Avec le renforcement de la numérisation globale dans tous les domaines, notamment la numérisation dans les RH, la protection des données prend de plus en plus d'importance. Ainsi, une nouvelle loi sur la protection des données (LPD) est entrée en vigueur en Suisse en 2023. Nous vous expliquons dans cet article ce qui se cache derrière cette loi, quelles sont les différences avec le RGPD et comment les entreprises peuvent mettre en œuvre au mieux les nouvelles exigences.
Qu'est-ce que la nouvelle loi sur la protection des données ?
Contexte et entrée en vigueur de la nouvelle législation
La nouvelle loi sur la protection des données a été adoptée par le Parlement suisse le 25.09.2020 et est en vigueur depuis le 01.09.2023. Elle a ainsi remplacé l'ancienne loi fédérale sur la protection des données (LPD) datant de 1992. L'objectif premier de la nouvelle loi sur la protection des données en Suisse (ou LPD révisée) est d'améliorer la protection de la sphère privée et des données personnelles des citoyens suisses. En outre, elle assure une meilleure harmonisation avec les normes internationales telles que le RGPD.
Qu'est-ce qui a changé depuis l'ancienne LPD ?
La nouvelle loi suisse sur la protection des données renforce les droits des personnes concernées en exigeant une transparence accrue et des obligations de notification plus strictes en cas de violation de la protection des données. En outre, les responsabilités des entreprises ayant leur siège en Suisse ou traitant des données de citoyens suisses sont désormais beaucoup plus claires.
Nouvelle loi sur la protection des données vs. RGPD : quelles sont les différences ?
Champ d’application et types de données concernés
La nouvelle loi suisse sur la protection des données (nLPD) s’applique à toutes les entreprises, en Suisse ou à l’étranger, dès lors qu’elles traitent des données personnelles de personnes se trouvant en Suisse, notamment dans le cadre de la fourniture de biens ou de services.
Comparée au RGPD européen, cette législation helvétique se révèle plus souple dans certains domaines. Elle accorde toutefois une attention renforcée aux données sensibles, telles que les informations sur la santé, l’origine ethnique, les opinions politiques, les convictions religieuses ou les données biométriques. Ce sont ces catégories de données qui bénéficient d’une protection renforcée dans le nouveau cadre légal.
Exigences en matière de consentement et de transparence
Tant la nouvelle loi suisse sur la protection des données (nLPD) que le RGPD exigent un consentement explicite des personnes concernées et une transparence totale quant à la manière dont leurs données sont traitées.
Toutefois, la nLPD renforce certaines exigences en matière de clarté et d’accessibilité. Les entreprises doivent fournir des informations compréhensibles, facilement accessibles et veiller à ce que toute personne puisse retirer son consentement à tout moment, de manière simple et sans contrainte.
Cela implique, pour les employeurs et responsables RH, de repenser la formulation des clauses de consentement dans les documents internes, les sites web ou les outils de gestion des données.
Violations de données : une obligation de notification rapide
L’une des nouveautés majeures introduites par la nouvelle loi suisse sur la protection des données (nLPD) est l’obligation de signaler toute violation de données personnelles dans un délai de 72 heures après en avoir pris connaissance.
Cette exigence concerne toute entreprise – en Suisse ou à l’étranger – qui traite des données de personnes situées en Suisse, y compris les données des collaboratrices et collaborateurs. Elle vise à garantir une réaction rapide face aux atteintes à la sécurité des données, qu’il s’agisse d’un piratage, d’une fuite ou d’un accès non autorisé.
Les responsables RH doivent ainsi s’assurer que des procédures internes claires soient en place pour détecter, documenter et notifier ces incidents dans les délais imposés.
Sanctions en cas de non-respect : des responsabilités personnelles à ne pas sous-estimer
La nouvelle loi suisse sur la protection des données (nLPD) introduit un régime de sanctions strict, notamment en cas de non-respect des obligations d'information, de transparence, de coopération ou de diligence.
En cas d’infraction, les amendes peuvent atteindre jusqu’à 250 000 CHF. Contrairement au RGPD, ces sanctions ne visent pas uniquement l’entreprise : les personnes responsables – dirigeant·e·s, responsables RH, responsables de traitement – peuvent être personnellement tenues pour responsables, sans possibilité de faire supporter l’amende à l’organisation.
Cela implique une vigilance accrue dans la mise en conformité et la gestion quotidienne des données personnelles, notamment au sein des départements RH.
Évaluations d'impact sur la protection des données et tenue de registres
Pour répondre aux exigences de la nouvelle loi suisse sur la protection des données (nLPD), les entreprises doivent mettre en place des évaluations d’impact sur la protection des données (EIPD) dès qu’un traitement de données présente un risque élevé pour les droits des personnes concernées.
