obtenir une certification pour démontrer leur conformité aux normes de protection des données.
En résumé, la nouvelle loi sur la protection des données en Suisse vise à renforcer la protection des données personnelles et à harmoniser les normes suisses avec celles de l'UE.
Elle impose aux entreprises de mettre en place des mesures de protection des données, d'obtenir un consentement éclairé, de respecter les droits des personnes concernées et de notifier les violations de données. Les entreprises doivent également prendre en compte les règles spécifiques pour les transferts internationaux de données. En cas de non-respect, des sanctions peuvent être imposées. Une autorité de protection des données indépendante sera créée pour superviser l'application de la loi.
Le présent article est uniquement fourni à titre informatif, à sa date de publication, sans tenir compte des faits et circonstances propres à une personne ou à une transaction particulière ou des modifications juridiques ultérieures. Il ne saurait créer une relation contractuelle entre Groupe Heller et les personnes consultant cet article. Il ne constitue en aucun cas un avis juridique sur lequel les personnes pourraient se fonder pour décider d’agir ou non dans un cas particulier.