La loi fédérale suisse sur la protection des données suisse (LPD), en bref
Le 25 septembre 2020, la Suisse a adopté une nouvelle version de la loi fédérale sur la protection des données (LPD), remplaçant la loi de 1992 afin d’atteindre un niveau de protection des données proche de celui du RGPD de l’UE.
Aligner ses lois sur la protection des données avec celles de l’UE – à savoir le Règlement Général sur la Protection des Données (RGPD) – était l’une des principales motivations entraînant la révision de la loi sur la protection des données de 1992, garantissant un flux continu de données personnelles à l’intérieur comme en dehors de la Suisse.
Le fruit de cette révision – la nouvelle LDP suisse – une loi sur la confidentialité des données qui présente des similitudes avec le RGPD de l’UE, comme l’obligation de consentement dans certains cas.
Si vous avez des utilisateurs en Suisse, vous êtes tenu de vous conformer à la nouvelle LDP suisse. Des amendes sévères sont infligées aux domaines non conformes. Mais la bonne nouvelle, c’est que si vous êtes déjà en conformité avec le RGPD de l’UE, vous êtes très probablement aussi en conformité avec la LDP suisse.
Scannez votre site web pour voir votre niveau de conformité avec le RGPD
Essayez Cookiebot CMP gratuitement pendant 14 jours – ou pour toujours si vous avez un petit site web.
Le “RGPD” suisse – les grandes lignes
- La LPD suisse (loi fédérale sur la protection des données) a été adoptée le 25 septembre 2020, remplaçant la précédente loi de 1992, et entrera en vigueur en septembre 2023. Elle ne prévoit pas de délai de grâce, ce qui signifie que les entreprises devront être conformes dès la date d’entrée en vigueur.
- La LPD suisse renforce la protection des données en Suisse et s’aligne sur le RGPD de l’UE afin de garantir le flux continu de données personnelles de l’Espace économique européen vers la Suisse.
- La LPD suisse exige qu’un site web obtienne le consentement des utilisateurs en Suisse si, par exemple, il traite des données personnelles sensibles ou transfère des données vers un pays tiers sans protection adéquate. Elle exige également que votre site web dispose d’une politique de confidentialité.
- La LPD suisse définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable, par exemple les adresses IP. En outre, la LDP suisse définit les données personnelles sensibles comme des informations sur la race, la santé, les convictions religieuses ou politiques, la génétique et la biométrie, la sécurité sociale et la vie sexuelle.
- La LPD suisse s’applique tant au secteur privé qu’au secteur public et a une portée extraterritoriale, c’est-à-dire qu’elle s’applique à tout site web qui traite des données personnelles d’individus situés en Suisse, quelle que soit la localisation dudit site web dans le monde.
- La LPD suisse autorise les transferts de données à caractère personnel de la Suisse vers des pays tiers s’ils présentent un niveau de protection des données adéquat.
- La LPD suisse étend les pouvoirs d’investigation du préposé fédéral à la protection des données et à la transparence (PFPDT).
- La LPD suisse sanctionne le non-respect de la loi par des amendes pouvant aller jusqu’à 250 000 francs suisses. Elle permet également d’imposer des sanctions pénales non seulement aux entreprises, mais aussi aux individus responsables d’une violation potentielle, par exemple les contrôleurs et les processeurs.
Scannez votre site web pour voir quels cookies et traceurs sont utilisés
Essayez Cookiebot CMP gratuitement pendant 14 jours – ou pour toujours si vous avez un petit site web
Droits des personnes concernées en vertu de la loi suisse sur la protection des données
Auparavant, les personnes physiques et morales étaient couvertes par la LPD, mais depuis la révision de la loi, seules les personnes physiques et les organes fédéraux sont couverts.
Toute personne concernée peut demander à savoir si ses données ou des données la concernant sont ou ont été traitées. Elle peut également demander l’accès aux données, qui doivent être fournies gratuitement sous forme imprimée ou photocopiée. Les personnes concernées ont également le droit de faire rectifier les données inexactes ou incomplètes les concernant.
