DE
FR
IT
EN
À propos
Blog
Emplois 4
Meet
Assistance
HÉBERGEMENT WEB
SERVEUR
DOMAINE
E-MAIL & OFFICE
SITE WEB
WEBSHOP
SEO
À PROPOS
BLOG
Emplois4
Assistance
Login
La nouvelle loi sur la protection des données arrive en 2023. Ce que vous devez savoir

La nouvelle loi sur la protection des données arrive en 2023. Ce que vous devez savoir

La nouvelle loi sur la protection des données et la nouvelle ordonnance y afférente entreront en vigueur le 1er septembre 2023. Il convient donc de se conformer à cette nouvelle législation d’ici là. L’avocat Lucian Hunger du cabinet VISCHER détaille les principales nouveautés à prendre en compte et donne de précieux conseils pratiques.

Savoir-faire
Lucian Hunger Lucian Hunger · Attorney at Law, VISCHER

Nous y serons l’année prochaine: La révision totale de la loi fédérale sur la protection des données (LPD) et de l’ordonnance sur la protection des données (OPDo), déjà adoptée par le Parlement en septembre 2020, entrera en vigueur le 1er septembre 2023. À l’origine, la Confédération prévoyait l’entrée en vigueur de ces régimes juridiques dès le second semestre 2022. Cependant, le gouvernement fédéral a souhaité accommoder les entreprises et leurs responsables de la protection des données en leur laissant suffisamment de temps pour se préparer à ce changement. Les choses sérieuses commenceront au mois de septembre de l’année prochaine. D’ici là, il est encore temps de remettre en question vos pratiques de traitement de données et de bien vous préparer à la nouvelle législation.

À qui s’applique la nouvelle loi?

La loi sur la protection des données et l’ordonnance y afférente s’appliquent au traitement de données personnelles par des particuliers (et des organes fédéraux). Par conséquent, les entreprises privées, mais aussi les associations et, en principe, les particuliers sont concernés. Alors que les entreprises et les associations ne peuvent en règle générale pas se soustraire à la prise en compte du droit sur la protection des données, les particuliers sont exemptés de respecter les prescriptions du droit sur la protection des données tant qu’ils traitent des données personnelles exclusivement à des fins personnelles. L’exception «à des fins personnelles» ne s’applique toutefois qu’aux traitements de données relevant strictement de la sphère privée et familiale (famille proche et amis), ce qui n’est généralement pas le cas d’un site Internet public. Les exploitants de sites Internet privés – tout comme les entreprises – sont donc régulièrement concernés par la nouvelle LPD et la nouvelle OPDo.

Que sont les «données personnelles» et que signifie «traiter»?

Le terme «données personnelles» désigne toutes les données qui se réfèrent à une personne physique identifiée ou identifiable. Dans la pratique, ce terme peut couvrir un éventail très large de données et, selon les circonstances, il peut même s’agir d’une simple adresse IP.

La notion de «traitement» a également un sens très large. Le terme englobe en fait presque toutes les activités auxquelles on peut penser. Il inclut notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, la suppression ou la destruction de données. Ainsi, rien ne change sur ce plan par rapport à la législation actuelle. La révision apporte toutefois un allègement: désormais, la LPD et l’OPDo ne sont plus applicables lorsque des données concernant des personnes morales sont traitées. Mais attention, les collaborateurs et collaboratrices d’une entreprise sont toujours protégés par la LPD sous la nouvelle législation.

Que faut-il donc faire?

La législation sur la protection des données impose de nombreuses obligations aux responsables du traitement de données, certaines étant nouvelles et d’autres déjà existantes. Vous trouverez ci-dessous un aperçu des principales obligations des responsables.

