Nouvelle loi sur la protection des données

La nouvelle loi sur la protection des données est valable pour les entreprises domiciliées en Suisse et les entreprises domiciliées à l’étranger qui traitent des données à caractère personnel ayant des conséquences en Suisse. Les entreprises qui n’ont pas de siège social en Suisse peuvent être tenues de désigner un représentant en Suisse si elles traitent des données à caractère personnel de personnes en Suisse. Il n’est pas encore clair quand la nouvelle loi sur la protection des données entrera en vigueur.

Nouveau répertoire de traitement

Le changement le plus important pour la plupart des entreprises est l’obligation de tenir à l’avenir un répertoire du traitement des données à caractère personnel. Toutes les activités de traitement des données de l’entreprise doivent être répertoriées, mises à jour en permanence et des informations précises doivent être fournies. Au minimum, les personnes responsables du traitement, le but du traitement, les catégories de personnes concernées et les données à caractère personnel traitées, les catégories de destinataires et la durée de conservation doivent être répertoriés.

En outre, si possible, toutes les mesures visant à garantir la sécurité des données doivent être consignées. Si des données sont également communiquées à l’étranger, le pays concerné et les garanties de protection des données doivent également être indiqués.

Profilage 

Il existe désormais des dispositions plus strictes pour le traitement automatisé des données à caractère personnel visant à analyser et à pronostiquer les intérêts et le comportement des personnes physiques. Bien que le consentement ou toute autre justification du « profilage » ne soit requis pour les responsables privés du traitement des données que dans le cas d’un traitement de données qui porte atteinte à la personnalité, étant donné qu’il y a souvent une grande incertitude quant à la justification de l’intérêt prépondérant, l’obtention du consentement est strictement recommandée. En outre, dans le cas d’un profilage présentant un risque élevé pour la personnalité ou les droits fondamentaux par le lien de données importantes, seul le consentement explicite suffit comme justification (éventuellement requise).

Obligation de fournir des informations

En relation avec le répertoire, l’obligation de fournir des informations a été considérablement renforcée. Lors de l’acquisition de données, la personne concernée doit être informée des personnes responsables du traitement, des buts du traitement, des destinataires ou de la catégorie des destinataires lors de la communication des données, des catégories de données à caractère personnel traitées en cas de collecte indirecte de données, ainsi que de la mise en œuvre des décisions individuelles automatisées si elles sont associées à une conséquence juridique pour la personne concernée ou si elles l’affectent de manière significative. Si les données sont communiquées à l’étranger, l’Etat ou l’organisme international correspondant qui reçoit les données doit être indiqué. Le cas échéant, la garantie d’une protection appropriée des données ou une dérogation, si de telles garanties n’existent pas, doit également être communiquée.

Cette liste n’est pas exhaustive. Dans certains cas, il faut contrôler quelles informations supplémentaires sont nécessaires. Les personnes concernées peuvent demander que les données qu’elles ont communiquées soient publiées dans un format électronique couramment utilisé ou transmises à d’autres fournisseurs. En outre, dans le cas des décisions individuelles automatisées, elles disposent d’un droit d’opposition, selon lequel elles peuvent exiger que la décision individuelle automatisée soit réexaminée par une personne physique.

Contrôle de solvabilité

De nouvelles exigences plus strictes concernant la supposition d’un intérêt prépondérant sont spécifiées pour la réalisation d’un contrôle de solvabilité. Par conséquent, un contrôle de solvabilité est justifié si :

  • aucune donnée à caractère personnel particulièrement sensible n’est traitée et s’il n’y a pas de profilage à haut risque ;
  • les données ne sont communiquées à des tiers que s’ils en ont besoin pour la conclusion ou l’exécution d’un contrat avec la personne concernée ;
  • les données ne datent pas de plus de dix ans ;
  • la personne concernée est majeure.

Renforcement des sanctions

La nouvelle LPD prévoit des sanctions pénales sous forme d’une amende pouvant aller jusqu’à 250‘000 francs suisses. En outre, le préposé fédéral à la protection des données (PFPDT) peut ouvrir une procédure d’enquête administrative et prononcer des décisions.

Dans le cas d’infractions pour lesquelles une amende maximale de 50‘000 francs suisses peut être infligée et où l’effort nécessaire pour identifier le contrevenant au sein de l’entreprise serait excessif, l’entreprise peut également être condamnée à payer l’amende à la place de la personne physique.