La protection des données en Suisse : nouvelle LPD

La nouvelle loi sur la protection des données (nLPD)

La nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023, remplaçant la loi de 1992 devenue obsolète face aux évolutions technologiques. Cette révision totale aligne le droit suisse sur les standards internationaux, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne.

Les principes généraux (art. 6 LPD)

L'art. 6 LPD pose les principes fondamentaux du traitement des données personnelles :

1. Licéité : le traitement doit être conforme au droit
2. Bonne foi : le traitement doit être loyal et transparent
3. Proportionnalité : seules les données nécessaires à la finalité annoncée peuvent être collectées
4. Finalité : les données ne peuvent être traitées que pour la finalité indiquée lors de la collecte
5. Exactitude : les données doivent être exactes et tenues à jour
6. Conservation limitée : les données doivent être détruites ou anonymisées dès qu'elles ne sont plus nécessaires

Toute violation de ces principes rend le traitement illicite, sauf motif justificatif (consentement, intérêt prépondérant, loi).

Privacy by design et by default (art. 7 LPD)

L'art. 7 LPD introduit deux concepts majeurs :

1. Privacy by design : le responsable du traitement doit intégrer la protection des données dès la conception de ses systèmes et processus
2. Privacy by default : les paramètres par défaut doivent garantir le traitement le moins intrusif possible

Concrètement, cela signifie que les applications, sites web et systèmes informatiques doivent être configurés pour minimiser la collecte de données par défaut. L'utilisateur doit activement consentir à un traitement plus étendu.

Le devoir d'information (art. 19-21 LPD)

L'art. 19 LPD impose une obligation d'information renforcée. Lors de la collecte de données personnelles, le responsable du traitement doit communiquer :

1. Son identité et ses coordonnées
2. La finalité du traitement
3. Les éventuels destinataires des données
4. En cas de transfert à l'étranger, le pays de destination et les garanties de protection

Cette obligation s'applique à toute collecte de données, et pas uniquement aux données sensibles (contrairement à l'ancien droit). Le non-respect de ce devoir d'information constitue une infraction pénale.

Les droits des personnes concernées (art. 25-27 LPD)

La nLPD renforce considérablement les droits des personnes dont les données sont traitées :

Droit d'accès (art. 25 LPD) : toute personne peut demander gratuitement au responsable du traitement si des données la concernant sont traitées et obtenir une copie de ces données. Le responsable doit répondre dans un délai de 30 jours.

Droit à la portabilité (art. 28 LPD) : les personnes peuvent demander que leurs données leur soient remises dans un format électronique courant ou qu'elles soient transférées à un autre responsable.

Droit à l'effacement : bien que la nLPD ne prévoie pas de « droit à l'oubli » aussi explicite que le RGPD, le principe de proportionnalité (art. 6 LPD) impose la destruction des données devenues inutiles.

Les sanctions pénales (art. 60-66 LPD)

C'est l'une des grandes nouveautés de la nLPD : les violations sont passibles de sanctions pénales. L'art. 60 LPD prévoit une amende de CHF 250'000 au maximum pour les personnes privées qui :

1. Violent le devoir d'information (art. 19-21 LPD)
2. Ne respectent pas le droit d'accès (art. 25-27 LPD)
3. Communiquent des données à l'étranger en violation de l'art. 16-17 LPD
4. Confient un traitement à un sous-traitant sans respecter les conditions légales

Contrairement au RGPD, les sanctions visent les personnes physiques responsables et non l'entreprise en tant que telle. Le préposé fédéral à la protection des données (PFPDT) peut en outre ouvrir des enquêtes et ordonner des mesures administratives.

Comparaison avec le RGPD européen

La nLPD s'inspire largement du RGPD mais présente des différences notables :

1. Sanctions : amendes jusqu'à CHF 250'000 (nLPD) vs 4 % du chiffre d'affaires mondial (RGPD)
2. Cible : personnes physiques (nLPD) vs entreprises (RGPD)
3. DPO : pas d'obligation de nommer un délégué à la protection des données (nLPD), obligation sous conditions (RGPD)
4. Consentement : pas de consentement systématique requis en nLPD (traitement licite si conforme aux principes), consentement souvent requis sous le RGPD
5. Base légale : les entreprises suisses actives dans l'UE doivent respecter les deux réglementations