Dans les coulisses
Meilleure planification financière grâce au nouveau modèle de prévision de la demande (« demand forecast »)
par Florian Schwarb
La nouvelle loi sur la protection des données est arrivée
1/2/2023
Le 1er septembre 2023, la nouvelle loi sur la protection des données entrera en vigueur en Suisse. Nous avons demandé à David Vasella, avocat et spécialiste de la protection des données, de nous expliquer ce qui va changer pour les consommateurs·trices et comment les entreprises doivent s’y préparer.
En mai 2018, l’Union européenne a introduit le nouveau règlement général sur la protection des données (RGPD). Plus de cinq ans plus tard, le « cas particulier de la Suisse » suit avec sa version de la loi sur la protection des données (LPD) mise à jour. David Vasella, docteur en droit et partenaire du cabinet d’avocats Walder Wyss AG, s’intéresse depuis de nombreuses années à toutes les facettes de la protection des données. Il connaît les nouvelles lois et ordonnances que les administrations de Bruxelles et de Berne ont élaborées après des années de débats.
David : pourquoi la Suisse a-t-elle besoin d’une nouvelle loi sur la protection des données ?
La première loi fédérale sur la protection des données date de 1992. Cette année-là, Neymar est né, Windows 3.0 est sorti, Kurt Cobain faisait du rock avec Nirvana et le président américain s’appelait Bill Clinton. Le World Wide Web avait été développé seulement trois ans auparavant. Bref, cela fait un bon moment. Beaucoup de choses ont changé depuis. La nouvelle loi sur la protection des données doit tenir compte des évolutions techniques et sociales intervenues depuis lors. En même temps, elle doit être compatible avec le droit européen, c’est-à-dire avec le règlement général sur la protection des données (RGPD) et une convention révisée que la Suisse doit mettre en œuvre. Assurer la libre circulation des données avec nos voisins européens, c’est définitivement dans notre intérêt.
Quelles sont les nouveautés de la « nouvelle » loi ?
Pour ce qui est des principes de traitement, rien ne change. L’utilisation de données personnelles ne nécessite en principe aucun consentement ni aucune autre justification, tant que l’utilisation des données personnelles suit les principes de transparence et qu’aucune donnée n’est détournée de son but. Mais la nouvelle loi prévoit encore une deuxième, une troisième et une quatrième ligne de défense pour assurer une protection globale des données, une sorte de principe de la couche d’oignon pour la protection des données.
À quoi ressemblent exactement ces « couches d’oignons » ?
La deuxième couche est constituée de mesures d’accompagnement, par exemple en matière de documentation ou d’évaluation des risques. La troisième couche est constituée par les consommateurs et consommatrices. Iels ont des droits clairement définis et doivent être informé·e·s activement de la plupart des traitements de données. Iels peuvent également révoquer des consentements et demander des informations sur le traitement de leurs données.
Reste la quatrième couche, l’application de la loi. Aujourd’hui, le Préposé fédéral à la protection des données et à la transparence (PFPDT) ne peut que formuler des recommandations et porter plainte a posteriori devant le Tribunal administratif fédéral s’il estime que le droit de la protection des données a été violé. Les procédures durent des années. Désormais, le PFPDT peut rendre directement des décisions et exiger, par exemple, l’adaptation d’un traitement de données. Si une entreprise n’est pas d’accord, elle doit s’adresser au Tribunal administratif fédéral.
Que se passe-t-il concrètement lorsque les entreprises ne respectent pas la loi sur la protection des données ?
Certaines infractions sont déjà passibles d’amendes. Dans la pratique, elles ne sont toutefois pratiquement jamais prononcées. Cela change avec la nouvelle loi. Si, par exemple, une personne enfreint le devoir d’information, donne un renseignement incomplet ou faux sur la protection des données ou transmet des données personnelles à l’étranger sans autorisation, une amende pouvant aller jusqu’à 250 000 francs suisses peut être prononcée. Il est important de noter que l’amende n’est pas infligée à l’entreprise elle-même, mais en premier lieu à la personne qui est effectivement responsable de la violation de la loi sur la protection des données. Celui ou celle qui traite des données personnelles a donc tout intérêt à prendre son travail au sérieux.
Que dois-je savoir en tant que consommateur ou consommatrice sur la nouvelle LPD ?
Au fond, pas grand-chose. Ce sont les entreprises qui ont l’obligation de traiter correctement les données. Je peux compter là-dessus. Si j’ai un mauvais pressentiment, je dispose des droits d’accès nécessaires pour savoir comment l’entreprise traite mes données personnelles.
Et comment la nouvelle LPD protège-t-elle maintenant les données des consommateurs et consommatrices ?
En premier lieu, leurs droits sont renforcés et la transparence est accrue. Toutes les entreprises doivent par exemple publier de nouvelles déclarations de protection des données. Cela semble bien, mais c’est plutôt une fausse solution. Même moi, en tant qu’avocat, je n’ai ni le temps ni l’envie de lire toutes les déclarations de protection des données. Sur le fond, il est toutefois positif que les entreprises doivent prendre davantage de mesures d’accompagnement pour traiter les données personnelles de manière consciente et responsable. À cela s’ajoutent les mécanismes d’application. Comme mentionné, le PFPDT peut désormais intervenir directement s’il estime que la protection des données n’est pas respectée.
