Loi sur la protection des données en Suisse, ici la comparaison avec le RGPD

Le processus de la loi sur la protection des données personnelles

Après plus d’une décennie de discussions et de débats, le Conseil fédéral suisse Lors de la séance du 31 août 2022, elle a achevé la révision globale de la loi sur la protection des données personnelles – LPD. Les dispositions d’exécution correspondantes sont contenues dans plusieurs règlements : le Règlement sur la protection des données (OPda), sur la base des certifications de confidentialité (OCPD). Ce cadre réglementaire a un objectif bien précis : assurer la compatibilité de la nouvelle loi avec le droit européen. Cette révision était nécessaire pour que l’UE puisse continuer à reconnaître la Suisse comme un pays tiers avec un niveau approprié de protection des données. Le nouveau système imposait également la prise en compte des virements transfrontaliers, de sorte que ceux-ci restaient possibles dans les conditions prévues par la nouvelle LPD, c’est-à-dire « sans conditions supplémentaires », comme l’autorité fédérale a pu l’expliquer dans la nouvelle LPD déclaration officielle.

Les étapes de la nouvelle LPD

Il courut l’année 2011 lorsque le Conseil fédéral a approuvé le rapport d’évaluation du DSG sur l’amélioration de la protection des données.

Ce n’est qu’en avril 2015 que la même autorité a mandaté le Département fédéral de justice et police (DFJP) pour remettre un avant-projet de LPD d’ici fin août 2016, qui prend dûment en compte les réformes en cours de la réglementation sur la protection des données au Conseil de l’Europe et dans l’Union européenne.

En septembre 2017, il est venu communique la notification de la révision totale (terminée) de la LPD.

Le processus de consultation a été ouvert dans la seconde quinzaine de juin 2021 et ce n’est que le 31 août 2022 que le Conseil fédéral a finalement adopté la LPD.

Le 10 mai 2023, l’Office fédéral a En vigueur le 1er septembre 2023.

La nouvelle loi LPD dans son architecture réglementaire

Là LPD En termes de structure réglementaire, il se compose de 74 articles, 10 chapitres et diverses sections, qui, dans l’ensemble, nous pouvons déjà dire qu’ils reproduisent essentiellement la structure du RGPD. Mais allons-y dans l’ordre.

Chapitre un : Objet et portée

Le chapitre 1 est consacré à la portée et à la portée. L’objectif est la « protection de la personnalité et des droits fondamentaux des personnes physiques dont les données à caractère personnel sont traitées », comme le dit littéralement l’art. 1.

En ce qui concerne le champ d’application, la DSG s’applique à toutes les données personnelles traitées par des particuliers et des autorités fédérales.

De même, le GDPR ne s’applique pas au traitement des données personnelles des personnes physiques qui est destiné exclusivement à un usage personnel.

La nouvelle LPD, en revanche, ne s’applique pas aux procédures administratives de première instance et, en ce qui concerne la portée géographique, s’applique aussi bien à la Suisse qu’à l’étranger.

Le Commissaire fédéral à la protection des données et à la transparence – PFPDT est une institution qui a pour mission de contrôler l’application de la DSG ; en pratique l’équivalent de l’Autorité de garantie.

Chapitre deux : Dispositions générales

Dans ce Chapitre 2, composé de plusieurs sections, on retrouve ici : le Définitions et principes (articles 5 à 13), jeTraitement par des propriétaires privés établis ou domiciliés à l’étranger (articles 14 et 15), la Transfert de données personnelles à l’étranger (articles 16 à 18)

Il est intéressant de noter que parmi les définitions, la formulation des données personnelles ressort le plus.sont particulièrement dignes de protection» à notre catégorie de Données Individuelles (c’est-à-dire anciennement données sensibles), qui est connue pour inclure les opinions politiques et religieuses, les informations de santé, les informations personnelles, les données génétiques, biométriques et judiciaires.