Dans certaines circonstances, les organisations peuvent restreindre, refuser ou différer ces demandes (article 32), par exemple si cela présente un risque pour la sécurité.
Conformité à la LDP suisse avec Cookiebot CMP
Cookiebot CMP est une solution de premier plan au niveau mondial, permettant de rendre votre site web conforme aux principales lois sur la protection des données, notamment le RGPD de l’UE, la LPD Suisse, le CCPA/CPRA de la Californie, la LGPD du Brésil, la POPIA de l’Afrique du Sud et bien d’autres.
Construit autour d’une technologie de scan inégalée, capable d’analyser et de trouver tous les cookies et autres traceurs similaires utilisés sur votre site web, Cookiebot CMP offre une transparence et un contrôle complet à vos utilisateurs finaux, leur permettant d’établir un choix de consentement facile et rapide, tout en assurant la conformité totale de votre site web.
Trouvez un équilibre entre la protection des données et les activités basées sur ces dernières au sein de votre site web grâce à des interfaces de consentement hautement personnalisables, des politiques de cookies générées automatiquement et un renouvellement régulier du consentement de l’utilisateur final.
La fonction de géociblage de Cookiebot CMP détermine automatiquement la localisation de l’utilisateur de votre site web dans le monde, par exemple dans l’UE ou en Suisse, et présente automatiquement la solution de conformité adéquate.
La loi fédérale suisse sur la protection des données (LDP), en détail
Analysons de plus près la LDP suisse et ses exigences pour votre site web.
La LDP suisse sur le consentement, les cases pré-cochées et les murs de cookies
En vertu de la loi suisse sur la protection des données (LDP), les sites web qui traitent des données à caractère personnel provenant d’utilisateurs situés en Suisse pourraient devoir obtenir le consentement préalable, libre, éclairé de ces utilisateurs avant de s’exercer.
Cela inclut les cookies qui ne sont pas strictement nécessaires aux fonctions de base de votre site web, mais qui traitent des données personnelles à d’autres fins, telles que l’analyse ou le marketing.
Le consentement est requis en cas de traitement de données personnelles particulièrement sensibles, de profilage à haut risque par une personne privée ou de profilage par un organe fédéral.
En outre, le consentement peut être nécessaire si les données sont transférées vers un pays ne disposant pas d’un niveau de protection adéquat.
Le consentement aux cookies n’est valable que lorsqu’il représente un choix réel, c’est-à-dire lorsque l’utilisateur donne son consentement sans contrainte, pression ou autre influence externe. Cela signifie qu’un utilisateur qui refuse un cookie nécessitant un consentement ne doit pas se voir refuser certains services ou avantages, comme l’accès au site web.
Lorsqu’un utilisateur refuse les cookies, il ne devrait pas être exposé à des conséquences négatives et devrait pouvoir continuer à accéder au site web.
Comme le RGPD de l’UE, la LDP suisse exige que le consentement de l’utilisateur final aux cookies soit spécifique, c’est-à-dire que le consentement de l’utilisateur doit être demandé pour chaque finalité entreprise par les cookies.
Le consentement ne peut pas être donné pour une utilisation générale de tous les cookies sans spécifier davantage quelles données sont collectées via ces cookies et à quelles fins. La LDP suisse exige un choix plus précis qu’un simple “tout ou rien”, c’est-à-dire un consentement pour chaque catégorie de cookies.
Les informations relatives au consentement doivent être visibles, complètes et perceptibles. Elles doivent être rédigées en termes simples, pouvant être compris par tout utilisateur. Par ailleurs, elles doivent être disponibles dans toutes les langues du site web, par exemple, si le site web s’adresse à un public francophone et germanophone, les informations figurant sur le bandeau de consentement doivent être rédigées à la fois en français et en allemand.
Ces informations sont généralement regroupées dans la politique de confidentialité ou de cookies d’un site web et devraient au moins comprendre les éléments suivants :
- l’identité et les coordonnées du responsable du traitement (propre ou tiers) ;
- les finalités des cookies qui vont être déposés et/ou lus ;
- les destinataires ou catégories de destinataires des données.
