Marketing numérique

Aperçu de la nouvelle loi suisse sur la protection des données (LPD) 2023

Écrit par Kevin Kyburz

Publié le

La protection des données personnelles en Suisse est régie depuis 1992 par la LPD suisse. Cette loi vise à protéger la personnalité et les droits fondamentaux des personnes. Dans sa nouvelle version, elle entrera en vigueur le 1er septembre 2023 avec toutes ses dispositions d'accompagnement et sans période transitoire. La nouvelle loi suisse sur la protection des données se rapproche davantage du règlement général sur la protection des données (RGPD) en vigueur dans l'UE, mais met l'accent sur certains aspects spécifiques.

La numérisation a rendu nécessaire une révision totale et tient compte des changements technologiques dans la société. Pour les particuliers, cela signifie une transparence accrue et des droits renforcés en matière de traitement et de stockage de leurs données personnelles. Dans cet article, je t'explique en quoi consiste la nouvelle loi suisse sur la protection des données, quelles sont les nouvelles réglementations à respecter et quel est l'impact de la nouvelle LPD sur le site web de ton entreprise.

À qui s'applique la nouvelle loi suisse sur la protection des données ?

En principe, la nouvelle LPD s'applique à toutes les entreprises suisses qui traitent des données personnelles de citoyens suisses. Les entreprises internationales ayant leur siège en Suisse et les entreprises qui exercent des activités transfrontalières doivent également respecter la nouvelle législation sur la protection des données. Le traitement des données comprend non seulement le traitement actuel des données, mais aussi leur stockage et leur archivage.

Les entreprises seront tenues de justifier la collecte d'informations personnelles. Elles devront divulguer à quels tiers elles donnent accès à ces données personnelles. Les personnes physiques auront en outre le droit de demander pendant combien de temps leurs données personnelles seront conservées et à quelles fins elles seront utilisées. Tout particulier pourra exiger que des données erronées soient corrigées, sans avoir à en indiquer les raisons.

Que sont les « données personnelles » et que signifie « traiter » ?

Les données personnelles sont toutes les informations personnelles qui se rapportent à une personne physique identifiée ou identifiable. Ce terme est défini de manière très large dans la loi et peut même inclure des adresses IP individuelles ou des adresses e-mail. Le terme « traiter » est utilisé de manière tout aussi globale.

Le traitement désigne toutes les activités liées à l'utilisation de données à caractère personnel. Cela comprend la collecte, l'enregistrement, la conservation, la modification, l'utilisation et la divulgation de données. La suppression, l'archivage et la destruction des données en font également partie. La nDSG s'applique uniquement aux personnes physiques, et non aux personnes morales.

Les cinq principales modifications apportées à la nouvelle LPD suisse

La nouvelle LPD suisse concerne la protection des données personnelles des personnes physiques. Les données génétiques et biométriques sont considérées comme des données personnelles particulièrement sensibles. La nouvelle loi suisse sur la protection des données s'aligne sur le niveau élevé de protection des données prévu par le règlement général sur la protection des données de l'UE (RGPD). Voici les principaux changements :

  • Pour plus de transparence, les entreprises sont tenues d'informer précisément les personnes concernées de la manière dont leurs données à caractère personnel sont utilisées. Cela ne s'applique plus uniquement aux données particulièrement sensibles, mais également aux cas où les données ne sont pas collectées auprès de la personne concernée. Les entreprises s'engagent à désigner un délégué à la protection des données.
  • Si le traitement des données comporte un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, l'entreprise doit procéder à une analyse d'impact relative à la protection des données. Celle-ci recense les risques suivants pour les personnes concernées dont les données n'ont pas été traitées conformément à la loi.
  • Grâce à des paramètres favorables à la protection des données et à l'utilisation de technologies (Privacy by Design et Privacy by Default), les entreprises s'engagent à établir des règles qui tiennent compte de la protection des données dès la phase de planification et de conception des applications. À défaut, elles doivent obtenir le consentement des utilisateurs.
  • Dans le cadre du profilage, l'obtention d'un consentement n'est obligatoire que si « cela conduit à un recoupement de données permettant d'évaluer des aspects essentiels de la personnalité d'une personne physique » (article 5, paragraphe g nDSG). La loi considère cela comme un « profilage à haut risque ».

Avec la nouvelle DSG, des obligations d'information étendues s'appliqueront aux entreprises à partir du 1er septembre 2023. Elles sont résumées dans le registre du traitement des données personnelles, que je t'expliquerai plus en détail dans la section suivante.