Ici aussi, la lettre g) définit le « Profilage à haut risque» en matière de profilage. En pratique, tout ce qui présente un « risque élevé » pour la personnalité ou les droits fondamentaux de la personne concernée est le test décisif de toutes ces données profilant les attitudes essentielles d’une personne/personne concernée.

Dans ce récit du texte juridique, nous notons qu’il y a un responsable du traitement, mais pas aussi la figure du copropriétaire.

En ce qui concerne les principes (art. 6), l’ensemble du système dans son ensemble suit le RGPD et invoque des critères tels que la licéité, la bonne foi, la proportionnalité et l’exactitude, à condition que les données soient traitées à des fins et à des fins spécifiques, qui, si elles sont atteintes, doivent être détruites ou rendues anonymes.

En général, toutes les données personnelles doivent être traitées avec des « mesures appropriées ». et nécessitent le consentement, à condition que celui-ci soit donné librement et expressément.

La protection des données doit alors exister dans sa conception et par les défauts de la loi sur la protection des données (article 7) selon les principes de Privacy by design et par défaut du RGPD.

Les données doivent également être sécurisées lorsqu’elles sont traitées par un responsable du traitement (article 9).

Il existe alors un personnage du « conseiller en confidentialité » qui agit comme « l’interlocuteur entre les personnes intéressées et l’autorité fédérale », en pratique notre DPO (article 10).

Les dieux sont attendus règles de comportementla création d’une liste des activités de traitement (art. 12) indiquant l’identité du propriétaire, la finalité, les catégories de personnes concernées/destinataires, le stockage des données, si possible, le transfert des données à l’étranger.

Enfin, il existe un mécanisme de certification pour cette section (article 13).

Dans la deuxième section, le Représentants avec les fonctions correspondantes (articles 14 et 15), tandis que la troisième section du RPB traite de la réglementation des transferts de données à l’étranger, principe de base selon lequel les données personnelles peuvent être transférées à l’étranger sur la base d’un consentement explicite, en cas de conclusion/exécution d’un contrat, lorsque cela est nécessaire pour protéger un intérêt public ou pour établir ou faire valoir un droit devant un juge.

La communication est également nécessaire pour protéger la vie ou l’intégrité physique de la personne concernée.

Chapitre trois : Obligations du responsable du traitement et du sous-traitant

Le chapitre 3 concerne la définition des obligations du responsable du traitement, qui, comme dans le RGPD, sont que les informations sur la manière dont les données ont été collectées doivent être adéquates.

La LDP énonce ensuite la nécessité d’une évaluation d’impact préventive en cas de risque élevé, toujours au regard de la personnalité ou des droits fondamentaux de la personne concernée (article 22). Le « risque élevé » est précisément lors de l’utilisation de nouvelles technologies.

Si, malgré une étude d’impact, le risque reste élevé, comme dans le RGPD, le PFPDT doit être consulté (art. 23).

Ensuite, un schéma/mécanisme similaire de notification de violation de données est prévu (art. 24), en d’autres termes : la violation de données à laquelle se réfère le RGPD.

Chapitre Quatrième : Droits de la personne concernée

Le chapitre 4 traite des droits de la personne concernée, qui, à y regarder de plus près, sont presque identiques à ceux du RGPD, parfois avec des noms différents. Dans ce cas, l’intéressé (le droit d’exercer) a le droit d’accès (art. 25) ainsi que le droit de le limiter (art. 26), également vers les moyens de communication de masse (art. 27), y compris le monde journalistique.

Enfin, l’intéressé peut exercer le droit « de demander la transmission de données ou de demander leur transmission à des tiers », en référence à la portabilité prévue par le RGPD (articles 28 et 29).

Chapitre Cinquième et Sixième : Dispositions Particulières

Au chapitre 5, les articles 30, 31 et 32 ​​régissent les « dommages corporels, les justifications et les réclamations » et indiquent quand, selon l’hypothèse abc, il y a violation et quelles « raisons justificatives » telles que le consentement existent, sans l’absence desquelles un dommage corporel doit être considéré comme illégal.

