Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur dans les pays membres de l’Union européenne. La Suisse, pour garantir une meilleure adéquation avec la législation européenne et faciliter les échanges, a adopté une nouvelle loi le 25 septembre 2020. Cette loi fédérale sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023 et présente de nombreuses similitudes avec son homologue européen.

En tant que professionnel résidant en Suisse ou commercialisant des biens ou des produits en Suisse, vous devrez donc mettre à jour votre organisation. Mais quelles sont les similitudes entre ces deux applications et quel cadre juridique devez-vous respecter ? On vous explique.

RGPD Vs LPD

De nombreuses entreprises suisses commercialisant avec des pays membres de l’UE se sont déjà mises à jour depuis quelques années avec le RGPD. Pour celles-ci, la mise en conformité avec la nouvelle législation suisse sera simple, car la LPD comporte de nombreux points communs avec le RGPD.

Parmi ces ressemblances, on retrouve notamment la prise en compte des données à caractère sensible (opinons, religion, santé, génétique, biométrie, orientation sexuelle, etc.). Le consentement au traitement des données est aussi requis, comme l’obligation de communiquer le type de données et la finalité de leur traitement. L’identité et les coordonnées du responsable du traitement doivent être divulguées par l’organisation ainsi que les pays ou organismes auxquels sont transférées ces données.

Enfin, il vous faudra également alerter le Préposé fédéral à la protection des données et à la transparence (LPD) ou le délégué à la protection des données (RGPD) en cas de violation.

Le grand point commun entre ces deux règlementations concerne par ailleurs la gestion du dépôt des cookies et la mise à jour de la politique de confidentialité. Le RGPD comme la LPD imposent désormais l’installation d’une bannière à cookies qui informe l’internaute et sollicite son consentement pour le dépôt des cookies sur son dispositif. L’internaute devra pouvoir accepter, refuser ou choisir séparément les cookies qu’il souhaite accepter.

Les dispositions prises par le RGPD sont pour simplifier un peu plus rigoureuses pour les PME que celles de la LPD. Consultez notre article “Nouvelle LPD : qu’est-ce qui change pour les entreprises ?” pour connaître en détail les changements à entreprendre pour être en conformité.

Il est à préciser que l’application de l’une ou l’autre de ces règlementations ne dépend pas de la localité du siège de l’entreprise qui traite les données ou de celle de son hébergeur. C’est la citoyenneté de l’internaute qui prime. Ainsi, une entreprise étrangère proposant des services ou des produits en Suisse sera soumise à la LPD et les entreprises suisses commercialisant en UE devront respecter le RGPD.

Le RGPD s’applique aux entreprises suisses qui échangent avec l’UE

Dès l’instant que votre organisation échange des données avec un ou plusieurs pays de l’UE, celle-ci est soumise à la législation dictée par la Commission européenne. Cela concerne bien sûr la collecte des données ainsi que leur traitement. Si c’est votre cas, votre entreprise a dû déjà mettre en place les mesures nécessaires pour être en règle. Si ce n’est pas encore fait, il est désormais indispensable de vous y soumettre.

Le RGPD s’est en effet imposé comme un standard en matière de protection des données que de nombreux pays hors UE étudient. Il vous sera de plus en plus difficile d’échapper à ces obligations dont le non-respect engendre des sanctions pouvant aller de 10 à 20 millions d’euros ou de 2 à 4 % du CA de l’entreprise.

Les entreprises étrangères qui ont un marché en Suisse devront respecter la LPD

À l’inverse, les entreprises étrangères qui déploient des services ou vendent des produits en Suisse devront respecter la nouvelle loi sur la protection des données suisse. Vous devrez notamment nommer un responsable du traitement et tenir un registre des fichiers similaire à l’inventaire prévu par le RGPD. Vous devrez également mettre en place une analyse d’impact en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes physiques.

Si vous gérez une entreprise dans un pays membre d’un pays de l’UE et que vous êtes en conformité avec le RGPD, les mesures à prendre seront minimes, mais nécessaires. Il vous faudra par exemple prévoir une politique de cookie relative au pays de consultation de l’internaute. Votre bannière de cookies devra s’aligner sur le RGPD, le LPD, voire le California Consumer Privacy Act selon les cas. Suivez notre Guide LPD 2023 pour mettre à jour vos outils avec le “RGPD suisse” ou contactez notre équipe qui vous accompagnera dans ce process.