Les nouveautés de la LPD  

Extension des obligations d’information : lors de chaque collecte de données personnelles, les personnes concernées doivent être informées au préalable de manière détaillée. Cette information doit comprendre le but du traitement, le responsable au sein de l’entreprise et les éventuelles catégories de destinataires des données personnelles. Si les données sont divulguées à l’étranger, il est également nécessaire de fournir des informations sur le pays destinataire ainsi que des garanties pour la protection de ces données.

Champ d’application : désormais, seules les données des personnes physiques sont concernées, les données des personnes juridiques ne bénéficiant d’aucune protection particulière. La nouvelle loi s’applique en outre non seulement aux entreprises privées, mais aussi aux autorités, aux personnes privées, aux associations et à tous ceux qui traitent ou enregistrent des données personnelles.

Renforcement des sanctions en cas d’infraction à la LPD : les entreprises ou les employés qui enfreignent la LPD peuvent être sanctionnés par des amendes.

Le principe « Privacy by Design » est introduit : ce principe stipule que la protection de la vie privée doit être intégrée dans le processus de développement des technologies et des systèmes. Cela implique la prise en compte de mesures techniques de protection des données dès le début, afin de garantir que les données personnelles soient protégées de manière adéquate.

Le principe « Privacy by Default » est introduit : ce principe stipule que des réglages et des préréglages favorables à la protection des données doivent être appliqués par défaut afin de protéger la vie privée des utilisateurs.

Introduction de l’obligation de réaliser des analyses d’impact relative à la protection des données (AIPD) : pour certains types de traitement de données, une AIPD doit être effectuée afin d’évaluer les risques pour les droits et libertés des personnes concernées. En cas de risques élevés, une consultation obligatoire du Préposé fédéral à la protection des données et à la transparence (PFPDT) est également prévue.

Un registre des activités de traitement devient obligatoire : les responsables de la protection des données doivent désormais tenir un registre de leurs activités de traitement des données. Les informations qui y figurent doivent être à jour, précises et conformes aux exigences minimales prévues par la loi. Des exceptions sont prévues pour les entreprises qui emploient moins de 250 personnes et dont le traitement des données présente peu de risques.