swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La nouvelle Loi fédérale sur la protection des données entrera en vigueur le 1er septembre 2023

Livio di Tria et Kastriot Lubishtani, le 31 août 2022
Le Conseil fédé­ral a annoncé que la nouvelle Loi fédé­rale sur la protec­tion des données du 25 septembre 2020, ainsi que les dispo­si­tions d’exécution inscrites dans les nouvelles ordon­nances entre­ront en vigueur le 1er septembre 2023.

Entrée en vigueur de la nouvelle Loi fédé­rale sur la protec­tion des données (nLPD)

C’est l’achèvement d’un long proces­sus commencé en 2010 (cf. www​.swiss​pri​vacy​.law/11). Le Conseil fédé­ral a décidé lors de sa séance du 31 août 2022 que la nLPD et les dispo­si­tions d’exécution inscrites dans les nouvelles ordon­nances entre­ront en vigueur le 1er septembre 2023.

Les milieux écono­miques, ainsi que l’administration fédé­rale, disposent désor­mais d’une année afin d’entreprendre les démarches néces­saires à la mise en œuvre du nouveau droit. Peu surpre­nant, ce délai de  vise à répondre aux préoc­cu­pa­tions de ces milieux écono­miques afin de leur lais­ser le temps néces­saire pour procé­der à la mise en œuvre du nouveau droit. La nLPD prévoit en effet de nouvelles obli­ga­tions à charge du respon­sable du traitement.

Ordonnances fédé­rales sur la protec­tion des données (OPDo) et sur les certi­fi­ca­tions en matière de protec­tion des données (OCPD)

À l’occasion de sa séance, le Conseil fédé­ral a révélé le contenu de l’OPDo et de l’OCPD. Le projet qui a abouti à l’OPDo (autre­fois OLPD) a été initia­le­ment soumis à une procé­dure de consul­ta­tion (cf. www​.swss​pri​vacy​.law/81) à laquelle nous avions parti­cipé (cf. www​.swiss​pri​vacy​.law/93).

Il ressort des résul­tats de la procé­dure de consul­ta­tion de l’OPDo que de nombreux parti­ci­pants se sont expri­més de manière très critique à son égard, ce qui est certai­ne­ment l’une des raisons pour laquelle le proces­sus d’adoption de l’OPDoa pris autant de temps. Ces résul­tats sont résu­més par l’Office fédé­ral de la justice dans son rapport sur les résul­tats de la procé­dure de consul­ta­tion. Nous sommes à ce propos heureux de consta­ter que certains points de notre prise de posi­tion ont été pris en compte.

Afin de tenir compte des avis émis lors de la consul­ta­tion, le Conseil fédé­ral a adapté le projet d’OPDo. Ces adap­ta­tions portent sur divers points, dont le chapitre sur la sécu­rité des données qui prévoit désor­mais expres­sé­ment l’approche par le risque et le fait que les mesures tech­niques et orga­ni­sa­tion­nelles doivent être prises avec de proté­ger la confi­den­tia­lité, la dispo­ni­bi­lité, l’intégrité et la traça­bi­lité des données. Les chapitres concer­nant les obli­ga­tions du respon­sable du trai­te­ment et les droits des personnes concer­nées ont égale­ment été rema­niés en profon­deur. À noter que le Conseil fédé­ral a inté­gré une excep­tion au devoir d’informer du respon­sable du trai­te­ment s’agissant des commu­ni­ca­tions de données person­nelles à l’étranger fondées sur des clauses de protec­tion des données d’un contrat (art. 9 al. 3 OPDo).

En ce qui concerne l’OCPD, elle garde la même struc­ture que l’ordon­nance actuelle, c’est-à-dire qu’une première section est consa­crée aux orga­nismes de certi­fi­ca­tion, une deuxième traite des objets et de la procé­dure de certi­fi­ca­tion, une troi­sième prévoit les sanc­tions et une quatrième porte sur les dispo­si­tions finales. Les grandes nouveau­tés appor­tées portent notam­ment sur des simpli­fi­ca­tions et unifi­ca­tions sur un plan termi­no­lo­gique, sur des adap­ta­tions en lien avec la nouvelle termi­no­lo­gie utili­sée par l’art. 13 nLPD. Des exigences supplé­men­taires rela­tives au programme de certi­fi­ca­tion dont doivent dispo­ser les orga­nismes de certi­fi­ca­tion ont égale­ment été intro­duites, de même que les exigences rela­tives à la certi­fi­ca­tion des services et des proces­sus, dont les durées de certification.

Quelle suite désormais ?

La nLPD ne prévoit aucune dispo­si­tion tran­si­toire prévoyant une diffé­rence entre l’entrée en vigueur de la nLPD et sa pleine appli­ca­bi­lité. Cela a pour consé­quence que les respon­sables du trai­te­ment, sous réserve de certaines obli­ga­tions (cf. art. 69 nLPD), doivent se mettre en confor­mité pour le 1er septembre 2023 déjà.

Du côté du cadre légis­la­tif, nous souli­gnons que les modi­fi­ca­tions appor­tées à la nLPD (FF 2022 1561) peuvent encore faire l’objet d’un réfé­ren­dum facul­ta­tif puisque le délai échoit au 6 octobre 2022 (cf. www​.swiss​pri​vacy​.law/​161). Il faudra encore attendre un bon mois pour mettre un point final à la révi­sion totale de la légis­la­tion fédé­rale en matière de protec­tion des données. Une fois celui-ci mis, nous pour­rons tour­ner notre regard sur l’Union euro­péenne, et pas forcé­ment avec quié­tude. La Commission euro­péenne est actuel­le­ment en train d’analyser la légis­la­tion suisse en matière de protec­tion des données afin de déter­mi­ner si elle renou­velle – ou non – sa déci­sion d’adéquation. Les révi­sions des légis­la­tions canto­nales en matière de protec­tion des données – qui patinent dans certains cantons – peuvent égale­ment jouer un rôle.



Proposition de citation : Livio di Tria / Kastriot Lubishtani, La nouvelle Loi fédérale sur la protection des données entrera en vigueur le 1er septembre 2023, 31 août 2022 in www.swissprivacy.law/168


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Données personnelles : une approche dynamique, contextuelle et pragmatique
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law