En outre, il peut être nécessaire d’inclure les catégories de données traitées et les pays vers lesquels les données sont transférées, au cas où le pays ne dispose pas d’un niveau de sécurité adéquat, ainsi que les garanties sur lesquelles le transfert de données est basé.
Obtenez une politique en matière de cookies automatique avec Cookiebot CMP
Essayez Cookiebot CMP gratuitement pendant 14 jours – ou pour toujours si vous avez un petit site web
Principaux changements apportés à la loi suisse sur la protection des données
Comme on pouvait s’y attendre, la nouvelle LPD suisse présente un certain nombre de changements par rapport à la réglementation précédente. Les plus notables sont les suivants :
Privacy by design : La confidentialité et la protection des données doivent faire partie du processus dès les phases de planification des projets. Les organisations doivent garder à l’esprit la protection de la vie privée des personnes concernées à tous les stades du développement.
Renforcement des exigences en matière de consentement : La loi actualisée accorde une plus grande attention à la sensibilisation et à l’éducation des personnes concernées par la collecte et l’utilisation de leurs données à caractère personnel. Les organisations doivent communiquer clairement sur les données collectées, les finalités, et plus encore, ainsi que sur les droits des utilisateurs et les possibilités de les exercer. Les exigences en matière de consentement sont également étendues à un plus grand nombre de cas.
Faciliter l’exercice des droits des personnes concernées : Les personnes concernées peuvent plus facilement faire des demandes d’accès pour exercer leurs droits en vertu de la loi. La procédure permettant aux individus de demander des détails sur leurs données personnelles auprès de n’importe quelle organisation a été simplifiée.
Notification des violations de données : Les organisations sont tenues d’informer les utilisateurs et les autres parties prenantes concernées d’une violation de données ou d’une infraction connexe dans les meilleurs délais. Le PFPDT doit également être notifié immédiatement. Des exigences claires et spécifiques s’appliquent quant aux informations qui doivent être communiquées au sujet de la violation.
Des pouvoirs élargis et des sanctions plus sévères : Les personnes ont davantage de possibilités de restreindre ou de refuser le traitement de leurs données personnelles. Le PFPDT dispose de pouvoirs d’exécution étendus en cas de violation de la loi, et les autorités peuvent adopter des sanctions plus sévères.
Les nouvelles exigences de conformité à la nouvelle LPD révisée
La loi suisse sur la protection des données est extraterritoriale, c’est-à-dire qu’elle s’applique aux organisations basées en Suisse et à l’étranger si elles fournissent des biens ou des services et traitent des données personnelles de résidents suisses. Les entreprises soumises à la LPD qui sont basées en dehors de la Suisse doivent désigner un représentant suisse. Cette personne assurera la liaison avec les autorités suisses et les personnes concernées.
Les organisations doivent aussi potentiellement apporter des changements à leurs opérations de bout en bout si leurs pratiques en matière de confidentialité et de protection des données n’ont pas été suffisamment solides. Il s’agit notamment :
- d’intégrer la notion de “privacy by design” dans la planification, la conception et le développement des projets ;
- de comprendre pleinement les exigences en matière de consentement des personnes concernées et de traitement des données à caractère personnel et mettre en œuvre les mesures nécessaires ;
- de veiller à ce qu’il soit clair et simple pour les personnes concernées d’exercer leurs droits et de contacter l’organisation ;
- de mettre en place des politiques et des procédures rigoureuses en cas de violation des données et assurer une notification rapide et d’autres actions requises en cas de violation.
Obligations des entreprises dans le cadre de la LPD suisse
Les organisations qui traitent les données personnelles de résidents suisses seront tenues de se conformer à partir de septembre 2023 ; il n’y aura pas de période de grâce avant l’application. Les entreprises qui se conforment déjà au RGPD n’auront pas beaucoup de travail supplémentaire à faire, mais il est important qu’elles se familiarisent avec les exigences de la LPD. Il existe également des exemptions à certaines exigences du RGPD pour les PME jusqu’à 250 employés, que les organisations doivent connaître.
