Data Quality
Temps de lecture

Nouvelle loi sur la protection des données (revLPD) en Suisse

neues-datenschutzgesetz-in-der-schweiz_header.jpg

Quoi de neuf ?


La loi sur la protection des données, fondamentalement révisée, sera applicable en Suisse à partir du 01.09.2023. Les indications suivantes ne sont pas destinées à fournir des conseils juridiques. Vous trouverez ci-dessous un aperçu simple et concis des principaux changements liés à la nouvelle loi sur la protection des données (nLPD ou revLPD) en Suisse. Effectuez directement les modifications, évitez les amendes et profitez-en pour jeter un coup d'œil sur la qualité de vos données clients.

 

Qui est concerné par la nouvelle loi sur la protection des données (revLPD) ?


La nouvelle loi sur la protection des données (revLPD) concerne tout d'abord toutes les entreprises ayant leur siège en Suisse. Mais elle s'applique également aux entreprises étrangères qui opèrent en Suisse ou dont le traitement des données a des répercussions sur la Suisse. Dans le droit suisse de la protection des données, le principe du lieu du marché s'applique à partir de septembre (art. 3, al. 1, revLPD). Cela signifie que le droit suisse s'applique également aux affaires qui ont des répercussions en Suisse, même s'ils ont été initiés à l'étranger. Le siège de l'entreprise n'est donc pas déterminant. Pour que le droit suisse de la protection des données soit applicable, il suffit par exemple que des marchandises ou des services soient proposés à des clients en Suisse.

La nouvelle loi suisse s'inspire du règlement général européen sur la protection des données (RGPD). Il faut donc partir du principe qu'il est nécessaire d'agir davantage si l'on ne travaille pas encore en conformité avec le RGPD.

 

Aperçu des principaux changements

Champ d'application et portée :


La LPD révisée se limite, de manière comparable au RGPD de l'Union européenne, à la protection des données des personnes physiques. Jusqu'à présent, la loi sur la protection des données en Suisse couvrait également les personnes morales. En outre, les données génétiques et biométriques sont des données particulièrement sensibles et doivent être considérées comme nécessitant une protection particulière.

Analyse d'impact sur la protection des données :


Avec la revLPD, les entreprises sont en outre tenues de réaliser une analyse d'impact sur la protection des données documentée lorsque le traitement des données présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

Transparence améliorée :


Les obligations d'information des entreprises sont nettement plus étendues qu'auparavant. Selon la nouvelle loi, les personnes doivent être informées de manière adéquate de toute collecte de données, même si les données ne sont pas collectées auprès de la personne concernée. Jusqu'à présent, cela ne s'appliquait qu'aux données sensibles. Dans un souci de transparence, un responsable du traitement des données, la finalité du traitement, le destinataire et, en cas d'exportation des données à l'étranger, le pays destinataire doivent être mentionnés.

Profilage :


La revLPD ne prévoit pas d'obligation générale de demande de consentement. Toutefois, le consentement doit être obtenu lorsqu'un traitement automatisé de données est effectué et qu'il permet d'évaluer des aspects essentiels de la personnalité d'une personne physique (art. 5, al. g, revLPD). C'est le cas lorsque des données exploitées concernent des aspects personnels d'une personne, tels que la santé, le comportement, les intérêts, le lieu de séjour, etc. Il s'agit d'un risque élevé de profilage.

Signalement rapide au PFPDT :


L'obligation d'annoncer les violations de la sécurité des données est également nouvelle et comparable à celle du RGPD de l'UE. Le PFPDT doit être informé le plus rapidement possible lorsque des données ont été perdues, détruites, effacées ou modifiées de manière accidentelle ou illicite, ou lorsque des données personnelles ont été rendues accessibles à des personnes non autorisées et qu'il en résulte vraisemblablement un risque élevé pour les personnes concernées. En règle générale, le responsable doit également informer les personnes concernées si le PFPDT l'exige ou si cela est nécessaire pour protéger les personnes concernées.

