La Loi fédérale révisée sur la protection des données (LPD; RS 235.1) entrera en vigueur le 1er septembre 2023. D’ici là, les mesures pour la mise en conformité avec les nouvelles directives devront être mises en place, puisque les dispositions transitoires ne s’appliquent qu’à des cas spécifiques (art. 69 ss LPD).

La révision n’apporte pas de modifications majeures. En particulier, les différents principes de traitement de données demeurent inchangés. Ainsi, tout traitement de données personnelles doit d’ores et déjà respecter les principes de licéité, de la bonne foi, de la proportionnalité, de l’économicité des données (principe du «need-to-know»), de la reconnaissabilité, de la finalité, de l’exactitude et de la sécurité.

Le paradigme retenu par le droit suisse de la protection des données n’a pas non plus été modifié par la révision. Seule la violation des principes précités sans motif justificatif constitue toujours une atteinte illicite à la personnalité et, par conséquent, une violation de la LPD.

Nouvelles dispositions au 1er septembre 2023?
Les points suivants résument les modifications de la Loi révisée sur la protection des données:

• Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
• La nomination d’un conseiller ou d’une conseillère à la protection des données (DPO) est possible pour les responsables du traitement privés et obligatoire pour les organes fédéraux. Les institutions de prévoyance enregistrées sont considérées comme un organe fédéral et devront donc respecter cette obligation (ainsi que les règles particulières prévues par la LPP).
• En raison du risque élevé d’atteinte à la personnalité des personnes concernées, les institutions de prévoyance devront mettre en place un registre de traitement des données d’ici à l’entrée en vigueur de la loi. Le contenu minimum de ce registre est précisé par la loi (cf. art. 12 LPD).
• Le droit des personnes concernées est renforcé. Une déclaration sur la protection des données ad hoc doit notamment être établie. Le devoir d’information des responsables de traitement de données personnelles est dès lors plus étendu. Il concerne toutes les données personnelles et pas seulement les données sensibles.
• Le transfert des données à l’étranger est soumis à des exigences particulières.
• Dans le domaine des sanctions, des dispositions pénales visant directement une «personne physique» et pouvant aller jusqu’à CHF 250 000.– sont prévues en cas de violation intentionnelle (art. 60 ss LPD).
• La mise en place d’analyses d’impact relatives à la protection des données personnelle (AIPD) est prévue.
• L’obligation pour le responsable du traitement de tenir compte des principes de la protection des données dès la conception du traitement et des applications («Privacy-by-Design» et «Privacy-by-Default»).
• Le respect des règles relatives à la sous-traitance et des obligations supplémentaires en cas de profilage à risque élevé.
• Du côté informatique, il convient de s’assurer que la sécurité des systèmes et logiciels informatiques est garantie (cf. mesures techniques et organisationnelles en prévention aux potentiels cyberattaques et vols de données).
• Une nouvelle obligation d’annonce au Préposé fédéral à la protection des données et à la transparence (PFPDT) «dans les meilleurs délais» est imposée au responsable de traitement de données personnelles en cas de violation de la sécurité des données présentant un risque élevé pour les personnes concernées.

Il est également primordial de former et de sensibiliser ses propres collaborateurs à la protection des données. De plus, il est important de procéder régulièrement à des contrôles relatifs à la mise en œuvre et au respect des règles sur la protection des données.

Les fondations de prévoyance sont également concernées par ces nouvelles règles. Toutefois, il est à relever que ces dernières ne partent pas de zéro puisqu’une grande partie des obligations relatives à la protection des données découlent de la loi actuellement en vigueur.

Trois points à retenir:

• La Loi fédérale révisée sur la protection des données (LPD; RS 235.1) entrera en vigueur le 1er septembre 2023.
• Les nouvelles dispositions s’appliquent également aux institutions de prévoyance.
• La révision n’entraîne pas de modifications fondamentales. Les consignes relatives au traitement des données restent inchangées.
• Les nouveautés (p. ex. registre de traitement de données) doivent toutefois être prises en compte et implémentées, par exemple dans le cadre d’un projet au sein de la fondation de prévoyance.

Votre Key Account Manager personnel ou moi-même nous tenons volontiers à votre disposition pour approfondir ces questions.