LPD
La loi fédérale sur la protection des données (LPD) est une réglementation suisse en cours de révision qui légifère la collecte et le traitement des données.
Définition
La Suisse prévoit mise à jour de sa législation attendu en 2020 pour se conformer à ses voisins[1]. En plus de se conformer et de proposer des équivalences au RGPD, cette loi comportera des spécificités telles que la définition des pouvoirs et des limites octroyés à l’organe de contrôle, le PFPDT[2] (Préposé fédéral à la protection des données et à la transparence). Toutefois, la révision de la loi est source de nombreux débats et subit encore des changements. Parmi les dernières révisions, il y’ a les articles de loi concernant les services d’identification électronique par exemple[3].
[1] https://www.ledecodeur.ch/2017/03/02/suisse-aura-loi-securite-de-linformation/
[2] https://www.edoeb.admin.ch/edoeb/fr/home.html
[3] https://www.ictjournal.ch/news/2020-01-06/loi-sur-le-id-et-revision-de-la-lpd-le-printemps-pourrait-etre-decisif
Grandes lignes de la révision
La dernière version du texte de la révision de la LPD présente sur le site de la confédération comporte 7 principes résumés ci-dessous.
Approche fondée sur le risque
Neutralité technologique
Limiter la stigmatisation des technologies en garantissant une égalité de traitement. Ceci ayant pour but de ne pas freiner l’innovation et le développement des nouvelles technologies.
Modernisation de la terminologie de la loi
Harmoniser les termes des lois avec la légalisation déjà en vigueur (RGPD) et moderniser la terminologie des textes de la LPD de 1992.
Amélioration des échanges de données transfrontières
Amélioration des textes existants concernant l’échange des données. Notamment les données hébergées à l’étranger dont les restrictions légales ont été allégées. Le nouveau texte exige des standards de sécurité en adéquation avec les normes suisse, mais n’interdit plus l’exploitation des données à l’étranger.
Renforcement des droits de la personne concernée
Différents instruments sont prévus pour que les utilisateurs puissent mieux contrôler leurs données. Ces instruments sont similaires en grande partie à ceux du RGPD décrit auparavant.
Précision des obligations des responsables du traitement
Le P-LPD donne des détails concernant l’obligation d’informer et impose aux responsables du traitement des données de procéder dans certains cas à une analyse d’impact relative à la protection des données. Des mesures techniques doivent par ailleurs assurer un paramétrage des systèmes qui garantit au mieux la protection des données.
Renforcement des organes de contrôles
Finalement, le texte de loi prévoit de renforcer les pouvoirs de l’organe de contrôle concerné (PFPDT). Toutefois, à la différence de la plupart de pays européens, l’organe n’est pas habilité à prononcer des sanctions administratives. Pour compenser l’absence de ce levier judiciaire, les dispositions du code pénales sont renforcées.