Loi sur la protection des données
Le traitement des données reste autorisé
13 novembre 2020 agvs-upsa.ch – La nouvelle loi sur la protection des données (LPD) s’accompagne de quelques modifications. Les données personnelles sont par exemple mieux protégées. Olivia Solari, la juriste de l’UPSA, explique ce qui change pour les garagistes.
Source: Istock
sco. Madame Solari, le Parlement a adopté la nouvelle loi sur la protection des données. L’UPSA s’est beaucoup engagée. Est-elle satisfaite du résultat ?
Olivia Solari : À l’aune de la décision relative au caractère adéquat de l’UE, nous sommes satisfaits que la révision de la loi ait pu être menée à bien. La décision est indispensable pour poursuivre les transferts de données de l’UE en Suisse qui sont devenus incontournables compte tenu du trafic actuel entre les entreprises. Quelques compromis ont été nécessaires pour clôturer la révision, ce qui n’est pas surprenant. Le principe selon lequel les traitements de données sont autorisés tant que les bases de traitement sont respectées n’a toutefois pas évolué. De nouvelles obligations d’information et de documentation ainsi que de nouvelles règles de gouvernance et de conformité doivent néanmoins être observées. Elles alourdiront le fardeau administratif des entreprises.
Les données personnelles sont notamment mieux protégées. Quelles en sont les conséquences pour le garagiste ? Lui sera-t-il interdit de conserver l’historique de son client, c’est-à-dire sa date de naissance, des renseignements sur ses enfants, ses animaux de compagnie, ses vacances, etc. ?
Comme dit précédemment, la loi révisée sur la protection des données lui permet encore de traiter des données personnelles dès lors qu’il respecte les principes de leur traitement tels que la transparence, la bonne foi, la proportionnalité et la sécurité des données. Il doit toutefois désormais informer les personnes concernées, ses clients par exemple, de certains aspects du traitement tels que sa finalité. Le garagiste doit également documenter ses traitements de données dans un dossier contenant des indications minimales tant qu’il n’existe aucune exception.
Le fameux profilage, c’est-à-dire le traitement automatisé de données personnelles afin d’évaluer certains aspects personnels, a été un point crucial. Que dit la nouvelle loi à ce propos ?
Comme tout traitement de données, le profilage est autorisé tant que les principes de traitement sont respectés. D’après la nouvelle LPD, il n’est en principe pas obligatoire d’obtenir de consentement au profilage. Un éventuel consentement à un « profilage à risque élevé » doit néanmoins être signifié « expressément ».
Vous venez d’évoquer la distinction entre un « profilage normal » et un « profilage à risque élevé ». Quelles sont les différences ?
D’après la définition légale, toute forme de traitement automatisé de données personnelles constitue un « profilage normal ». Dans ce cas, les données sont utilisées pour évaluer, analyser et prédire certains aspects personnels d’une personne physique. Les performances de travail, la situation économique, la santé, les préférences personnelles, les centres d’intérêt, la fiabilité, le comportement, le lieu de séjour ou les changements de lieu en font partie.
Et le « profilage à risque élevé » ?
Le profilage à risque élevé est défini comme un profilage normal qui s’accompagne d’un risque accru pour la personnalité ou pour les droits fondamentaux de la personne concernée. Cette évaluation conduit à un recoupement de données qui permet d’évaluer des aspects importants de la personnalité d’une personne physique. La nouvelle loi fait référence au terme du profil de personnalité actuellement en vigueur pour lequel il n’existe toutefois aucune pratique officielle ou judiciaire exhaustive. J’espère que l’ordonnance du Conseil fédéral portant sur la délimitation du profilage normal et du profilage à risque élevé clarifiera la situation.
Les amendes pouvant atteindre 250 000 francs ont fait l’objet de vifs débats lors des négociations au sein des chambres fédérales. Qu’en est-il ?
Divers manquements à la LPD, surtout ceux qui sont délibérés, peuvent désormais être punis d’une amende maximale de 250'000 francs. Comme dans le droit en vigueur et contrairement à la pratique européenne, l’amende frappe les personnes physiques, c’est-à-dire le décisionnaire faillible en matière de droit de la protection des données.
Quand la nouvelle LPD entrera-t-elle en vigueur ?
La LPD révisée ne devrait pas entrer en vigueur avant le 1er janvier 2022 au plus tôt en raison du délai du référendum et de la rédaction encore en suspens de l’ordonnance.
