Qu’est-ce que la DSG ?
La loi suisse sur la protection des données (LPD) est désormais une version révisée de la première DSG entrée en vigueur en 1992. À partir du 1er septembre 2023, la nouvelle loi entrera en vigueur avec les modifications révisées et mises à jour pour refléter les besoins actuels de l’environnement Internet actuel. L’objectif de ce règlement est de protéger la vie privée et les droits fondamentaux des personnes dont les données sont traitées.
« Cette loi vise à protéger la vie privée et les droits fondamentaux des personnes physiques dont les données personnelles sont traitées. »
Les principaux changements par rapport à la première publication sont que les entreprises doivent désormais expliquer pourquoi elles collectent les données personnelles de leurs clients et qu’elles doivent clairement indiquer quels tiers sont impliqués dans le partage de leurs données personnelles. Les individus ont également désormais le droit de savoir combien de temps leurs données seront conservées et dans quel but.
À qui s’applique la DSG ?
La DSG s’applique aux personnes physiques (anciennement personnes morales) ainsi qu’aux organisations commerciales et non commerciales qui traitent des données personnelles de citoyens suisses.
Le champ d’application géographique du DSG fonctionne de manière similaire à celui du RGPD. La définition exacte ici est que cette ordonnance s’applique aux questions de protection des données qui « ont des effets en Suisse, même si elles sont provoquées à l’étranger ».
…qui ont un effet en Suisse, même s’ils sont initiés à l’étranger ».
Obligations selon la DSG
Obligations des responsables du traitement et des sous-traitants
Comparable aux exigences du RGPD, la DSG oblige désormais les entreprises à créer un « enregistrement des activités de traitement » (art. 12 DSG). La personne responsable et le sous-traitant en sont les principaux responsables. Celui-ci doit contenir les éléments suivants :
- Identité des personnes responsables
- finalité du traitement des données
- Description des catégories de personnes concernées et des données personnelles
- catégorie de destinataires
- si possible, la durée de conservation des données personnelles ou les critères utilisés pour déterminer cette durée ;
- si possible, une description générale des mesures prises pour assurer la sécurité des données
- si les données sont transférées à l’étranger, indication du pays et des garanties qui assurent une protection adéquate des données.
droits de la personne concernée
Comme déjà mentionné, cette loi se concentre sur la protection des données personnelles de la personne concernée. Ainsi, la personne concernée est protégée par les droits suivants :
- le droit de recevoir des informations sur le traitement de vos données personnelles (articles 25-27 revDSG),
- le droit de demander au responsable de remettre ses données personnelles ou de les transmettre gratuitement sous une forme lisible par machine à un autre responsable. (Articles 28 et 29 révDSG),
- le droit que ses données ne soient pas utilisées pour des décisions individuelles automatisées dans lesquelles des algorithmes sont utilisés sans intervention humaine dans le processus (art. 21 revDSG),
- Si des données personnelles sensibles sont traitées ou si des profils de personnalité sont créés, le consentement doit être expressément donné. Le consentement de la personne concernée est requis.
Application de la DSG
Le rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT)
Le PFPDI est responsable de l’application et du respect de la LPD. Il est également responsable de l’éclaircissement, du conseil et de la protection des données personnelles en Suisse. L’agence est désignée par le Bundesrat (l’organe exécutif du gouvernement fédéral suisse).
Sanctions et amendes pour violations de la loi
Si une personne enfreint les lois de la DSG, elle sera condamnée à une amende pouvant aller jusqu’à 250 000 CHF. Comme pour le RGPD, la sanction n’est pas liée à l’entreprise, mais à la personne physique responsable.
Ce que vous devez faire pour vous conformer à la DSG
Commencez dès maintenant et assurez-vous d’être prêt avant l’entrée en vigueur du LFA en septembre 2023. Les entreprises basées en Suisse, ou si vous faites des affaires en Suisse, doivent prendre les mesures suivantes :
- Enregistrez toutes vos activités de traitement de données qui sont pertinentes par la loi.
- Avoir une politique de confidentialité valide qui répond à toutes les exigences du RGPD.
- Assurez-vous de désigner un délégué à la protection des données (DPD) pour définir des politiques et des procédures conformes au PFPDT.
- Si vous devez obtenir le consentement pour traiter des données personnelles, assurez-vous d’utiliser une CMP qui permet la capture et le stockage d’un consentement valide. Le consentement à obtenir peut être affiché sous la forme d’une bannière de consentement qui doit apparaître lors de la première visite de l’utilisateur sur votre boutique en ligne ou sur le site Web de votre entreprise.
Conclusion
Sans surprise, la version actuelle de la DSG est repensée pour suivre les évolutions technologiques. Et même si vous êtes déjà conforme au RGPD, vous devrez peut-être prendre des mesures. Assurez-vous que votre organisation est conforme et dispose d’un outil de consentement juridiquement conforme.
Vous n’êtes pas sûr que votre entreprise réponde aux prochaines exigences de la DSG ? Parlez à l’un de nos experts ou vérifiez avec notre outil de gestion du consentement ici .
