Page 25 - kmu-magazin-no-2-2022-fr
P. 25

                   Nouvelle loi sur la protection des données Ce que les entreprises doivent savoir.
La loi suisse sur la protection des données révisée devrait entrer en
vigueur au 1er septembre 2023. Les entreprises doivent initier les changements nécessaires dès aujourd’hui.
Dominik Buholzer
La protection des citoyens est au cœur de la nouvelle loi sur la protection des données (LPD): la modification de la loi vise à renforcer leur autodétermination concernant leurs données. Désormais, les données des personnes morales
ne sont plus protégées. À l’avenir, une obligation d’information plus stricte s’appliquera lors de la collecte de don- nées et les violations de la sécurité des données devront être signalées. En parallèle, nous nous sommes alignés sur les dispositions de la législation euro- péenne sur la protection des données. Les modifications concernent avant tout les décisions individuelles automatisées (décisions prises en autonomie par un ordinateur) ou l’évaluation des consé- quences en matière de protection des données (examen visant à identifier les risques pour la vie privée des personnes concernées et à les réduire à l’aide de mesures adaptées). Avec la nouvelle LPD, les sanctions ont été durcies. Les manquements sont passibles d’amendes pouvant atteindre 250’000 francs.
Les principales modifications apportées sont les suivantes:
– À l’avenir, les entreprises seront tenues
d’informer les personnes concernées de chaque collecte de données.
– La définition des données person- nelles particulièrement sensibles a été étendue. Elle comprend désormais les données génétiques et biomé- triques permettant d’identifier une personne.
– Désormais, les entreprises seront tenues d’effectuer une estimation des conséquences en matière de protec- tion des données si le traitement pré- sente un risque élevé pour les droits de personnalité ou les droits fonda- mentaux de la personne concernée.
– Les entreprises sont tenues de tenir compte des principes de traitement des données dès la planification et la conception d’applications. Seules les personnes qui en ont besoin pour exécuter leurs tâches doivent avoir accès aux données. Et il doit être impossible d’obtenir des consente- ments de personnes concernées allant au-delà du traitement des données absolument nécessaire par les paramètres par défaut.
– Si des décisions individuelles automa- tisées sont prises, c.-à-d. des déci- sions concernant une personne prises en autonomie par un ordinateur (sans qu’un humain n’intervienne) la per- sonne concernée doit en être informée au préalable. De plus, la personne
concernée bénéficie d’un droit à
l’examen de la décision par un humain. – Les entreprises sont tenues de tenir un répertoire des activités de traite-
ment des données. Les entreprises de moins de 250 collaborateurs ne sont pas concernées par cette règle si leur traitement des données présente un faible risque de violation des droits de personnalité.
– En cas de violation de la confiden- tialité des données, un signalement doit vite être envoyé au Préposé fédéral à la protection des don- nées et à la transparence (PFPDT) si elle est susceptible de présen- ter un risque élevé. En règle géné- rale, le responsable doit également avertir les personnes concernées si cela est nécessaire à leur pro- tection ou si le PFPDT le requiert.
– Dans certains cas, la nouvelle lé- gislation sur la protection des don- nées s’applique également aux entreprises étrangères menant leurs activités sur le marché Suisse et qui traitent les données de per- sonnes domiciliées en Suisse.
NOUVELLE LOI SUR LA PROTECTION DES DONNÉES
25















































































   23   24   25   26   27