Les personnes concernées doivent être informées de tous les cas de collecte et d’utilisation de leurs données personnelles, qu’elles soient collectées directement ou indirectement. Les organisations doivent également tenir un registre des activités de traitement, et tant les responsables du traitement que les sous-traitants ont des responsabilités en matière de confidentialité et de protection des données, notamment en ce qui concerne l’accès des tiers aux données, par exemple les vendeurs.
Pourquoi était-ce si important de se conformer à la nouvelle LPD ?
La conformité aide les organisations à s’assurer que le traitement des données est effectué de manière sûre et responsable et que l’utilisation des données personnelles est légale. La conformité à la LPD permet aux personnes concernées de garder le contrôle de leur vie privée et de leurs données à caractère personnel.
Les amendes en cas de violation sont l’une des principales raisons pour lesquelles la conformité est importante, mais en outre, une violation des données ou une autre violation peut nuire à la réputation d’une entreprise et entraîner une perte de confiance de la part des utilisateurs. Les entreprises peuvent créer un avantage concurrentiel en étant claires et transparentes dans leurs communications avec les utilisateurs, en faisant preuve de respect pour la confidentialité des données et en répondant aux exigences en matière de consentement.
L’obtention et le maintien de la conformité à la LPD permettent également aux entreprises d’être plus compétitives dans l’Union européenne, car elles répondent à des exigences strictes en matière de protection de la vie privée qui permettent le transfert transfrontalier de données et d’autres fonctions liées aux activités des entreprises à l’international.
Le RGPD vs. la nouvelle LPD
| Requirement | RGPD | LPD |
|---|---|---|
| Sanctions | Pour les premières violations ou les violations moins graves : 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros En cas de récidive ou de violation plus grave : 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. | Jusqu’à 250 000 CHF pour une personne responsable ou, s’il est trop difficile d’identifier la personne, jusqu’à 50 000 CHF pour l’entreprise. |
| Exigences en matière d’information | L’art. 13 du RGPD précise les informations minimales que doit contenir une politique de confidentialité. | La politique de confidentialité contient moins d’informations que celle prévue par le RGPD. Elle doit énumérer tous les pays vers lesquels des données à caractère personnel sont transférées. |
| Registre des activités de traitement | L’art. 30 du RGPD précise toutes les informations qui doivent figurer dans les registres. | Doit inclure une liste des pays vers lesquels les données sont exportées. |
| Évaluations de l’impact de la protection des données | En cas de risque élevé, l’autorité de contrôle doit être consultée. | En cas de risque élevé, le délégué à la protection des données (DPD) peut être consulté au lieu du PFPDT. |
| Exportation des données | Adéquation des partenaires d’exportation déterminée par la Commission européenne. Clauses contractuelles types ou autres règlements d’entreprise contraignants. | L’adéquation des partenaires d’exportation est déterminée par le Conseil fédéral suisse. Clauses contractuelles types de l’UE ou autres règlements d’entreprise contraignants. |
| Notification des violations de données | Obligatoire dans les 72 heures. | Obligatoire « dès que possible ». |
| Délégué à la protection des données | Obligatoire. | Recommandé. |
Recommandations du PFPDT sur le traçage web en Suisse
En Suisse, le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de contrôler le respect de la loi fédérale sur la protection des données (LPD) par les entreprises et les organisations.
Le PFPDT a publié des guides sur la manière dont votre site web peut utiliser des outils de suivi pour suivre l’activité des utilisateurs sur votre domaine, de manière à demeurer en conformité avec la LPD suisse.
Les utilisateurs finaux de votre site web doivent être informés de manière transparente de la collection de leurs données personnelles, de la finalité du traitement des données, de l’analyse des données et des possibilités qui leurs sont offertes pour s’opposer au suivi.
En savoir plus sur comment créer une politique en matière de cookies pour votre site web
Dans le cas de données personnelles sensibles, les utilisateurs finaux doivent confirmer explicitement qu’ils ont été informés et qu’ils acceptent le traçage web, par exemple par un clic de souris.
