Consommation & Internet
7 réponses à la nouvelle loi sur la protection des données
Le Conseil fédéral a fixé l'entrée en vigueur de la nouvelle loi sur la protection des données au 1er septembre 2023.
La révision de l'actuelle loi sur la protection des données était nécessaire pour deux raisons. D'une part, depuis 1992, date d'entrée en vigueur de l'ancienne loi sur la protection des données, les choses ont évolué sur le plan technique et social, de sorte que la loi, dans sa forme actuelle, ne pouvait plus garantir la protection des données. D'autre part, le législateur suisse devait aménager la loi de manière à ce qu'elle soit compatible avec le règlement général sur la protection des données de l'Union européenne (RGPD), en vigueur depuis 2018.
Ce qui est décisif pour le droit au quotidien, c'est tout d'abord que la nouvelle loi sur la protection des données élargit les droits à l'information : quiconque traite des données personnelles doit en informer les personnes concernées de manière exhaustive. Cela s'applique désormais de manière générale, et pas seulement lorsqu'il s'agit de données personnelles sensibles. En outre, la nouvelle loi sur la protection des données renforce les mesures en cas de violation de la protection des données. Ainsi, la personne responsable de la protection des données dans une entreprise doit annoncer les violations de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT) et, enfin, des amendes massivement plus élevées sont prévues en cas d'infraction intentionnelle à la loi sur la protection des données.
Nous répondons ci-dessous à sept questions pratiques qui peuvent se poser dans votre quotidien en matière de protection des données.
1. Qu'est-ce que la nouvelle loi sur la protection des données change sur le lieu de travail ?
L'employeuse doit informer la personne concernée de manière appropriée sur la collecte des données personnelles. Elle doit notamment l'informer de la raison pour laquelle elle a besoin de ces données et à qui elle les communique éventuellement.
Si elle emploie plus de 250 personnes, l'employeuse doit tenir un registre des activités de traitement. Elle doit y inscrire les données personnelles traitées, telles que les documents de recrutement, les informations salariales ou les documents d'évaluation, et y mentionner la durée de conservation des données personnelles.
Attention : Si l'entreprise traite des données personnelles sensibles à grande échelle ou procède à un profilage à haut risque, elle doit tenir un registre des activités de traitements, quelle que soit sa taille.
2. La nouvelle loi sur la protection des données a-t-elle des conséquences sur les rapports de bail ?
La nouvelle loi sur la protection des données étend le devoir d'information de la bailleuse. Sous l'ancien droit, ce devoir d'information n'existait que lors de la collecte de données personnelles sensibles. Désormais, le devoir d'information s'applique indépendamment de cela à toutes les données personnelles. La bailleuse doit informer le locataire sur les données qu'elle traite et éventuellement communique, et dans quel but. Elle doit communiquer ces informations au locataire sous une « forme précise, transparente et facilement accessible ». On peut par exemple imaginer une information sur le site web et une intégration de l'information dans le contrat de bail.
Attention : Pour les baux existants, la bailleuse ne doit informer le locataire que si elle utilise les données personnelles à une autre fin depuis l'entrée en vigueur ou si elle se procure de nouvelles données personnelles.
3. Une entreprise de transports publics peut-elle collecter des données biométriques ?
Désormais, les données biométriques qui identifient clairement une personne, par exemple les empreintes digitales, les images de l'iris ou les enregistrements de la voix, sont considérées comme des « données personnelles sensibles ». Toutefois, le traitement de ces données ne requiert toujours pas de consentement général. En revanche, l'entreprise doit informer de manière adéquate les personnes dont elle traite les données biométriques. Cela risque d'être difficile dans un lieu public.
4. Une entreprise doit-elle désormais fournir mes données par voie électronique ?
Oui. La nouvelle loi sur la protection des données consacre le droit à la portabilité des données. Un client peut demander la remise de ses données qu'il a communiquées à l'entreprise, dans un format électronique courant. L'entreprise doit transmettre les données soit directement au client, soit à une entreprise (concurrente) choisie par le client.
Ceci à deux conditions. L'entreprise doit traiter les données de manière automatisée et elle doit les traiter avec le consentement de la personne concernée ou en relation directe avec la conclusion ou l'exécution d'un contrat entre le responsable du traitement et la personne concernée.
La transmission doit en principe être gratuite. Si l'octroi entraîne des frais disproportionnés, l'entreprise peut exiger une participation aux frais de 300 CHF maximum.
5. Si ma médecin a perdu mon dossier, doit-elle le signaler ?
Oui. La nouvelle loi sur la protection des données oblige la personne responsable à notifier « dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ». C'est le cas lorsqu'un cabinet médical perd un dossier contenant des données relatives à la santé, car il s'agit de données personnelles sensibles. Il en va de même lorsqu'un cabinet médical est victime d'une cyberattaque.
6. La nouvelle loi sur la protection des données s'applique-t-elle également au cercle privé d'amis et de la famille ?
La loi sur la protection des données ne s'applique toujours qu'à partir du moment où les données quittent le cercle privé des amis et de la famille.
Contrairement au règlement de base sur la protection des données de l'UE, la nouvelle loi sur la protection des données exclut du champ d'application matériel tous les « traitements de données personnelles effectués par une personne physique pour un usage exclusivement personnel ». Ainsi, une personne qui rédige des notes personnelles ne doit respecter les principes de la protection des données que lorsqu'elle partage ces informations avec d'autres. Cela vaut également lorsqu'elle prend des notes dans le cadre professionnel.
Mais quiconque transmet des données en dehors du cercle privé des amis ou de la famille doit respecter la loi sur la protection des données. Même s'il s'agit d'un sujet privé et non professionnel.
7. Quelles sont les amendes possibles en vertu de la nouvelle loi sur la protection des données ?
Alors que l'ancienne loi sur la protection des données prévoyait une amende maximale de 10’000 CHF en cas d'infraction, une amende maximale de 250’000 CHF est aujourd'hui possible. Punissables sont notamment des violations de l'obligation d'informer, de renseigner et de collaborer, du devoir de discrétion professionnelle ou le non-respect d'une décision du DFJP ou d'une instance de recours.
Attention : La responsabilité incombe en principe aux personnes physiques responsables et non à l'entreprise.