Le 25.09.2020, le Parlement fédéral a adopté le texte de la révision totale de la loi fédérale sur la protection des données (LPD). La nouvelle LPD, dont la date d’entrée en vigueur n’est pas encore connue (sûrement le 01.01 ou le 01.07.2022), présente de nouvelles obligations, qui seront immédiatement applicables en l’absence d’une période transitoire.
Les obligations s’appliqueront aux startups. Seule l’obligation de tenir un registre des traitements fait exception. Si l’entreprise emploie moins de 250 personnes et traite des données personnelles qui ne représentent qu’un risque limité pour les personnes physiques concernées, cette obligation ne s’applique pas.
Ainsi, à moins de tomber dans cette exception, toute startup devra constituer un tel registre et documenter le but du traitement des données, indiquer quelles personnes physiques sont concernées (p.ex. clients, employés, actionnaires, représentants), quelles données sont traitées, à qui elles sont transmises, combien de temps elles sont conservées, quelles mesures de sécurité protègent les données, le nom du pays vers lequel elles sont transférées.
Les startups devront aussi être transparentes envers les individus sur les traitements de leurs données. Une mise à jour des privacy policies sera nécessaire, même si elles sont conformes au RGPD. En effet, la nouvelle LPD est parfois plus exigeante que ce dernier.
Pour engager un sous-traitant, basé en Suisse ou à l’étranger, la startup devra conclure un DPA (data processing agreement) avec celui-ci s’il vient à traiter des données (p.ex. stockage, opérations d’analyse). Ce DPA devra détailler les mesures de sécurité prises par le sous-traitant, les éventuels transferts de données à l’étranger et les instructions données au sous-traitant.
LPD et comportements amendables
Contrairement au RGPD, la nouvelle LPD ne prévoit pas de sanctions administratives sous forme d’amendes. En revanche, certains comportements seront passibles d’amendes allant jusqu’à 250 000 CHF. Ce ne seront pas les startups qui seront poursuivies, mais la personne physique auteure de l’infraction et les dirigeants de la startup s’ils ont omis de prévenir l’infraction. La condamnation, si l’amende dépasse 5 000 CHF, s’inscrivera au casier judiciaire.
Cette nouvelle LPD constitue un changement important par rapport au droit actuel. Les startups suisses doivent s’y intéresser et commencer à évaluer les écarts. Celles qui sont déjà conformes au RGPD n’auront que peu d’adaptations à faire.
Texte François Charlet, juriste spécialisé en droit des technologies, Swiss Tech Association
Laisser un commentaire