Le PFPDT précise qu’en tant que propriétaire ou opérateur d’un site web, vous êtes responsable de tout traitement de données personnelles de personnes se trouvant en Suisse, même si vous faites appel à des prestataires de services de traçage web. En outre, le PFPDT rappelle que même le traitement de l’adresse IP d’un utilisateur est soumis à la loi fédérale sur la protection des données, puisque cette adresse est considérée comme une donnée personnelle.
Le PFPDT précise également que lors de l’utilisation de cookies à des fins de suivi sur le web, l’exploitant d’un site web doit tenir compte des exigences de la directive ePrivacy du Parlement européen et du Conseil, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
Le transfert de données personnelles entre l’UE, les États-Unis et la Suisse
Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a mis fin au bouclier de protection des données, qui autorisait jusqu’alors les transferts de données de l’UE vers les États-Unis.
La CJUE impose aux responsables du traitement d’évaluer le niveau de protection des données dans le pays du destinataire et de suspendre le transfert si ce pays s’avère inadéquat. Les transferts entre l’UE et la Suisse sont également soumis à ces exigences.
Le 8 septembre 2020, suite à une évaluation du bouclier de protection des données entre l’UE et les États-Unis, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a également déclaré que le régime de transfert Suisse-États-Unis était inadéquat.
En ligne avec la CJUE, le PFPDT a estimé que le niveau de protection des données aux États-Unis était insuffisant et que le mécanisme de transfert prévu par le bouclier de protection des données entre la Suisse et les États-Unis n’était plus valide.
Le mode de consentement de Google et Cookiebot CMP
Avec le mode de consentement de Google et Cookiebot CMP, vous pouvez faire fonctionner tous les services Google de votre site web en fonction du statut de consentement de vos utilisateurs finaux – une conformité totale avec le RGPD avec des données d’analyse et des revenus publicitaires optimisés grâce à une solution simple et unique.
Cookiebot CMP gère le consentement des utilisateurs de votre site web, et communique les états de consentement à l’API exécutant le mode de consentement de Google, qui gère ensuite tous vos services préférés (tels que Google Analytics et Google Ads) en fonction de l’état de consentement de chaque utilisateur individuel sur votre site web.
Un utilisateur n’a pas consenti aux statistiques ou aux cookies de marketing ? Cookiebot CMP informe le mode de consentement de Google, qui assure que vous obtenez toujours des informations agrégées et non identifiantes sur les performances de votre site web, et met en œuvre la possibilité d’afficher des annonces contextuelles au lieu d’annonces ciblées – respectant la vie privée des utilisateurs tout en optimisant votre site web.
Avec Cookiebot CMP et le mode de consentement de Google, bénéficiez d’une conformité instantanée et simple avec le RGPD, ainsi que de données analytiques optimisées et de revenus publicitaires, avec une solution unique.
Démarrez avec le mode de consentement de Google
Scannez votre site web pour voir quels cookies et traceurs sont utilisés
Essayez Cookiebot CMP gratuitement pendant 14 jours – ou pour toujours si vous avez un petit site web
Sanctions en cas de non-respect de la loi suisse sur la protection des données
Les enquêtes du PFPDT peuvent être lancées par l’autorité de sa propre initiative ou après qu’elle a été informée d’une violation présumée. S’il y a eu violation de données, l’autorité peut émettre des ordres qui peuvent inclure la suspension ou l’ajustement du traitement des données, ou la suppression des données stockées.
Les responsables du traitement peuvent se voir infliger une amende pour non-respect de la LPD s’ils manquent à leurs obligations de fournir à l’autorité les informations demandées ou s’il est établi qu’ils n’ont pas exercé leur devoir de diligence. Les amendes peuvent atteindre 250 000 francs suisses pour les particuliers. Lorsqu’il est trop difficile d’identifier une partie responsable d’une violation au sein d’une organisation, les entreprises peuvent se voir infliger une amende allant jusqu’à 50 000 francs suisses.
