Il y a quelques nouveautés importantes dans la version suisse de la loi sur la protection des données. Tout ce qui concerne la nouvelle loi sur la protection des données en Suisse (nLPD ou revLPD) et qui concerne le marketing. Dans cet article, nous t’expliquons les principaux changements de manière aussi simple et compacte que possible.
La nouvelle loi compte 92 pages et s’appelle officiellement Loi fédérale sur la protection des données (Loi sur la protection des données, LPD FF 2020 7639). Pour simplifier, nous parlons à chaque fois de la loi révisée sur la protection des données, c’est-à-dire de la nouvelle loi sur la protection des données.
La Suisse a révisé en profondeur sa législation sur la protection des données. La nouvelle loi sur la protection des données (revDSG) entrera en vigueur le 1er septembre 2023. Nous ne sommes pas des avocats et ne pouvons pas donner d’avis juridique contraignant. Nous avons toutefois rassemblé les principaux changements découlant de la nouvelle loi sur la protection des données, notamment en ce qui concerne le marketing automation et la collecte des données des clients, et nous t’expliquons dans cet article ce que tu dois mettre en pratique.
Contrôle de la protection des données.
Remplis notre questionnaire et découvre directement, grâce au contrôle de la protection des données, où en est ta protection des données.
Table des matières
Qui est concerné par la nouvelle loi suisse sur la protection des données (revDSG) ?
La nouvelle loi suisse sur la protection des données (revDSG) concerne toutes les entreprises ayant leur siège en Suisse et les entreprises étrangères qui opèrent en Suisse ou dont le traitement des données a des répercussions en Suisse. La nouvelle loi ne définit pas plus précisément quand un traitement de données « a un impact » sur la Suisse – mais si nous nous référons aux critères du règlement de base de l’UE sur la protection des données – il devrait déjà suffire qu’une entreprise étrangère livre des marchandises en Suisse, par exemple.
Comme la nouvelle loi suisse s’inspire du règlement général européen sur la protection des données(RGPD), tu dois partir du principe que tu as un besoin accru d’agir, en particulier si ton entreprise n’est pas encore en conformité avec le RGPD.
Loi sur la protection des données en Suisse : que contient la loi et pourquoi a-t-elle été révisée ?
La « loi fédérale sur la protection des données » actuellement en vigueur en Suisse date de 1992 – depuis lors, la collecte de données personnelles et leur utilisation ont fortement augmenté. La nouvelle loi vise d’une part à renforcer l’autodétermination des personnes concernées concernant leurs données et, d’autre part, la nouvelle LPD impose de nouvelles obligations aux entreprises, notamment en cas de collecte, de perte ou d’utilisation abusive de données personnelles.
D’autre part, la révision vise à garantir que la loi suisse sur la protection des données soit alignée sur le règlement général sur la protection des données(RGPD) introduit par l’Union européenne en 2018. Les entreprises suisses risquent de subir des désavantages concurrentiels flagrants si l’UE ne reconnaît plus la Suisse comme un pays tiers offrant un niveau de protection des données adéquat.
Quelles sont les principales modifications apportées à la loi suisse sur la protection des données ?
Champ d’application et portée : comme le RGPD, la nouvelle LPD se limite à la protection des données des personnes physiques. Jusqu’à présent, la loi sur la protection des données inclut également les personnes morales. Nouveau également : les données génétiques et biométriques sont considérées comme particulièrement sensibles.
Transparence : les entreprises sont tenues d’informer de manière adéquate les personnes concernées de toute collecte de données. Pas seulement comme jusqu’à présent pour les données sensibles, mais aussi lorsque les données ne sont pas collectées auprès de la personne concernée. Un responsable du traitement des données doit être désigné. Le but du traitement, le destinataire et le pays destinataire, si une exportation de données a lieu à l’étranger, doivent être transmis.
Registre des activités de traitement : Les entreprises sont tenues de le tenir à partir de 250 collaborateurs. En revanche, l’obligation de tenir un registre des fichiers est supprimée.
Analyse d’impact sur la protection des données : Les entreprises doivent effectuer une analyse d’impact sur la protection des données documentée lorsque le traitement des données présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
Profilage: l’obtention du consentement n’est obligatoire que si « elle conduit à un rapprochement de données qui permet d’évaluer des aspects essentiels de la personnalité d’une personne physique » (article 5, alinéa g LPD). La loi parle ici de « profilage à haut risque ».
Privacy-by-Design / Privacy-by-Default (protection des données par la technique et par des paramètres par défaut favorables à la protection des données) : Les entreprises sont tenues de tenir compte des réglementations dès la planification et la conception des applications et, par exemple, de demander explicitement aux utilisateurs leur consentement pour les traitements de données qui vont au-delà de ce qui est strictement nécessaire et de ne pas les obtenir par des paramètres prédéfinis.
Mise en œuvre pratique de la loi révisée sur la protection des données
De quoi dois-je fondamentalement tenir compte pour me conformer aux nouvelles dispositions en matière de protection des données en Suisse ?