Nouvelle introduction Répertoire des activités de traitement

La modification la plus importante apportée par la nouvelle LPD réside dans la tenue d'un «registre des activités de traitement» conformément à l'article 12 LPD. Si vous traitez de nombreuses données personnelles, vous êtes tenu de créer et de tenir un tel registre. Pour être conforme à la nouvelle LPD, le registre doit contenir au moins les informations suivantes :

  • Les données personnelles du responsable ;
  • La finalité concrète du traitement ;
  • Une catégorisation et une description des personnes concernées et des données personnelles ;
  • Une catégorisation des destinataires ;
  • La durée de conservation ou une détermination de la durée de conservation ;
  • Une description générale du train de mesures visant à garantir la sécurité des données des personnes concernées (sur le plan technique et organisationnel) ;
  • Si des entreprises étrangères sont impliquées, il est nécessaire d'indiquer le pays concerné. Parallèlement, des garanties doivent être fournies en matière de protection des données.

Ce registre a été introduit pour la première fois en Suisse. Il s'inspire du RGPD de l'Union européenne, recense tous les flux de données et documente la finalité concrète du traitement. Il permet ainsi d'avoir une meilleure vue d'ensemble du traitement des données.

Exceptions à la protection des données selon la LPD

Presque toutes les entreprises doivent tenir un tel registre. La nouvelle LPD prévoit une exception pour les petites entreprises qui emploient moins de 250 personnes et qui traitent des données présentant un faible risque pour la personnalité.

Obligations de déclaration en cas d'infractions

La nouvelle loi suisse sur la protection des données prévoit, à l'article 24 LPD, une obligation de signalement en cas de violation de la législation sur la protection des données. Si tu es responsable de la protection des données dans ton entreprise, tu as l'obligation de signaler toute violation de la sécurité des données au PFPDT. L'abréviation PFPDT signifie«Préposéfédéral à la protection des données et à la transparence », qui est chargé de surveiller le respect des dispositions fédérales en matière de protection des données.

Toutes les violations de la sécurité des données lors du traitement des données doivent être signalées. La notification doit être effectuée dans les meilleurs délais. Seules les violations des droits fondamentaux et de la personnalité des personnes concernées doivent être signalées. Conformément à l'article 49, alinéa 1, de la nouvelle LPD, le PFPDT doit enquêter d'office sur toutes les violations de la nouvelle LPD. Si la violation de la loi sur la protection des données est mineure, il peut être renoncé à une enquête conformément à l'article 49, alinéa 2, de la nouvelle LPD. Si ton entreprise a été victime d'une cyberattaque, tu n'as pas besoin de la signaler.

Parallèlement, la révision de la loi sur la protection des données confère davantage de pouvoirs au PFPDT. Il peut imposer des sanctions plus rapides si une entreprise ne respecte pas la nouvelle législation sur la protection des données. Il peut déposer plainte en cas d'infraction, mais n'a pas le pouvoir d'imposer des sanctions. Les poursuites pénales en cas d'infraction sont du ressort des autorités cantonales.

Comment adapter ton site web à la nouvelle LPD ?

Si vous exploitez une boutique en ligne ou un site web en Suisse, vous devez adapter votre site à la nouvelle loi suisse sur la protection des données. Ces recommandations ont pour but de vous aider à rendre votre site web conforme à la protection des données. Vous devez tenir compte des points suivants :

Définition des données personnelles – L'article 5, a nDSG définit les données personnelles comme « toutes les informations qui se rapportent à une personne physique identifiée ou identifiable ». Le terme « traitement » désigne « toute opération ou ensemble d'opérations effectuées ou susceptibles d'être effectuées sur des donnéesà caractère personnel, telles que la collecte, l'enregistrement, la conservation, l'utilisation, la modification, la communication, l'archivage, l'effacement ou la destruction »(article 5, d nDSG).

Sécuriser l'externalisation des services – Si tu utilises les services d'autres entreprises, notamment d'agences, pour ton site web, tu dois respecter l'article 9, paragraphes 1 à 3, de la nDSG. Selon cet article, tes partenaires ne peuvent traiter les données que dans le cadre de tes obligations en tant qu'exploitant du site web. En tant que sous-traitants, ces entreprises doivent être en mesure de garantir la sécurité des données. La sous-traitance d'activités à des entreprises externes reste autorisée par la loi.

Exportation sécurisée des données – Conformément à l'article 16, alinéa 1, nLPD, l'exportation de données vers des pays garantissant un niveau adéquat de protection des données est possible sans problème. Cela inclut les pays de l'UE ainsi que le Royaume-Uni, le Canada, Israël et la Nouvelle-Zélande. Si tu échanges des données avec des entreprises étrangères, tu peux consulter la liste des pays considérés comme sûrs établie par le PFPDT.

Actualité de la déclaration de confidentialité – Vérifiez si la déclaration de confidentialité de votre site web est à jour et complète. Conformément à l'article 19, alinéa 1 nDSG, les exploitants de sites web sont tenus d'informer les utilisateurs de la collecte de leurs données personnelles. Conformément à l'art. 19, al. 2 et suivants de la nouvelle LPD, il doit être clairement indiqué qui est responsable du site web, qui traite les données personnelles et à quelles fins. Les exportations de données sont-elles sécurisées et quels sont les droits des personnes concernées ?

