Back to Blog

RGPD, LPD... Deux lois pour encadrer la protection des données en Suisse

Maxime JAILLET

RGPD et LPD, connaissez-vous ces deux sigles ? C’est le lot quotidien des entreprises établies en Suisse. Le RGPD encadre les opérations concernant les données des citoyens établis dans l’UE. La loi fédérale LPD concerne, elle, la protection des données personnelles en Suisse. Le contexte réglementaire est en pleine mutation. Pour vous, c’est donc l’heure d’accélérer vos projets de conformité. C’est notre actualité marché du jour.

Protection des données – Faut-il respecter le RGPD en Suisse ?

Les entreprises suisses doivent composer avec une loi nationale et le règlement RGPD. Pourquoi ? Une entreprise suisse proposant des produits ou services à des clients européens devra respecter le RGPD pour pouvoir traiter leurs données. Le RGPD impacte aussi les prestations de services proposées à des clients établis dans l’UE.

Le traitement de données de citoyens européens en Suisse est soumis au RGPD

La Suisse ne fait pas partie de l’Union Européenne. La protection des données personnelles est donc un sujet régi à échelle nationale. Les entreprises suisses sont à cet égard tenues de respecter la loi fédérale sur la protection données (« LPD ») adoptée en juin 1992.

Et pourtant, oui, le RGPD est bien applicable en Suisse.

En effet, le règlement européen s’applique dès lors que les traitements de données personnelles mis en œuvre concernent des personnes établies sur l’Espace Économique Européen.

Peu importe finalement le lieu où l’entreprise s’est établie.

Un site de e-commerce international devra donc respecter le RGPD pour traiter les données de ses clients européens.

Le RGPD concerne aussi les prestataires et fournisseurs en Suisse

Une entreprise européenne peut-elle recourir à des fournisseurs ou externaliser une prestation de services à des acteurs établis en Suisse ? Oui, naturellement.

Toutefois, les transferts de données personnelles hors de l’Union Européenne sont un sujet sensible du point de vue des autorités de régulation.

La Suisse a jusqu’ici bénéficié d’une décision d’adéquation de la Commission Européenne, calquée sur le Privacy Shield américain. Qu’est-ce donc ? La législation nationale Suisse a tout simplement été reconnue, par les instances européennes, comme offrant un niveau de protection des données adéquat au regard de celui instauré en Europe.

Pourquoi s’inquiéter dans ces conditions ? Tout simplement parce que le Privacy Shield a été récemment annulé.

  • Le 16 juillet dernier, la CJUE a invalidé la décision de la Commission Européenne instaurant le Privacy Shield. Selon le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), cette décision est spécifique aux Etats-Unis. D’ores et déjà, de nombreux commentateurs transposent pourtant l’analyse au cas Suisse et recommandent de revoir les opérations de traitement concernés.
  • Les entreprises européennes devraient être plus exigeantes et pointilleuses vis-à-vis des fournisseurs et prestataires suisses. Les plus prudentes voudront signer des clauses contractuelles-types. Or dans le cas des transferts de données aux US, pour que cette démarche reste valable, il faut prévoir des mesures techniques et organisationnelles complémentaires pour limiter les effets du transfert de données hors UE. Une obligation de vigilance renforcée qui pèse sur les clients européens et par ricochet, sur les sociétés suisses.
  • Remporter de nouveaux marchés, publics ou privés, en Europe vous imposera plus de rigueur. Il est en effet probable que les candidatures aux appels d’offres par des entreprises suisses seront regardées avec un œil plus sévère. La mise en conformité de vos opérations devient un gage de professionnalisme et de confiance pour vos clients européens.
  • Le recours aux sous-traitants américains menacé ? Le Préposé Fédéral à la protection des données et à la Transparence a émis en septembre une opinion remettant en cause la validité des transferts de données personnelles aux Etats-Unis. Vous pouvez faire le choix d’ignorer cette opinion non contraignante. Plus certainement, vous devrez être plus rigoureux dans la gestion de vos sous-traitants.
  • La décision d’adéquation de la Suisse bientôt remise en question ? La Commission européenne prévoit de réexaminer, d’ici fin 2020, le niveau de protection accordé par la Suisse s’agissant des données personnelles des citoyens européens. Au regard des impacts économiques réels qui en découlent, la Suisse cherche aujourd’hui à moderniser sa législation.