Principes du traitement de données
Les principes de traitement n’étant pas fondamentalement modifiés par la révision, les traitements de données autorisés jusqu’à présent devraient normalement continuer à l’être dans le cadre de la nouvelle législation. Les données personnelles ne peuvent être traitées que de manière licite, et le traitement doit être effectué de bonne foi. Il est important que les données ne puissent être traitées que pour la finalité pour laquelle elles ont été collectées et que cette finalité soit reconnaissable pour la personne concernée (limitation de la finalité). Si des données personnelles sont traitées en violation des principes de la protection des données (p. ex. pour une autre finalité), il peut en résulter une atteinte à la personnalité de la personne concernée. Une telle atteinte peut toutefois être justifiée si elle répond à un intérêt privé ou public prépondérant (p. ex. traitement de données en relation directe avec un contrat) ou si la personne concernée y consent.

Suppression de données personnelles
Les données personnelles doivent être effacées ou anonymisées dès qu’elles ne sont plus nécessaires à la finalité du traitement.

Inventaire des traitements
Les entreprises et organisations de 250 collaborateurs et plus doivent tenir un inventaire de tous les traitements effectués. Les entreprises de moins de 250 collaborateurs en sont en principe dispensées, sauf si des données personnelles dignes de protection sont traitées à grande échelle ou si un profilage à haut risque est effectué.

Obligations d’information et déclaration de protection des données
Lorsque des données personnelles sont traitées, les personnes concernées doivent être informées de l’étendue et de la finalité du traitement des données. Cela se fait généralement par le biais d’une déclaration de protection des données, aussi appelée déclaration ou charte de confidentialité. Pour ce faire, il est recommandé de suivre les conseils suivants:

En savoir plus:
Dans un article précédent du blog Hostpoint, le cabinet d’avocats VISCHER a compilé des conseils importants et utiles pour rédiger une déclaration de protection des données pour votre propre site Internet:
Comment rédiger une déclaration de protection des données de qualité pour votre site Web?

Sous-traitance du traitement de données
Avec les prestataires tels que Hostpoint, qui traitent des données personnelles pour le compte du responsable, il convient de conclure un contrat de sous-traitance de traitement de données (également appelé Data Processing Agreement ou DPA ou similaire). Il est également recommandé de suivre les conseils suivants:

Sécurité des données
L’accès aux données personnelles ne doit être possible que pour les personnes (p. ex. collaborateurs ou collaboratrices, membres de l’association) qui en ont réellement besoin, par exemple pour l’accomplissement de leur travail. Cela doit être garanti par des mesures techniques et organisationnelles (MTO). Les mesures techniques peuvent être, par exemple, des droits d’accès limités ou des pare-feu, tandis que les mesures organisationnelles peuvent revêtir la forme d’instructions et de formations. Les sites Internet et autres systèmes informatiques doivent être maintenus à jour sur le plan technique afin de prévenir les failles de sécurité qui pourraient avoir des conséquences désastreuses.

Si toutefois la confidentialité, l’intégrité ou la disponibilité de données personnelles est violée et qu’il en résulte un risque élevé pour les personnes concernées, cela doit être signalé au préposé fédéral à la protection des données et à la transparence (PFPDT). Le Conseil fédéral prévoit également d’introduire une obligation de notification des cyberattaques contre les infrastructures critiques. Dans ce contexte, le Centre national pour la cybersécurité (NCSC) doit également être informé. Demandez conseil dans de tels cas afin d’agir correctement.

Divulgation de données à l’étranger
Si des données sont divulguées à l’étranger, il faut soit que le pays en question dispose d’un niveau de protection des données adéquat, soit que des mesures complémentaires soient prises. Cette exigence s’applique déjà dans le cadre de la législation actuelle. La notion de divulgation à l’étranger ne désigne pas seulement l’envoi actif de données, mais aussi, par exemple, les accès à distance. La notion de «divulgation» a donc une portée plus large que ce que l’on pourrait penser initialement. Parmi les mesures à prendre le cas échéant, on peut citer la conclusion de clauses contractuelles types («EU SCC») ainsi que les amendements nécessaires pour la Suisse («Swiss amendments»).

Vérifiez quels prestataires de services et fournisseurs vous utilisez en relation avec votre site Internet et autres offres. S’ils sont basés à l’étranger, assurez-vous que le pays en question garantit un niveau de protection des données adéquat et, si tel n’est pas le cas, que vous avez pris les mesures supplémentaires nécessaires.