Répondre correctement aux demandes – Si vous recevez des demandes de personnes concernant l'utilisation de leurs données, vous devez y répondre dans un délai de 30 jours, conformément à l'article 25 et suivants de la nLPD. Chaque demande doit être examinée avec soin et la personne concernée doit être identifiée. Le droit d'accès et de suppression des données à caractère personnel s'applique. Il est important de noter que toute demande de ce type émanant de personnes doit recevoir une réponse.

Si vous enfreignez la nouvelle ordonnance suisse sur la protection des données, vous devez vous attendre à des conséquences financières. Les particuliers s'exposent à une amende pouvant aller jusqu'à 250 000 francs suisses en cas d'infraction. Les actes intentionnels et le non-respect des obligations d'information sont sanctionnés. Les entreprises doivent payer des amendes pouvant aller jusqu'à 50 000 francs suisses si les personnes responsables ne peuvent être identifiées. Les infractions particulièrement graves peuvent même entraîner des peines d'emprisonnement.

nDSG contre RGPD – la plus grande différence

La nouvelle loi suisse sur la protection des données s'aligne sur le règlement général sur la protection des données de l'UE, plus strict. Il existe plusieurs différences. Il est essentiel que les personnes concernées ne soient pas tenues de donner leur consentement explicite au traitement des données. Ce n'est le cas que lorsqu'il s'agit de données personnelles particulièrement sensibles présentant un risque élevé. Il est obligatoire d'informer les personnes concernées des traitements de données prévus.

Le RGPD de l'UE s'applique-t-il également en Suisse ?

Bien que la Suisse ne fasse pas partie de l'UE, le RGPD concerne également les entreprises suisses. Cela vaut en particulier lorsque le traitement des données concerne des données à caractère personnel de citoyens de l'UE ou qu'il existe des relations contractuelles avec des prestataires situés dans d'autres pays européens. La nouvelle LPD s'applique également aux traitements de données qui ont des répercussions en Suisse, même s'ils ont été initiés à l'étranger.

La nDSG – un bref résumé

La nouvelle LPD entrera en vigueur en Suisse le 1er septembre 2023. Cette révision de la loi a pour objectif principal de tenir compte des progrès technologiques et de l'évolution de la législation en matière de protection des données dans les pays voisins. La nouvelle loi sur la protection des données régit les obligations d'information supplémentaires à l'égard des personnes dont les données sont traitées. Il s'agit d'améliorer la transparence et la sécurité des données.

Les entreprises doivent prendre des mesures externes et internes pour sécuriser le traitement des données. Si des adaptations s'avèrent nécessaires, elles doivent être achevées avant l'entrée en vigueur de la loi fédérale en septembre 2023. Les responsables de la protection des données doivent sensibiliser les collaborateurs à la question de la sécurité des données, qui doit être activement mise en pratique. Les certifications en matière de protection des données instaurent la confiance et améliorent l'image de l'entreprise.

LinkedIn
Kevin Kyburz

Kevin Kyburz

Fondateur et PDG

Dès mes premiers pas sur Internet, j'ai été subjugué par les possibilités illimitées qu'il offrait. Vingt ans ont passé depuis, et mon intérêt n'a pas faibli. Aujourd'hui, je combine ma passion pour le référencement, le marketing et WordPress au sein de this:matters.

Contributions sur des thèmes similaires

Nouvelle base d'hébergement, optimiseur intelligent et Dr.FLARE Reloaded : la performance redéfinie

Hébergement et sécurité

Nouvelle base d'hébergement, optimiseur intelligent et Dr.FLARE Reloaded : la performance redéfinie

Kevin Kyburz

Kevin Kyburz

PHP 8.4 Couverture

développement

PHP 8.4 : nouvelles fonctionnalités et améliorations pour le langage de programmation

Kevin Kyburz

Kevin Kyburz

WooCommerce multilingue avec Weglot

WordPress

WooCommerce multilingue : toucher une clientèle internationale grâce à une boutique WordPress disponible en plusieurs langues

Kevin Kyburz

Kevin Kyburz

Un message à nos clientes et clients thismatters

Actualités de this:matters

Une mise à jour pour nos clientes et clients

Kevin Kyburz

Kevin Kyburz

Logo this:matters

this:matters est ton agence spécialisée dans WordPress (développement, hébergement, assistance), le marketing de contenu et la communication.

schwyz prochain logo

Contact

this:matters GmbH
Hasen 64
6424 Lauerz

+41 41 511 21 21

courriel

hello@thismatters.agency

menu

À propos de nous

équipe

blog

Mentions légales

protection des données

Médias

Plan du site

Populaire

Qu'est-ce que WordPress ?

Qu'est-ce que Cloudflare ?

Qu'est-ce que Google Search Console ?

Partenaires Cloudflare

Qu'est-ce que l'Interaction to Next Paint (INP) ?

Dr.FLARE Reloaded - Extension Google Chrome

© 2026 this:matters | Made with Un cœur en Suisse