Privacy-by-Design et Privacy-by-Default
(protection des données par la technologie et les paramètres par défaut favorables à la protection des données) :


La protection des données doit être prise en compte dès la planification et la conception. Par exemple, les consentements des utilisateurs qui vont au-delà du traitement des données strictement nécessaire doivent être explicitement recueillis. Les préréglages correspondants ne sont pas autorisés.

À quoi dois-je en outre veiller pour respecter les dispositions du revLPD en matière de protection des données ?


A l'avenir, un registre du traitement des données personnelles au sein de l'entreprise devra être tenu. Toutes les entreprises ayant leur siège en Suisse et/ou participant à des transferts de données vers ou depuis la Suisse doivent tenir un tel registre. Il faut y documenter quelles données personnelles sont collectées, comment et dans quel but.

Sont considérées comme des données personnelles "toutes les indications qui se rapportent à une personne physique identifiée ou identifiable" (art. 5, let. a, LPD révisée). Une évaluation des risques permet de vérifier les exigences en matière de conformité à la protection des données. Les étapes nécessaires peuvent ensuite être identifiées dans le cadre d'une analyse des écarts.

L'exigence selon laquelle un contrat correspondant doit être conclu avec chaque prestataire tiers est également comparable au RGPD de l'UE. Comme pour le RGPD de l'UE, il existe à cet effet un contrat de traitement des commandes (CTP) standardisé ou un accord de traitement des données (DPA).
 

Conclusion:


Sans une vision uniforme des données, il est en principe difficile pour les entreprises de satisfaire aux exigences de la LPD révisée. En particulier l'aspect de la transparence et de la communication au PFPDT qui y est liée - si les données doivent d'abord être rassemblées péniblement, il y a toujours le risque que tout ne soit pas saisi. Il reste donc toujours un risque résiduel d'enfreindre les directives - avec des conséquences financières et d'image. C'est pourquoi il est indispensable que les données clients soient de grande qualité, qu'elles soient actialisées et qu'elles ne contiennent pas de doublons. En outre, les données de référence clients sont souvent présentes dans différents systèmes et/ou sont conservées en silos. Un Golden Profile pourrait alors permettre d'avoir une véritable vision à 360 degrés sur le client. Cela crée en fin de compte la sécurité juridique nécessaire en ce qui concerne la protection des données nationales et internationales.

Vision client à 360° : votre guide de démarrage


Le modèle 'épicerie de quartier' n'a jamais été aussi précieux qu'aujourd'hui ! On peut parier que oui. Car ce que l'épicier maîtrisait instinctivement à petite échelle - la vision à 360 degrés de chaque client - vous devez l'appliquer à grande échelle à vos clients : Toutes les informations sur chaque client sont réunies dans un seul jeux de données, le Golden Record. C'est la clé de la personnalisation dans la gestion de l'expérience client au sein du parcours client.

Dans notre guide de démarrage 'Vision client à 360°', vous découvrirez comment exploiter pleinement le potentiel des ventes et des revenus à partir de données clients consolidées :


Télécharger le document maintenant

Partager l'article:

Cela pourrait aussi vous intéresser :

Qualité des données
Des données de qualité optimisées sont une condition essentielle pour le succès de votre entreprise. Comprenez, gérez, normalisez, nettoyez, validez, dédupliquez, exploitez, protégez et surveillez vos données à toutes les étapes de leur cycle de vie.
Déduplication
Trouvez et nettoyez les enregistrements double et multiple de vos clients et prospects, avec une identification de précision tolérante aux erreurs, fondée sur des bases de connaissances spécifiques à chaque pays et obtenez ainsi un système propre et sans doublons.
Data Cleansing
Nettoyez vos données de manière ciblée, en tant qu'élément central de toute initiative de qualité des données, avec un nettoyage initial au lancement, périodique dans le cadre de la maintenance des données (anti-aging) ou continu dans le cadre du First Time Right (Data Quality Firewall).