Par ailleurs, elles sont tenues de tenir un registre détaillé de toutes les activités de traitement, y compris dans le domaine des ressources humaines. Cette documentation joue un rôle central : elle garantit la transparence attendue par la loi et facilite les contrôles menés par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Pour les responsables RH, cela signifie qu’il est essentiel de recenser et documenter précisément tous les traitements liés aux données du personnel, de la gestion des candidatures à l’administration des salaires
Tableau de comparaison : nouvelle loi sur la protection des données vs. RGPD
| Critère | Nouvelle loi sur la protection des données (Suisse) | RGPD(UE) |
|---|---|---|
| Entrée en vigueur | 1er septembre 2023 | 25 mai 2018 |
| Champ d'application | Données de personnes physiques en/depuis la Suisse | Données des personnes physiques dans l'espace de l'UE |
| Consentement | Nécessaire uniquement pour les données sensibles | Condition de base pour de nombreux traitements de données |
| Obligation de notification en cas de violation de données | Oui, au PFPDT (Préposé fédéral), sans délai précis | Oui, dans les 72 heures |
| Sanctions | Jusqu'à 250 000 CHF contre les personnes responsables | Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel |
| Protection des données par le design | Obligatoire | Obligatoire |
| Analyse d'impact sur la protection des données | Obligatoire en cas de risque élevé | Obligatoire en cas de risque élevé |
| Registre du traitement | Obligatoire, avec des exceptions pour les PME | Obligatoire en principe |
Que doivent concrètement mettre en œuvre les entreprises en Suisse ?
Trois points en particulier sont désormais importants pour les entreprises :
- La protection des données doit être prise en compte en amont, lors du développement des produits et des processus. De plus, les paramètres par défaut doivent être conçus de manière à respecter la protection des données.
- Les entreprises sont tenues de documenter toutes les activités de traitement ainsi que d'établir des processus internes afin d'apporter de manière transparente la preuve de processus conformes à la protection des données.
- La nouvelle loi suisse sur la protection des données invite en outre les entreprises à sensibiliser leurs collaborateurs et collaboratrices à ce sujet et à les former régulièrement à la gestion des données personnelles.
Comment se conformer à la loi sur la protection des données en 5 étapes concrètes
Pour mettre en œuvre efficacement la nouvelle loi suisse sur la protection des données (nLPD), il est recommandé de suivre une démarche structurée en cinq étapes :
- Cartographier tous les traitements de données
Identifiez l’ensemble des systèmes, outils et processus qui impliquent des données personnelles, en particulier dans les domaines RH, marketing, finance ou IT. - Réaliser une analyse d’impact sur la protection des données (AIPD)
Évaluez les risques liés aux traitements, en particulier ceux susceptibles d’affecter les droits des personnes concernées, et définissez des mesures correctives adaptées. - Mettre en place des mesures de protection concrètes
Intégrez des dispositifs tels que le chiffrement des données, des contrôles d’accès stricts, ou encore des procédures d’effacement automatique des données non nécessaires. - Documenter toutes les mesures et actions mises en œuvre
Assurez une traçabilité complète pour pouvoir démontrer votre conformité en cas de contrôle par le Préposé fédéral à la protection des données (PFPDT). - Former le personnel au traitement des données personnelles
Organisez des sessions de sensibilisation afin que chaque collaborateur·trice comprenne ses responsabilités et applique les bonnes pratiques au quotidien.
Pour respecter toutes les exigences légales et les traiter efficacement, il est recommandé d'utiliser un bon logiciel, par exemple le logiciel de gestion du temps de Kelio.
Comment Kelio peut vous aider à mettre en œuvre la nouvelle loi sur la protection des données
Kelio propose des solutions logicielles innovantes pour aider les entreprises à se conformer de manière optimale à la nouvelle loi suisse sur la protection des données. Nos outils permettent d'automatiser, de documenter et de surveiller les processus conformes à la protection des données. Outre le logiciel de gestion du temps, il s'agit par exemple du logiciel de planification du personnel.
Nous proposons notamment une assistance concrète sur les sujets suivants :
- Suppression automatique des données dans le processus de candidature (après un délai défini)
- Contrôle des droits d'accès (uniquement pour les personnes autorisées).
- Consignation de toutes les actions (pour une traçabilité transparente)
Néanmoins, la responsabilité du respect de toutes les exigences légales incombe à l'entreprise elle-même, notamment en ce qui concerne la formation du personnel et le développement des processus.
Vous souhaitez en savoir plus sur la manière dont Kelio peut vous aider à mettre en œuvre la nouvelle loi sur la protection des données en Suisse ?