Lois suisses sur la protection de la vie privée – résumé
Dans cet article, nous avons examiné le nouveau RGPD suisse, qui entrera en vigueur en 2022, ainsi que ses exigences en ce qui concerne l’utilisation de cookies et de traceurs traitant les données personnelles des utilisateurs en Suisse, liés à votre site web.
Formulé sur base du RGPD de l’UE et reprenant un grand nombre de ses définitions fondamentales, la LPD suisse est une loi sur la protection des données qui exige que votre site web obtienne un consentement s’il traite des données personnelles sensibles d’utilisateurs situés en Suisse ou en cas de profilage par une personne privée ou un organe fédéral.
Comme sa consœur de l’UE, elle s’accompagne également de plusieurs autres exigences pour votre site web, telles que l’obligation de mettre à la disposition de vos utilisateurs finaux une politique actualisée en matière de confidentialité et de renouveler régulièrement les consentements.
Cookiebot CMP est une solution plug-and-play qui automatise l’ensemble de ces processus pour vous – il suffit de s’inscrire et de mettre en œuvre Cookiebot CMP directement depuis le cloud avec quelques lignes de JavaScript.
La LPD suisse – FAQ
Qu’est-ce que la loi fédérale sur la protection des données suisse (LPD) ?
La LPD suisse est la loi suisse sur la protection des données qui régit le traitement des données personnelles des individus se trouvant en Suisse. Elle exige que tout site web dans le monde ayant des utilisateurs en Suisse obtienne leur consentement s’il traite leurs données personnelles sensibles ou en cas de profilage.
Essayez Cookiebot CMP gratuitement pour être en conformité avec la LPD suisse
La Suisse doit-elle également se conformer au RGPD ?
Oui, si votre site web situé en Suisse traite des données personnelles d’utilisateurs de l’UE, le règlement général sur la protection des données (RGPD) s’applique et vous êtes tenu d’obtenir le consentement préalable avant d’être légalement autorisé à traiter ou à partager n’importe quel type de données personnelles.
La Suisse dispose-t-elle d’une décision d’adéquation de l’UE ?
Oui, la Suisse fait partie des pays auxquels l’UE a accordé une décision d’adéquation, ce qui signifie que l’UE a estimé que le niveau de protection des données de la Suisse est essentiellement équivalent et qu’il garantit la poursuite de la libre circulation des données personnelles entre les deux régions.
En savoir plus sur les lois européennes en matière de protection de la vie privée (en anglais)
Qu’est-ce qu’un bandeau cookies conforme à la LPD suisse ?
Un bandeau de consentement sur votre site web devrait contenir des informations faciles à comprendre sur les paramètres des cookies et les pratiques de traitement des données personnelles de votre site web. Un bandeau de consentement valide ne doit pas comporter de cases à cocher pré-cochées (cookies activés par défaut), ne doit pas pousser ou forcer les utilisateurs à donner leur consentement (murs de cookies), et ne doit pas interpréter une activité de l’utilisateur, telle que le défilement ou la poursuite de la navigation sur le domaine, comme un consentement.
Les murs de cookies sont-ils légaux en Suisse ?
Il n’existe pas de législation spéciale sur les murs de cookies en Suisse. Cependant, étant donné que de nombreux sites web suisses reçoivent des utilisateurs de l’UE, il est recommandé aux sites web suisses de suivre les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement valable dans l’UE. Celles-ci affirment que les murs de cookies conditionnant le consentement à l’accès à un site web sont un moyen illégal d’obtenir le consentement. Au contraire, le consentement doit être granulaire et donné librement. Les utilisateurs doivent pouvoir choisir entre certains cookies et pas d’autres lorsqu’ils donnent leur consentement.
Ressources
RGPD et consentement aux cookies
Lignes directrices du EDPB sur les cookies et autres traceurs (en anglais)
Directive ePrivacy (« Vie privée et communications électroniques »)
Site du Préposé fédéral à la protection des données et à la transparence (PFPDT)
Explications du PFPDT sur le webtracking
Loi fédérale sur la protection des données (LPD)
Optimex Data – La protection des données personnelles en Suisse
Lignes directrices de la CNIL sur l’utilisation des cookies en France