Protection des données

Loi fédérale sur la protection des données (LPD) du 25 septembre 2020

Federal Act on Data Protection (Data Protection Act, FADP)

Ordonnance sur la protection des données (OPDo) du 31 août 2022

BÜHLMANN, Lukas. REINLE, Michael. (2020) FADP revision : comparison to current law and GDPR www.mll-news.com. 3 December 2020 [en ligne] [Consulté le 11.08.2021]

CONFEDERATION SUISSE. Département fédéral de justice et police. Ordonnance sur la protection des données (OPDo) : rapport explicatif. 31 août 2022 [en ligne] [Consulté le 24.01.2024]

CONFEDERATION SUISSE. Département fédéral de justice et police. Rapport explicatif concernant l'avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d'autres lois fédérales. 21 décembre 2016 [Consulté le 21.02.2018]

CONFEDERATION SUISSE. Département fédéral de justice et police. Révision de la loi fédérale sur la protection des données

CONFEDERATION SUISSE. Département fédéral de justice et police. Révision totale de l'ordonnance relative à la loi fédérale sur la protection des données : rapport explicatif à la procédure de consultation. 23 juin 2021. [en ligne] [Consulté le 24.01.2024]

CONFEDERATION SUISSE. Département fédéral de justice et police. Révision totale de l'ordonnance relative à la loi fédérale sur la protection des données (OLPD) : rapport sur les résultats de la procédure de consultation. 31 août 2022. [en ligne] [Consulté le 24.01.2024]

METILLE, Sylvain. 2017. Révision de la LPD : des sanctions à contre-courant et à contre-raison. Blog de Sylvain Métille [en ligne]. 27 juillet 2017. [Consulté le 03.08.2017]

METILLE, Sylvain. Le traitement de données personnelles sous l'angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020. In La semaine judiciaire, 2021 II, pp. 1-48 [en ligne] [Consulté le 21.07.2021]

PFPDT. Nouvelle loi fédérale sur la protection des données : le point de vue du PFPDT. 9 février 2021. [en ligne] [Consulté le 10.08.2021]

ROSENTHAL, David. Das neue Datenschutzgesetz. In : Jusletter 16. November 2020 [en ligne] [Consulté le 10.08.2021]

Avant-projet de la Loi fédérale sur la protection des données (AP-LPD)

Avant-projet de modification d'autres actes législatifs relatifs à la protection des données

Rapport du Conseil fédéral sur l'évaluation de la loi fédérale sur la protection des données du 9 décembre 2011

La révision de la loi fédérale sur la protection des données : conférence de la Société genevoise de droit et de législation, Genève, 8 janvier 2018.

• 12.2011 : Rapport sur l'évaluation de la LPD approuvé par le Conseil fédéral qui charge le Département fédéral de justice et police (DFJP) d'examiner l'opportunité de renforcer la législation en matière de protection des données.
• 04.2015 : Rapport du groupe d'accompagnement et des propositions du DFJP quant à la suite des travaux transmis au Conseil fédéral
• 12.2016 : Mise en consultation de l'avant-projet de révision totale de la LPD (3573 pages de commentaires pendant la mise en consultation)
• 09.2017 : le Conseil fédéral publie le projet
• 01.2018 : La Commission des institutions politiques (CIP-N) décide de scinder le projet en 2 et d'avancer rapidement sur le texte concernant l'aquis de Schengen car la marge de manoeuvre est très faible.
• 09.2018 : adoption de la LPDS
• 09.2019 : discussion du projet de révision de la LPD au CN
• 25.09.2020 : adoption par l'Assemblée fédérale de la nLPD
• 06.10.2020 : début du délai référendaire de la nLPD
• 14.01.2021 : Fin du délai référendaire de la nLPD
• 23.06.2021 : le Conseil fédéral a ouvert une procédure de consultation relative à l'Ordonnance fédérale sur la protection des données. Il a présenté un projet P-OPLD, un rapport explicatif, et un tableau comparatif.
• 14.10.2021 : fin de la consultation du texte P-OLPD.