Avec l’entrée en vigueur de la loi sur la protection des données totalement révisée, les exploitants de sites Internet doivent également tenir compte de certaines dispositions. (Source de l’image: unsplash.com)

Droits des personnes concernées
Les personnes dont les données personnelles sont traitées ont le droit d’obtenir des informations sur leurs propres données. Ces informations doivent être fournies en règle générale dans un délai de 30 jours et sans frais pour les personnes concernées. Les personnes ont également le droit de faire rectifier des données erronées les concernant ou de demander leur suppression. Ces droits ne sont toutefois pas absolus et il existe des restrictions.

Consentement
Si un consentement est nécessaire pour un traitement de données, la personne concernée doit être informée des conséquences du consentement et ce consentement doit être exprimé librement. Pour les données personnelles dignes de protection (p. ex. données de santé) ou le profilage à haut risque, le consentement doit même être explicite.

«Privacy by Default und Privacy by Design»
Cette expression désigne la protection des données par des moyens techniques et des paramètres par défaut favorisant la protection des données. Il est désormais obligatoire de concevoir le traitement des données d’un point de vue technique et organisationnel de manière à respecter la législation sur la protection des données, et de concevoir des paramètres par défaut aussi favorables que possible à la protection des données. Si les exploitants de sites Internet, d’applications ou d’autres logiciels proposent différents paramètres de protection des données, la variante la plus respectueuse de la vie privée doit toujours être définie comme paramètre par défaut. Par exemple, si un site Internet dispose d’un espace membre dans lequel les utilisateurs inscrits peuvent décider si les autres utilisateurs peuvent voir leur nom ou non, la visibilité du nom doit être désactivée dans le paramètre par défaut.

Petit secret professionnel
Outre les secrets professionnels généralement connus (p. ex. le secret professionnel auquel sont soumis les avocats ou les médecins), la notion de secret professionnel a également été étendue dans la législation sur la protection des données. Les données personnelles secrètes qui vous sont confiées dans le cadre de l’exercice de votre activité professionnelle doivent être tenues secrètes. Si vous ne voulez pas garantir cette confidentialité, vous devez donc le préciser au préalable ou préciser avec qui vous êtes susceptible de partager ces données. On considère que des données personnelles sont secrètes lorsqu’elles ne sont pas généralement connues et que la personne concernée a un intérêt digne de protection à ce que ces données demeurent secrètes. Cela ne signifie pas pour autant que les données personnelles non secrètes peuvent être divulguées sans restriction. Même dans ce cas, une divulgation n’est autorisée que dans le strict cadre de la législation sur la protection des données.

Analyse d’impact sur la protection des données
Si de nouveaux traitements de données sont prévus et peuvent présenter un risque élevé pour les personnes concernées, une analyse d’impact sur la protection des données doit être effectuée. Celle-ci doit documenter la nature exacte du traitement prévu et examiner les mesures appropriées pour protéger les personnes concernées.

Conseillers à la protection des données et représentants en Suisse
Dans le cadre de la nouvelle législation sur la protection des données, il est possible de désigner un conseiller à la protection des données au sein de l’entreprise. Il n’y a en revanche aucune obligation de le faire. Il convient de distinguer ce conseiller à la protection des données facultatif en vertu du droit suisse du délégué à la protection des données en vertu du RGPD. Ce dernier est même obligatoire dans certains cas lorsque le RGPD est applicable.

Dans certaines conditions, les responsables de traitement basés à l’étranger qui traitent des données personnelles en Suisse doivent désigner un représentant en Suisse. C’est le cas dans les situations suivantes:

Responsabilité pénale

En ce qui concerne la responsabilité pénale, il faut notamment tenir compte du fait qu’à partir du 1er septembre 2023, la violation de certaines obligations entraînera une responsabilité pénale qui, contrairement au RGPD, n’affectera pas l’entreprise, mais la personne physique responsable. Les personnes responsables peuvent être aussi bien des membres de la direction que d’autres personnes habilitées à prendre des décisions au sein de l’entreprise, ou encore les personnes qui ont commis une violation d’obligation (p. ex. violation de la confidentialité). Toutefois, dans le droit suisse, seule les violations délibérées sont punissables.