Plus d'informations.
Source: Istock
sco. Madame Solari, le Parlement a adopté la nouvelle loi sur la protection des données. L’UPSA s’est beaucoup engagée. Est-elle satisfaite du résultat ?
Olivia Solari : À l’aune de la décision relative au caractère adéquat de l’UE, nous sommes satisfaits que la révision de la loi ait pu être menée à bien. La décision est indispensable pour poursuivre les transferts de données de l’UE en Suisse qui sont devenus incontournables compte tenu du trafic actuel entre les entreprises. Quelques compromis ont été nécessaires pour clôturer la révision, ce qui n’est pas surprenant. Le principe selon lequel les traitements de données sont autorisés tant que les bases de traitement sont respectées n’a toutefois pas évolué. De nouvelles obligations d’information et de documentation ainsi que de nouvelles règles de gouvernance et de conformité doivent néanmoins être observées. Elles alourdiront le fardeau administratif des entreprises.
Les données personnelles sont notamment mieux protégées. Quelles en sont les conséquences pour le garagiste ? Lui sera-t-il interdit de conserver l’historique de son client, c’est-à-dire sa date de naissance, des renseignements sur ses enfants, ses animaux de compagnie, ses vacances, etc. ?
Comme dit précédemment, la loi révisée sur la protection des données lui permet encore de traiter des données personnelles dès lors qu’il respecte les principes de leur traitement tels que la transparence, la bonne foi, la proportionnalité et la sécurité des données. Il doit toutefois désormais informer les personnes concernées, ses clients par exemple, de certains aspects du traitement tels que sa finalité. Le garagiste doit également documenter ses traitements de données dans un dossier contenant des indications minimales tant qu’il n’existe aucune exception.
Le fameux profilage, c’est-à-dire le traitement automatisé de données personnelles afin d’évaluer certains aspects personnels, a été un point crucial. Que dit la nouvelle loi à ce propos ?
Comme tout traitement de données, le profilage est autorisé tant que les principes de traitement sont respectés. D’après la nouvelle LPD, il n’est en principe pas obligatoire d’obtenir de consentement au profilage. Un éventuel consentement à un « profilage à risque élevé » doit néanmoins être signifié « expressément ».
Vous venez d’évoquer la distinction entre un « profilage normal » et un « profilage à risque élevé ». Quelles sont les différences ?
D’après la définition légale, toute forme de traitement automatisé de données personnelles constitue un « profilage normal ». Dans ce cas, les données sont utilisées pour évaluer, analyser et prédire certains aspects personnels d’une personne physique. Les performances de travail, la situation économique, la santé, les préférences personnelles, les centres d’intérêt, la fiabilité, le comportement, le lieu de séjour ou les changements de lieu en font partie.
Et le « profilage à risque élevé » ?
Le profilage à risque élevé est défini comme un profilage normal qui s’accompagne d’un risque accru pour la personnalité ou pour les droits fondamentaux de la personne concernée. Cette évaluation conduit à un recoupement de données qui permet d’évaluer des aspects importants de la personnalité d’une personne physique. La nouvelle loi fait référence au terme du profil de personnalité actuellement en vigueur pour lequel il n’existe toutefois aucune pratique officielle ou judiciaire exhaustive. J’espère que l’ordonnance du Conseil fédéral portant sur la délimitation du profilage normal et du profilage à risque élevé clarifiera la situation.
Les amendes pouvant atteindre 250 000 francs ont fait l’objet de vifs débats lors des négociations au sein des chambres fédérales. Qu’en est-il ?
Divers manquements à la LPD, surtout ceux qui sont délibérés, peuvent désormais être punis d’une amende maximale de 250'000 francs. Comme dans le droit en vigueur et contrairement à la pratique européenne, l’amende frappe les personnes physiques, c’est-à-dire le décisionnaire faillible en matière de droit de la protection des données.
Quand la nouvelle LPD entrera-t-elle en vigueur ?
La LPD révisée ne devrait pas entrer en vigueur avant le 1er janvier 2022 au plus tôt en raison du délai du référendum et de la rédaction encore en suspens de l’ordonnance.
Plus d'informations.
Webinaire « La nouvelle loi sur la protection des données »
Données, informations et inscription en ligne auprès de l’UPSA Business Academy.
Données, informations et inscription en ligne auprès de l’UPSA Business Academy.
Ajouter un commentaire
Commentaires