La nouvelle loi fédérale sur la protection des données a été adoptée le 25 septembre 2020.

• Elle devrait entrer en vigueur fin 2022 environ.
• Elle remplacera la loi actuelle qui date de 1992, avant internet donc, et qui ne prend pas du tout en compte les nouvelles technologies et la digitalisation.
• Elle est inférieure en terme de protection au RGPD mais supérieure à la loi actuelle et reprend en grande partie la terminologie utilisée dans le RGPD (ex. le Maître du fichier devient le Responsable du traitement).
• Elle modifie une centaine d'autres lois
• Champ d'application matériel : la loi régit le traitement de données personnelles concernant les personnes physiques effectué par des personnes privées ; des organes fédéraux (art. 2 al. 1 nLPD)
• Champ d'application territorial : la nLPD "s'applique aux états de fait qui déploient des effets en Suisse, même s'ils se sont produits à l'étranger" (art. 3 al. 1 nLPD)

Ce qui ne change pas par rapport à l'ancienne loi :

• Les principes généraux de la protection des données restent les mêmes
• L’autorégulation reste la règle
• Un traitement est licite s’il est basé sur : la loi, le consentement, un intérêt prépondérant privé ou public (en comparaison, pour le RGPD il y a 6 bases légales)
• La LPD reste technologiquement neutre

Les principaux changements :

• Introduction de la tenue d’un registre des traitements à la place de la déclaration des fichiers actuelle.
• Nomination en Suisse d’un représentant en Suisse pour les RT étrangers qui visent le marché suisse
• Réalisation d’une analyse d’impact préalable en cas de risque élevé
• Annonce de violations de données au Préposé
• Information des personnes concernées en cas de traitement des données personnelles (= droit à l’information)
• Les entreprises doivent prendre une approche fondée sur le risque : plus le risque est élevé pour les personnes concernées plus les mesures de protection doivent être strictes.
• Le principe de proportionnalité est complété avec le principe de proportionnalité temporelle (= durée de conservation)
• Principes de privacy by design and by default
• L’existence du Data Protection Officer (=Conseiller à la protection des données) et son statut figurent dans la loi
• Les RT devront communiquer au Préposé fédéral les garanties préalables aux transferts de données à l’étranger
• Le concept de sous-traitance est expressément introduit et exige l’existence d’un contrat ou d’une loi pour qu’un RT soit autorisé à déléguer un traitement à un ST
• Introduction des sanctions pénales infligées aux personnes physiques qui ont commis l’infraction (-> la direction de l’entreprise).

Pour les personnes concernées 

• Introduction du droit à la portabilité
• Droit de faire revoir par une personne physique une décision automatisée
• Traitement de données limité
• Les données de personnes morales ne sont plus des données personnelles (ce point était une exception suisse)
• Les données génétiques et biométriques sont reconnues comme des données sensibles
• Apparition du profilage en tant qu’activité de traitement (remplace le profil de personnalité). Le profilage à risque élevé nécessite un consentement exprès de la personne concernée.

Pour le préposé

• Nouveaux pouvoirs d’enquête (de son propre avis ou sur dénonciation)
• Augmentation des pouvoirs administratifs (possibilité de prendre des décisions contraignantes ex. pouvoir de suspendre, modifier ou faire cesser un traitement, ordonner l’effacement et la destruction de données personnelles, de suspendre des transferts de données à l’étranger etc).
• Nouvelles missions liées aux annonces de violations et à la consultation des analyses d’impact.

Implications pour les entreprises :

• nommer un DPO
• Vérifier et adapter les déclarations de protection des données aux nouvelle exigences
• Etablir un registre des traitements de données
• Vérifier et adapter les contrats de sous-traitance
• Vérifier les transferts de données à l'étranger
• Préparer un processus en cas de réalisation d'analyses d'impact
• Préparer un processus en cas de faille de sécurité (violation de données : détection et annonce)
• Préparer un processus de traitement des demandes de personnes concernées (droit d'accès, rectification, effacement)