La nouvelle LPD opte donc pour une approche différenciée. La protection des consommateurs.trices est globale et repose sur différents piliers, tous interdépendants. Si cela a pour conséquence d’améliorer efficacement la protection des données et de protéger la confiance des consommateurs.trices, c’est évidemment une bonne chose.
Quelles sont les obligations à respecter par l’entreprise ?
La législation sur la protection des données prévoit de très nombreuses obligations différentes pour les entreprises, et plus encore pour les organes fédéraux. Expliquer cela en détail ici ennuierait peut-être les utilisateurs.trices. Je le formulerais donc à peu près ainsi : les entreprises doivent en premier lieu satisfaire à une série de mesures procédurales qui doivent garantir la protection des données. Le législateur ne veut pas trop se préoccuper de la protection des données, mais maîtriser les risques de manière pragmatique. À l’ère de la numérisation, c’est de toute façon indispensable.
Comment la nouvelle LPD va-t-elle ou devrait-elle se répercuter sur la protection des données d’un commerçant en ligne comme Digitec Galaxus ?
De nombreux commerçants en ligne sont déjà très sensibilisés à la protection des données. Les données valent de l’or surtout dans les services en ligne. Elles sont généralement gérées de manière responsable. Cela s’explique aussi par le fait que le droit européen, donc entre autres le RGPD, s’applique aussi aux commerçants en ligne suisses qui sont actifs en Europe. Dans le domaine des cookies et du marketing en ligne en général, les règles du droit européen s’appliquent également. C’est pourquoi de nombreuses boutiques suisses connaissent déjà les bannières de cookies et demandent à leurs clients et clientes si elles peuvent les placer. En effet, selon le droit suisse, cela ne serait pas du tout nécessaire. Dans ce domaine, la pratique de l’UE a depuis longtemps des répercussions sur la Suisse.
Le fait de cliquer sans cesse sur les bannières de cookies est très énervant. Quel est le rapport avec la protection des données ?
Il s’agit ici de permettre à la clientèle de déterminer elle-même ce qu’il advient de ses données en ligne. La demande est judicieuse, même si les bannières de cookies sont effectivement agaçantes. Or, les boutiques en ligne vivent fortement de la confiance des client·e·s, car elles traitent souvent des données sensibles. Il est donc avantageux d’expliquer aux client·e·s ce qu’il advient de leurs données. La nouvelle LPD est donc aussi une chance de traiter les données de manière plus transparente vers l’extérieur et plus structurée vers l’intérieur. Il est certain que cela aura un effet positif sur la protection des données.
La nouvelle LPD apporte-t-elle aussi des progrès en matière de cybersécurité ?
Oui et non. La nouvelle LPD ne contient guère de directives concrètes en matière de cybersécurité. Ce n’est pas non plus une obligation. En effet, selon le droit actuel et futur, les entreprises sont généralement tenues de veiller à une « sécurité appropriée des données » en prenant des mesures techniques et organisationnelles. La loi n’énumère pas de mesures concrètes à cet effet. Là aussi, ce serait presque impossible. Mais la nouvelle LPD prévoit une obligation de notification en cas de violation de la sécurité des données. Si une entreprise est piratée, il se peut qu’elle doive le signaler au PFPDT. Les personnes concernées par une violation de la sécurité doivent également être informées, du moins si cela est nécessaire pour leur protection.
Le Parlement a planché pendant quatre ans sur la nouvelle LPD, alors qu’une nouvelle loi sur la protection des données (RGPD) est en vigueur depuis longtemps dans l’UE ? Pourquoi la Suisse a-t-elle besoin d’une solution spéciale ?
C’est une bonne question. On aurait pu simplement reprendre le RGPD. Mais la législation européenne est imprégnée d’une culture très différente de celle du droit de la protection des données en Suisse. L’UE vit une culture de l’interdiction. Certaines réglementations sont tatillonnes et très détaillées, ce qui entraîne au final un énorme travail de documentation. Tout cela s’accorde mal avec la Suisse plus libérale. À cela s’ajoute le fait qu’un RGPD suisse n’aurait pas pu réunir une majorité au Parlement. Des thèmes tels que le profilage ou le nouveau droit à la portabilité des données ont déjà donné lieu à des discussions sans fin. Au final, le législateur a choisi une voie médiane.
Est-ce qu’il y a aussi des différences de contenu entre la nouvelle loi suisse sur la protection des données et le RGPD européen ?
Oui, il y en a beaucoup. Pour simplifier, je qualifierais la nouvelle LPD de RGPD light. Un exemple typique est l’obligation de signaler les violations de la sécurité. Si le principe a été repris, la mise en œuvre est plus pragmatique que chez nos collègues de Bruxelles. En Suisse, par exemple, les violations mineures ne doivent pas être déclarées. Pour d’autres points, c’est pareil.
Mais il y a aussi des cas où la LPD est plus stricte que le RGPD, par exemple, l’obligation d’établir un règlement pour les traitements particulièrement risqués.
Merci pour l’entretien
Tobias Billeter
Head of Corporate Communications
Tobias.Billeter@digitecgalaxus.chMon travail, c’est de m'assurer que les employés et les journalistes sont au courant de ce qui se passe chez Digitec Galaxus. Cela dit, rien ne fonctionne sans un grand bol d'air frais et une bonne dose d’activité physique. Je recharge mes batteries dans la nature pour rester à jour et je trouve la sérénité nécessaire pour apprivoiser mes enfants en écoutant du jazz.
36 commentaires
later