La protection des données personnelles en Suisse

Le 25 Septembre 2020, la Suisse votait un projet de Loi fédérale sur la protection des données – LPD, entérinant, à cette occasion, une grande évolution de la Loi fédérale sur la protection des données datant de 1992. Si cette actualité est restée principalement cantonnée aux milieux spécialisés en matière de données à caractère personnel, cette nouvelle loi semble pour autant, à l’échelle de la Suisse, constituer une révolution équivalente à celle de l’avènement du RGPD dans l’Union Européenne. Et cette comparaison n’est pas raison. En effet, cette nouvelle Loi sur la Protection des Données – LPD reprend non seulement à son profit de nombreuses notions du RGPD mais adopte également une logique commune.

En premier lieu, c’est effectivement le vocabulaire qui saute aux yeux : le « maître du fichier » devenant ainsi le « responsable du traitement ». C’est également le cas pour de nombreuses notions qui sont reprises telles que « législation adéquate », « sous-traitant », « analyse d’impact », « décisions individuelles », etc… Néanmoins, cela n’empêche pas non plus la Suisse de se distinguer par d’autres termes, différents du RGPD, que le législateur helvète a consacré. C’est le cas du DPO qui est appelé « Conseiller à la protection des données », c’est aussi le cas de la notification de données pour laquelle, le terme « d’annonce des violations de la sécurité des données » a été préféré.

Mais le vocabulaire ne fait pas tout, qu’en est-il, ou plutôt, qu’en sera-t-il, pour les citoyens et les entreprises suisses, à compter de l’entrée en vigueur de la loi ?

Tout d’abord, malgré une formulation différente, le champ d’application du texte est similaire à celui du RGPD. Plus concrètement, à l’exception des activités purement privées, la LPD étendra ses obligations à l’ensemble des secteurs privés comme publics et ne se restreint pas au territoire Suisse en s’imposant à quiconque met en œuvre des traitements ayant des effets en suisse ou concernant des citoyens suisses.

Les acteurs concernés devront, tout d’abord, tenir un registre des traitements et, le cas échéant, un registre sous-traitant dans lequel devra figurer les mêmes informations que celles exigées par le RGPD (identité du responsable, finalités, personnes concernées, etc…). Mais ce registre est également une belle illustration de la différence majeure entre le RGPD et la LPD, à savoir son niveau d’exigence. En effet, l’article 12 concernant le registre des traitements prévoit que « Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées ».

En cela, la LPD peut être qualifiée de « petite sœur » du RGPD car si elle s’en inspire largement, le législateur Suisse n’a pas souhaité mettre en place une législation aussi contraignante. Ainsi, le Conseiller à la protection des données n’est jamais obligatoire, contrairement au DPO dans certain cas, mais offre simplement certaines exemptions parmi les formalités en matière d’analyse d’impact.

Dans la même veine, la violation de données (ou annonce en Suisse) est obligatoire en cas d’incident concernant les données traitées mais là où l’article 33 du RGPD prévoit un délai de 72h, l’article 24 de la LPD n’exige qu’une annonce « dans les meilleurs délais ».

Enfin, et ce qui sera certainement le plus éloquent pour la plupart car ces montant sont souvent révélateurs de la volonté des Etats, le plafond en matière de sanction se porte à 250 000 francs suisses (230 415 €), certes une augmentation de 2500 % par rapport à son ancien plafond de 10 000 CHF mais, une goutte d’eau comparée aux 20 millions d’euros du RGPD.

Pour autant, cette législation conserve tout son intérêt et fait entrer la Suisse dans le cercle très fermé d’une législation relative à la protection des données adaptées aux enjeux et technologies du XXIe siècle. En témoignent les obligations consacrées en matière d’information des personnes, quasi similaires au RGPD, et la consécration des droits pour les personnes concernées (information, accès, portabilité, rectification et opposition).

Nul doute que la CNIL suisse appelé PFPDT (Préposé à la protection des données) sera là pour veiller à leur respect. L’inconnu étant le délai qui sera laissé aux organismes suisses pour se mettre en conformité et aux sociétés étrangères ayant des activités en Suisse qui devront être en plus attentives à l’obligations, le cas échéant, de désigner un représentant. A ce titre, les équipes d’Optimex Data organisent un Webinar afin de vous présenter les différences et similitudes entre le RGPD et la LPD, et restent à votre disposition pour tout complément d’information.