Les éléments suivants sont notamment punissables d’une amende pouvant aller jusqu’à CHF 250 000.–:

Comment cela doit-il être mis en œuvre?

Il est recommandé de désigner, au sein de l’entreprise, de l’organisation ou même de l’association, une personne qui s’occupe de la protection des données. Il ne s’agit pas d’un conseiller à la protection des données au sens de la loi (voir ci-dessus), mais d’une personne au sein de l’entreprise ou de l’association qui acquiert des connaissances de base en matière de protection des données et qui est la personne de référence dans l’entreprise en cas de questions à ce sujet. Cette personne peut acquérir les connaissances de base nécessaires par le biais de sources publiques ou de formations continues et, si nécessaire, faire appel à un soutien externe.

En savoir plus:
L’équipe de protection des données de VISCHER a résumé et publié sur une page «La nouvelle Loi sur la protection des données (nLPD) – sur une page seulement» et aborde ce qui doit être mis en œuvre dans une PME – ou même dans une association.

Savoir-faire
De zéro au numérique: ce dont les start-up ont besoin pour se lancer dans le numérique

De zéro au numérique: ce dont les start-up ont besoin pour se lancer dans le numérique

Savoir-faire
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Le hameçonnage à l’heure de l’intelligence artificielle

Le hameçonnage à l’heure de l’intelligence artificielle

Sécurité
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
Le domaine .swiss bientôt disponible pour les particuliers

Le domaine .swiss bientôt disponible pour les particuliers

Domaines
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
Comment transférer votre site Web vers Hostpoint

Comment transférer votre site Web vers Hostpoint

Hébergement et e-mail
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Faciliter l’optimisation: les plugins incontournables pour WordPress

Faciliter l’optimisation: les plugins incontournables pour WordPress

Sites Web et shops
Rita Ludwig-Helmchen Rita Ludwig-Helmchen · Technical Consultant
Conseils et astuces pour réussir avec votre boutique en ligne

Conseils et astuces pour réussir avec votre boutique en ligne

Sites Web et shops
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
Faire tomber les barrières de genre dans les TIC: influence de la journée nationale Futur en tous genres

Faire tomber les barrières de genre dans les TIC: influence de la journée nationale Futur en tous genres

Inside
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
La nouvelle LPD et la confusion des bannières de cookies: qu’est-ce qui s’applique?

La nouvelle LPD et la confusion des bannières de cookies: qu’est-ce qui s’applique?

Savoir-faire
Lucian Hunger Lucian Hunger · Attorney at Law, VISCHER
Le SEO pour votre site Web: tout ce que vous devriez savoir sur le référencement

Le SEO pour votre site Web: tout ce que vous devriez savoir sur le référencement

Savoir-faire Sites Web et shops
Nadine Jordan Nadine Jordan · Social Media & Content Manager
Permettez-nous de vous présenter les nouvelles offres de messagerie de Hostpoint

Permettez-nous de vous présenter les nouvelles offres de messagerie de Hostpoint

Hébergement et e-mail
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Suppression des cookies tiers dans Chrome – ce que cela signifie

Suppression des cookies tiers dans Chrome – ce que cela signifie

Savoir-faire
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Vous cherchez des icônes pour votre site? Vous êtes au bon endroit

Vous cherchez des icônes pour votre site? Vous êtes au bon endroit

Savoir-faire
Mauro Landolt Mauro Landolt · Head of Communication
Comment rédiger une déclaration de protection des données de qualité pour votre site Web?

Comment rédiger une déclaration de protection des données de qualité pour votre site Web?

