L’entrée en vigueur de la nouvelle la loi fédérale sur la protection des données (LPD) préalablement annoncée pour début 2022 devrait être repoussée à fin 2022, voire début 2023. En effet, l’ordonnance d’application est en cours de rédaction et de consultation auprès des offices fédéraux (OLPD) tout comme l’Ordonnance sur les certifications en matière de protection des données (OCPD). L’OLPD devra ensuite être mise en consultation par le Conseil fédéral, mais cela ne sera vraisemblablement le cas que ce printemps ou cet été. Si cela laisse un délai supplémentaire pour s’adapter, il demeure toutefois que les entreprises seraient bien avisées de s’y prendre suffisamment tôt, le processus d’adaptation aux nouvelles exigences légales pouvant prendre plusieurs mois. Il s’agira en effet d’identifier les potentielles activités de traitement concernées, d’analyser le statut actuel de l’entreprise et d’identifier les écarts de conformité avec le nouveau droit, d’établir un plan d’action pour mettre en place les nouvelles dispositions légales et notamment les registres des actions de traitement et de contrôler ensuite que la mise en place des outils a bien été faite. Les entreprises qui respectent déjà le RGPD seront avantagées dans ce processus.

Voici un rappel des changements les plus importants :

Principes généraux : Le traitement de données doit respecter les principes de licéité, de bonne foi, de transparence, de finalité, de minimisation des données et d’exactitude. Les exigences sur le consentement, qui peut ensuite être retiré, sont renforcées. La LPD limite son champ d’application aux données des personnes physiques uniquement.

Données sensibles : la révision élargit la liste des données sensibles qui sont soumises à des exigences légales supplémentaires en matière de consentement ou de divulgation à des tiers notamment (p. ex : données sur la santé). Le Profilage à risque élevé, dont la définition doit encore être précisée, est spécifiquement règlementé par la loi.

Nouveaux droits aux personnes dont les données sont traitées : les personnes concernées auront droit d’accéder à leurs données (et notamment d’en demander des copies) ainsi que d’en exiger la rectification ou l’effacement (« droit à l’oubli »). Le droit à la portabilité des données est introduit.

Nouvelles exigences pour l’auteur du traitement : la LPD impose de mettre en œuvre des mesures techniques et organisationnelles, d’appliquer les principes de protection des données dès la conception (privacy by design) et de tenir un registre du traitement des données. Toute violation grave de la protection des données devra être annoncée et les responsables de traitement privés peuvent nommer un conseiller à la protection des données (DPO).