Publications

MODIFICATIONS À VENIR DANS LE DOMAINE DE LA PROTECTION DES DONNÉES (SUISSE ET UE)

Des modifications législatives importantes sont imminentes tant au niveau européen qu’au niveau national. Les modifications proposées vont, notamment, entraîner pour les entreprises des obligations de documentation accrues ainsi que l’adaptation des processus suite à l’introduction d’obligations d’annonce et de nouvelles mesures en relation avec la suppression de données personnelles. L’introduction de sanctions plus sévères devrait renforcer la mise en œuvre de la protection des données.

Le RGPD de l’UE

A compter du 25 mai 2018, le nouveau règlement général européen sur la protection des données («RGPD» ou en anglais «General Data Protection Regulation», abrégé «GDPR») aura force obligatoire. Ce règlement constitue le premier grand travail législatif de l’UE et s’appliquera directement aux particuliers et aux entreprises établies dans les 28 Etats membres de l’UE. Le RGPD peut être applicable aux entreprises suisses lorsque, par exemple, celles-ci offrent des biens ou des services dans l’UE et traitent des données personnelles (en Suisse).

Les adaptations principales portent sur les éléments suivants:

  • Des amendes plus sévères: jusqu’à 20 millions d’euros ou – si ce montant est plus élevé - jusqu’à 4% du chiffre d’affaires annuel mondial de l'entreprise
  • Obligations de documentation accrues: le traitement des données personnelles conformément à la réglementation applicable doit être documenté
  • Obligation d’annonce dans les 72 heures si possible, en cas de violation de la protection des données
  • Mise en place d’une durée de conservation des données personnelles et obligation de suppression de celles-ci
  • Elargissement du champ de compétences des autorités de surveillance

Révision complète de la Loi fédérale sur la protection des données

Le Conseil fédéral a également publié un projet de révision totale de la Loi fédérale sur la protection des données en septembre 2017. Ce projet s’inspire largement du RGPD, dont les grandes lignes sont reprises. Le projet de révision suisse reste toutefois plus général. Les sociétés suisses seront aussi confrontées à des obligations de documentation et d’information accrues ainsi qu’à une obligation d’annonce.

La différence de taille est le modèle de sanction prévu. Les menaces de sanctions lourdes de l’UE ne devraient pas être reprises; en Suisse, les violations en relation avec la protection des données devraient conduire à une amende d’un montant maximal de CHF 250’000. Contrairement à l’UE, les amendes ne sont pas infligées à la société mais aux responsables de l’entreprise, c’est-à-dire généralement aux membres du conseil d’administration ou de la direction à titre personnel. En cas d’amendes mineures (inférieures à CHF 50’000), on peut renoncer à la poursuite personnelle et la société sera alors amendée. Une entrée en vigueur de la révision de la Loi fédérale sur la protection des données en 2019 semble réaliste. Afin de répondre aux nouvelles exigences, les processus internes doivent être adaptés à la nouvelle réglementation. Nous vous recommandons de vous renseigner aujourd’hui déjà quant aux nouvelles exigences qu’implique la réglementation révisée.

Vous trouverez ici des informations complémentaires à ce sujet.

backtop