Savoir-faire
Sarah Bischof Sarah Bischof · Attorney at Law, VISCHER
Tous comptes faits: l’Internet suisse en chiffres

Tous comptes faits: l’Internet suisse en chiffres

Savoir-faire
Mauro Landolt Mauro Landolt · Head of Communication
Pour que votre site web soit bien lisible: vous trouverez des polices ici

Pour que votre site web soit bien lisible: vous trouverez des polices ici

Savoir-faire
Mauro Landolt Mauro Landolt · Head of Communication
Comment foncti­onne un transfert de domaine et à quoi faut-il veiller?

Comment foncti­onne un transfert de domaine et à quoi faut-il veiller?

Domaines
Dario Baumgartner Dario Baumgartner · Head of Domains
«Mon parcours d’apprenti à ingénieur système chez Hostpoint»

«Mon parcours d’apprenti à ingénieur système chez Hostpoint»

Inside
Pascal Christen Pascal Christen · Junior System Engineer
WordPress 6.0 arrive bientôt! À quoi s'attendre

WordPress 6.0 arrive bientôt! À quoi s’attendre

Sites Web et shops
Rita Ludwig-Helmchen Rita Ludwig-Helmchen · Technical Consultant
Besoin d’images pour votre site Web? Voici les offres incontournables

Besoin d’images pour votre site Web? Voici les offres incontournables

Savoir-faire
Mauro Landolt Mauro Landolt · Head of Communication
Zoom sur le piratage (2): Les objectifs des pirates qui attaquent mon site

Zoom sur le piratage (2): Les objectifs des pirates qui attaquent mon site

Sécurité
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
Zoom sur le piratage (1): Que faire en cas d’attaque de votre site web?

Zoom sur le piratage (1): Que faire en cas d’attaque de votre site web?

Sécurité
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
L'importance des Core Web Vitals dans le classement Google

L’importance des Core Web Vitals dans le classement Google

Savoir-faire
Claudius Röllin Claudius Röllin · Co-Founder & CPO
«Nous sommes une équipe expéri­mentée et très soudée»

«Nous sommes une équipe expéri­mentée et très soudée»

Inside
Michèle Bücheler Michèle Bücheler · Head of Human Resources
Webshop de Hostpoint: les principales fonctions en un coup d’œil

Webshop de Hostpoint: les principales fonctions en un coup d’œil

Sites Web et shops
Boban Lapcevic Boban Lapcevic · Technical Consultant
«Nous avons identifié un besoin d’assistance téléphonique le week-end»

«Nous avons identifié un besoin d’assistance téléphonique le week-end»

Inside
Mauro Landolt Mauro Landolt · Head of Communication
Qu’est-ce que WordPress? Une brève introduction

Qu’est-ce que WordPress? Une brève introduction

Sites Web et shops
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Bien plus que seulement .ch et .com: la grande diversité des domaines de premier niveau

Bien plus que seulement .ch et .com: la grande diversité des domaines de premier niveau

Domaines
Dario Baumgartner Dario Baumgartner · Head of Domains
Le phishing: la nuisance des arnaques par e-mail

Le phishing: la nuisance des arnaques par e-mail

Sécurité
Mauro Landolt Mauro Landolt · Head of Communication
Zurich dispose désormais de son propre domaine de premier niveau, .zuerich!

Zurich dispose désormais de son propre domaine de premier niveau, .zuerich!

Domaines
Mauro Landolt Mauro Landolt · Head of Communication
Votre domaine est précieux et irremplaçable. Protégez-le!

Votre domaine est précieux et irremplaçable. Protégez-le!

Domaines
Mauro Landolt Mauro Landolt · Head of Communication
Meilleures performances grâce à DNS Anycast

Meilleures performances grâce à DNS Anycast

Domaines
Mauro Landolt Mauro Landolt · Head of Communication
Nginx. Le serveur Web pour exigences élevées

Nginx. Le serveur Web pour exigences élevées

Hébergement et e-mail
Mauro Landolt Mauro Landolt · Head of Communication
Rendre Internet un peu plus sûr avec DNSSEC

Rendre Internet un peu plus sûr avec DNSSEC

Domaines Sécurité
Mauro Landolt Mauro Landolt · Head of Communication
Contrôle total grâce au Managed Flex Server de Hostpoint

Contrôle total grâce au Managed Flex Server de Hostpoint

Hébergement et e-mail
Mauro Landolt Mauro Landolt · Head of Communication
Sécurité et performances accrues avec le nouveau PHP 7.4

Sécurité et performances accrues avec le nouveau PHP 7.4

Hébergement et e-mail
Mauro Landolt Mauro Landolt · Head of Communication
Google ne veut plus que du https pour tous les sites Internet. Es-tu prêt?