En ce qui concerne les réclamations, en cas de données personnelles inexactes, l’intéressé peut demander leur rectification, c’est-à-dire la rectification, sauf si l’intérêt public ou la finalité de l’archivage est en jeu.

Des articles 33 à 42, la LDP envisage un certain nombre d’autres dispositions spéciales, parmi lesquelles il est intéressant de mentionner l’art. 34 par rapport aux « Bases juridiques » ou juridiques.

Chapitre sept : Le commissaire fédéral à la protection des données et à la transparence

Le chapitre 7, extrêmement riche en contenu, part de l’art. 43 à l’art. 59 réglemente tout ce qui concerne le Commissaire fédéral à la protection des données et à la transparence, le soi-disant PFDCP qui, en bref, exerce des activités dans le domaine de la protection des données, en surveillant l’application des dispositions fédérales sur la protection des données et la transparence en tant qu’intermédiaire pour l’accès aux documents publics. Parmi les différentes tâches, l’agent est tenu d’enregistrer (art. 56), de fournir des informations (art. 57) ainsi que d’autres tâches (information, soutien, sensibilisation, etc.) conformément et aux fins de l’article 58.

OUChapitre huit : Dispositions pénales

Le chapitre 8, en voie d’achèvement, réglemente les manquements à certaines obligations, dont l’information, l’accès et la coopération, qui peuvent être sanctionnés d’une amende pouvant aller jusqu’à 250 000 francs dès notification (article 60).

Les sanctions semblent être beaucoup plus sévères que GDPRbien que dans ce cas aussi, les décrets minimaux soient absents.

En général, vous pouvez être pénalisé pour avoir enfreint :

• Diligence raisonnable (art. 61)
• le devoir de confidentialité (art. 62)
• Non-respect des décisions (article 63)
• Infractions des sociétés (art. 64)

Chapitre 9 : Conclusions des traités internationaux

Le chapitre 9, à l’article 67, se lit littéralement :

« Le Conseil fédéral peut conclure des traités internationaux sur :

Pour. la coopération internationale entre les autorités de protection des données ;

B. Reconnaissance mutuelle d’une protection adéquate lors du transfert de données à caractère personnel à l’étranger.

En d’autres termes, le système prévoit que le Conseil fédéral est autorisé à conclure des accords de caractère international d’une part sur la coopération internationale et d’autre part sur la reconnaissance mutuelle d’une protection adéquate pour le traitement des données à l’étranger.

Chapitre dix : Dispositions finales

Le chapitre 10, le dernier, dispose à l’art : 68 sur l’art. 74 une série de dispositions finales qui prévoient également l’abrogation des règlements transitoires, leur coordination et leur entrée en vigueur (à partir du 1er septembre 2023).

La nouvelle LPD : Nouveaux éléments par rapport au RGPD

Nous pouvons déduire cela de la digression que nous venons de faire La nouvelle LDP suisse est une loi qui correspond en grande partie au RGPD, ou plutôt, elle est décidément harmonisée.

Cependant, certaines caractéristiques sont distinctives; Pensons une chose pour tout l’art. 10 de la LDP et notamment au point 3, où les responsables de traitement privés peuvent faire usage de l’exception prévue à l’art. 23 alinéa 4 si :

• Le Conseiller exerce sa fonction indépendamment du Responsable du traitement et sans instructions de sa part ;
• le Consultant ne se livre pas à des activités incompatibles avec ses fonctions de Consultant ;
• le consultant a les connaissances techniques nécessaires ;
• Le responsable publie les coordonnées du consultant et les communique au PFPDT.

D’autres points sont différents et certains particuliers que l’hypothèse envisagée à l’art. 64 concernant les « violations dans l’entreprise », selon laquelle les dirigeants d’une société peuvent également être punis d’une amende pouvant aller jusqu’à 50 000 francs en cas de « violation » de la loi. Qui sait s’il y aurait également eu quelque chose dans le RGPD, car nos entreprises italiennes et européennes l’auraient adopté.