Les entreprises ayant leur siège en Suisse et celles qui participent à des transferts de données vers et depuis la Suisse doivent faire l’inventaire du traitement des données personnelles dans l’entreprise : Quelles données personnelles sont collectées, dans quel but et comment. Les données personnelles sont « toutes les informations qui se rapportent à une personne physique identifiée ou identifiable ». (Art. 5 lit. a LPD). En fait, le plus simple est de partir du principe que toutes les données sont également des données personnelles. Une évaluation des risques permet de vérifier quelles sont les exigences en matière de conformité à la protection des données. Dans le cadre d’une analyse d’écart (comparaison de la situation actuelle et de la situation souhaitée), les entrepreneurs peuvent ensuite identifier les étapes nécessaires.
Tu dois veiller à ce que tu puisses présenter un contrat correspondant pour chaque fournisseur tiers. Il existe à cet effet un contrat de sous-traitance standardisé (CST) ou en anglais Data Processing Agreement (DPA) selon le modèle européen.
Les informations obligatoires sur la personne responsable et ses coordonnées constituent des mentions légales obligatoires en matière de protection des données. Tu trouveras plus d’informations et de conseils pour la mise en œuvre pratique dans la liste de contrôle de la protection des données.
L’essentiel en bref.
Liste de contrôle sur la protection des données en Suisse.
À quoi dois-je faire attention ? Les points les plus importants de la nouvelle loi sur la protection des données sont résumés dans une liste de contrôle.
Liste de contrôle sur la protection des données
Quels sont les autres éléments à prendre en compte en ce qui concerne les activités de marketing numérique et l’utilisation d’outils de marketing automation ?
Inscriptions à la newsletter par e-mail et Co – « Leads
Que tu aies un formulaire spécial de newsletter par e-mail sur ton site web, que tu collectes des adresses e-mail, des numéros de téléphone, etc. sur ton formulaire de contact ou que tu écrives les données de contact des visiteurs sur papier lors d’un salon, il est important d’avoir une bonne visibilité. Demande aux personnes de donner leur consentement explicite (opt-in). Tu dois alors indiquer clairement que tu souhaites communiquer à des fins de marketing ou de publicité. L’utilisateur:in donne son accord en cliquant dessus. Fais confirmer ce consentement(double opt-in) en envoyant un e-mail avec un lien correspondant ou en demandant une réponse spécifique (OUI) par messagerie instantanée ou SMS.
En tant qu’expéditeur, tu dois toutefois prouver que chaque destinataire:in a donné son consentement. La procédure de double opt-in est déjà intégrée dans notre outil de marketing automation Aivie. Le stockage des données doit se faire sur un serveur sécurisé. De nombreux services stockent vos données, par exemple, aux États-Unis – et il faut s’attendre à ce que, comme pour le RGPD de l’UE, ce pays soit déclaré non sûr. Chez Aivie, nous stockons nos données sur des serveurs situés en Suisse.
Publicité ciblée, comme par exemple les campagnes de remarketing
L’enregistrement des données des clients pour des campagnes de remarketing ne peut pas se faire sans autorisation expresse. Certains fournisseurs comme Google ou Facebook utilisent des cookies pour reconnaître les utilisateurs sur différents sites web (proverbe « pixel »). Même si tu ne réalises pas encore de campagnes de remarketing, tu dois obtenir le consentement de tes utilisateurs avant d’utiliser les pixels de suivi.
À quoi dois-je faire attention en cas de demande ou de violation de la sécurité des données ?
En tant qu’exploitant(e) de site web, tu dois t’assurer que tu ne manques aucune demande de personnes concernées ou d’autorités telles que le PFPDT et que tu y réponds en temps utile. Tu dois par exemple répondre à une demande d’information d’une personne concernée dans un délai de 30 jours (art. 25 LPD). Important : examine soigneusement chaque demande et évalue précisément la manière dont tu vas réagir dans chaque cas. Il convient de noter ici que les droits des personnes concernées ne sont jamais absolus. Exemple : une entreprise ne peut pas, même sur demande, effacer des données personnelles pour lesquelles elle est soumise à une obligation légale de conservation.
Même en cas de violation de la sécurité des données, tu dois réagir rapidement et soigneusement et vérifier si tu dois annoncer l’incident au PFPDT et directement aux personnes concernées. Cela dépend du risque lié à la violation de la sécurité des données pour les personnes concernées (art. 24 LPD). Il doit être élevé et concret. Il est par exemple courant d’être invité à changer de mot de passe après ce que l’on appelle un « data breach ».
Conclusion
Cela fait longtemps que la Suisse aurait dû s’aligner sur les normes internationales en matière de protection des données. Certains détails de la LPD restent toutefois en suspens, tout comme la question de savoir quand exactement la loi entrera en vigueur et comment elle sera mise en œuvre dans la pratique. Mais le principe est clair : informe tes utilisateurs sur les données que tu collectes, comment, où, pourquoi et pendant combien de temps. Il est également important de savoir que chaque visiteur:de ton site web a le droit de demander des informations sur les données collectées et, le cas échéant, de demander leur suppression.
Ton site web n’a pas encore de bannière de cookies conforme au RGPD et à la loi révisée sur la protection des données ?
Avec la nouvelle loi sur la protection des données en Suisse (revDSG), une bannière de cookie correctement mise en place devient plus importante.
Nous avons le service qu’il faut pour cela. Avec notre service, ton site web est rapidement prêt et tu peux te détendre en toute sécurité.
Bannière de cookie de service instantané