Le contexte réglementaire connaît donc de fortes mutations dans le sens d’un renforcement des garanties attendues pour la protection des données. Pour cette raison, il est essentiel pour vous de prioriser la mise en conformité de vos traitements.

Adopter directement le RGPD comme base présentera de nombreux avantages pour vous :

  • Le RGPD est un standard réglementaire au niveau européen. Respecter cette norme vous offre un argument de sérieux que vous pourrez valoriser auprès de vos clients.
  • La Suisse ne peut que rapprocher sa législation des exigences européennes. Peut-être aviez-vous pris du retard pour respecter les exigences nationales ? Si vous maîtrisez les impératifs européens, ce sera plus simple de respecter les exigences à échelle nationale.

LPD - Loi fédérale pour la protection des données, la norme applicable en Suisse

La révision de la loi fédérale de 1992 et la réévaluation de la décision d’adéquation dont bénéficie la Suisse changent la donne. Pour vous, il est temps d’accélérer sur la mise en conformité de vos traitements. La loi modifiée imposera en effet un standard d’exigences comparable à celui prévu par le RGPD.

La loi de 1992 bientôt révisée

Dès son entrée en vigueur, le Règlement européen RGPD s’est imposé comme un standard à échelle mondiale, en matière de protection des données. Au point de pousser de nombreux Etats à se doter d’une législation similaire.

Jusqu’ici, la Suisse faisait étonnamment partie des seuls pays à résister à cette tendance.   Mais désormais, voir sa décision d’adéquation remise en cause la pousse à accélérer.

La révision de la loi de 1992 est donc un chantier amorcé depuis plusieurs années maintenant. Quel en est le calendrier ?

  • Le 25 septembre dernier, les Chambres fédérales ont entériné sa révision.
  • Des ordonnances d’application seront par la suite soumises à consultation.
  • La loi modifiée ne devait pas entrer en vigueur avant janvier 2022.

Protection des données - Pourquoi accélérer sur votre mise en conformité ?

L’évolution du cadre réglementaire national vous poussera à prioriser le sujet de la mise en conformité de vos traitements de données personnelles.

  • Tenue d’un registre des traitements de données, signature d’un contrat avec les sous-traitants, mise en œuvre d’études d’impacts DPIA-AIPD pour les traitements les plus à risques, notification des violations de données… la loi modifiée impose des exigences renforcées, à l’instar des standards prévus par le RGPD.
  • Le PFPDT dispose de pouvoirs d’investigation plus étendus. Vous devrez non seulement revoir la manière dont vous traitez les données personnelles mais aussi documenter les mesures mises en place. Il s’agira de pouvoir démontrer votre conformité en cas de contrôle.
  • Le PFPDT bénéficie désormais de pouvoirs de sanctions renforcés. Même s’il n’adoptera sans doute pas une approche répressive, il est en mesure de sanctionner les manquements les plus graves.

Conclusion : Simplifiez-vous la conformité avec le plug and play

L’arrêt Schrems II rendu par la CJUE a rebattu les cartes, poussant d’une certaine manière la Suisse à aligner ses exigences de protection des données avec le reste de l’Europe.

Si ce n’est pas déjà fait, la conformité de vos traitements doit donc devenir une priorité.

Pas de panique, il existe sur le marché des solutions qui vous faciliteront les choses. Par exemple, Axeptio fournit un plug and play qui prendra en charge la gestion des cookies déposés sur vos sites web, la collecte et la traçabilité des consentements.

Besoin d’aide ? N’hésitez pas à faire appel à nous.

Share on social media: 

Ne partez pas si vite ... 

Contrôle de la CNIL, sauvez vos cookies grâce au module d’Axeptio

Le module de cookies d’Axeptio peut-il vous éviter contrôle et sanction de la CNIL ? Votre entreprise fait l’objet d’un contrôle et le régulateur constate de lourdes non-conformités ? Vous pourrez compter sur nous pour sauver vos cookies. En un temps record, vous intégrerez les standards réglementaires tout en ayant une approche marketing d’avant-garde. On vous dit tout.

Lire la suite

Comment installer le pixel Facebook avec Google Tag Manager ?

Savez-vous configurer votre Pixel Facebook grâce à Google Tag Manager ? Grâce à ce pixel, pilotez efficacement vos campagnes, segmentez votre audience de manière pertinente. L’utiliser avec GTM n’est pas compliqué. Quelques étapes à respecter (créer un pixel de base ; créer des pixels personnalisés via des déclencheurs et des évènements) et le tour est joué. On vous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.