Google ne veut plus que du https pour tous les sites Internet. Es-tu prêt?

Sécurité
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Le nouveau RGPD de l’UE: quels sont les aspects qui vous concernent en tant qu’exploitant de site Web?

Le nouveau RGPD de l’UE: quels sont les aspects qui vous concernent en tant qu’exploitant de site Web?

Savoir-faire
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Des sites Internet ultrarapides avec le HTTP/2

Des sites Internet ultrarapides avec le HTTP/2

Hébergement et e-mail
Hostpoint Hostpoint
Notre engagement quotidien pour l’innovation

Notre engagement quotidien pour l’innovation

Inside
Hostpoint Hostpoint
Ransomware – Attention aux maîtres-chanteurs!

Ransomware – Attention aux maîtres-chanteurs!

Sécurité
Hostpoint Hostpoint
E-mail: le long chemin jusqu’au destinataire

E-mail: le long chemin jusqu’au destinataire

Hébergement et e-mail
Hostpoint Hostpoint
Conseils pour bien choisir son nom de domaine

Conseils pour bien choisir son nom de domaine

Domaines
Hostpoint Hostpoint
Certificats SSL: aucune chance pour les sites Web frauduleux

Certificats SSL: aucune chance pour les sites Web frauduleux

Sécurité
Hostpoint Hostpoint
Conseils pour des sites Internet sécurisés

Conseils pour des sites Internet sécurisés

Sécurité
Hostpoint Hostpoint
La sécurité des sites Internet suisses laisse à désirer

La sécurité des sites Internet suisses laisse à désirer

Sécurité
Hostpoint Hostpoint
.swiss pour (presque) tous!

.swiss pour (presque) tous!

Domaines
Hostpoint Hostpoint
PHP 7: le PHP le plus rapide de tous les temps!

PHP 7: le PHP le plus rapide de tous les temps!

Hébergement et e-mail
Hostpoint Hostpoint
FreeSSL: le cryptage SSL est désormais gratuit pour tous!

FreeSSL: le cryptage SSL est désormais gratuit pour tous!

Sécurité
Hostpoint Hostpoint
Boutiques en ligne suisses: nouveau régime de TVA avec l’UE

Boutiques en ligne suisses: nouveau régime de TVA avec l’UE

Sites Web et shops
Hostpoint Hostpoint
Hébergement: quand la gratuité revient cher

Hébergement: quand la gratuité revient cher

Hébergement et e-mail
Hostpoint Hostpoint
Le déménagement d’e-mails: une chose pas toujours évidente

Le déménagement d’e-mails: une chose pas toujours évidente

Hébergement et e-mail
Hostpoint Hostpoint
Google adore les liens retour

Google adore les liens retour

Savoir-faire
Hostpoint Hostpoint
Mentions légales également obligatoires en Suisse à partir du printemps

Mentions légales également obligatoires en Suisse à partir du printemps

Savoir-faire
Martin Steiger Martin Steiger · Medienrechtsanwalt
Consulter d’autres articles
Visualisation d'une boîte aux lettres électronique dans un écran d'ordinateur portable avec l'icône Cloud Office. Visualisation d'une boîte aux lettres électronique dans un écran d'ordinateur portable avec l'icône Cloud Office.

Votre adresse e-mail avec domaine propre

Découvrez nos nouvelles offres de messagerie avec Cloud Office de Hostpoint. Vos adresses e-mail avec le domaine de votre choix, une mémoire généreuse pour vos e-mails et l’espace de stockage drive, différents outils Office et bien plus encore.

Créer une adresse e-mail